Cerca nel blog

2024/05/31

Podcast RSI - Quando un diritto diventa un reato: app di tracciamento del ciclo mestruale, rischio di persecuzione governativa

logo del Disinformatico

È disponibile subito il podcast di oggi de Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto: lo trovate qui sul sito della RSI (si apre in una finestra/scheda separata) e lo potete scaricare qui.

Le puntate del Disinformatico sono ascoltabili anche tramite iTunes, Google Podcasts, Spotify e feed RSS.

Buon ascolto, e se vi interessano il testo di accompagnamento e i link alle fonti di questa puntata, sono qui sotto.

---

[CLIP: La scena del dazio dal film “Non ci resta che piangere” (1984)]

Questa scena, tratta dal film “Non ci resta che piangere” del 1984, è diventata simbolo di tante assurdità e cecità burocratiche. È un esempio decisamente ironico, e forse per raccontarvi la storia strana di informatica di questa settimana avrei dovuto citare qualche brano della serie TV distopica Il racconto dell’ancella, perché questa è la storia di un’app legata alla riproduzione umana ed è una storia che risponde perfettamente a una domanda che viene fatta spessissimo a chi si occupa di privacy e sicurezza digitale: “Ma che male c’è a dare qualche dato personale a un’app? Cosa vuoi che se ne facciano? Io non ho niente da nascondere”.

Siamo nel 2024, e negli Stati Uniti, non in un paese totalitario, le app di monitoraggio dell’ovulazione vengono usate per tracciare in massa la fertilità femminile, anche dai datori di lavoro, e per incriminare le donne che risultano sospette solo perché hanno un ciclo mestruale irregolare. Un dato che sembrava così innocuo è di colpo diventato potenziale indizio di reato.

Benvenuti alla puntata del 31 maggio 2024 del Disinformatico, il podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane dell’informatica. Io sono Paolo Attivissimo, e vorrei avvisarvi che questa puntata tocca temi molto delicati riguardanti la riproduzione e la sessualità.

[SIGLA di apertura]

Benvenuti a Gilead

Questa storia comincia con una segnalazione su Reddit, ad aprile scorso, di un’app per il monitoraggio del ciclo mestruale di nome Ovia (App Store; Google Play), che ha iniziato da poco, dice la segnalazione, a chiedere in quale stato risiede l’utente, perché quest’informazione è necessaria per poter continuare a usare l’app.

Dato che la fisiologia umana fondamentale non varia in base ai confini di stato, viene spontaneo chiedersi come mai ci sia bisogno di specificare lo stato di residenza in quest’app. È una domanda che coinvolge le decine di milioni di persone che nel mondo usano app di questo genere, come BabyCenter, Clue, My Calendar o Flo, per tenere traccia del proprio ciclo o di quello dei familiari.

Nel 2019 l’app Ovia era stata criticata (Washington Post) perché condivideva i dati di salute dei suoi utenti con i loro datori di lavoro. Lo faceva, e lo fa tuttora, in forma aggregata e anonimizzata, certo, ma soprattutto in un’azienda piccola risalire alle identità precise delle persone alle quali si riferiscono i dati di salute è piuttosto banale, specialmente per situazioni molto palesi come una gravidanza, che è solo uno dei dati raccolti da quest’app.

I datori di lavoro possono infatti sapere quanti dipendenti hanno avuto gravidanze a rischio o parti prematuri e possono vedere le principali informazioni di natura medica cercate dalle utenti, i farmaci assunti, l’appetito sessuale, l’umore, i tentativi di concepimento, il tempo medio necessario per ottenere una gravidanza e i tipi di parto precedenti. Tutti dati immessi dalle persone, incoraggiate a farlo dai buoni spesa, circa un dollaro al giorno, offerti dall’app.

L’azienda che ha sviluppato l’app, Ovia Health, dice che tutto questo consente alle aziende di “minimizzare le spese sanitarie, scoprire problemi medici e pianificare meglio i mesi successivi” e aggiunge che la sua app “ha permesso alle donne di concepire dopo mesi di infertilità e ha anche salvato le vite di donne che altrimenti non si sarebbero rese conto di essere a rischio”.

Anche altre app dello stesso genere sono state criticate fortemente da Consumer Reports, una influentissima associazione statunitense di difesa dei consumatori, e da associazioni di attivisti tecnologici come la brasiliana Coding Rights, perché non tutelavano affatto la riservatezza delle persone, per esempio permettendo l’accesso ai dati sanitari altrui a chiunque conoscesse l’indirizzo di mail della persona presa di mira oppure passando direttamente i dati mestruali a Facebook.

Uno studio del 2019, pubblicato dal prestigioso British Medical Journal, ha rilevato che il 79% delle app relative alla salute disponibili nel Play Store di Google condivideva con terzi i dati sanitari degli utenti.

C’è un nome per questo sfruttamento commerciale dei dati sanitari delle donne: femtech. Alcune stime indicano che il mercato femtech, che “include le app di tracciamento mestruale, nutrizionale e di benessere sessuale”, potrebbe valere fino a 50 miliardi di dollari entro il 2025 (Washington Post).

Già così lo scenario era piuttosto orwelliano, ma il 2 maggio 2022 è successo qualcosa che ha trasformato una sorveglianza invadente in una trappola inquietante.

Da diritto a reato

In quella data, infatti, la stampa ha reso pubblica una bozza di parere della Corte suprema statunitense che indicava che il diritto costituzionale all’aborto, vigente in tutto il paese da quasi cinquant’anni, sarebbe stato eliminato, come è poi appunto avvenuto. Nel giro di pochi mesi, numerosi stati americani hanno vietato l’aborto quasi completamente, in qualunque circostanza, senza eccezioni per violenza sessuale o incesto e anche se la vita della donna è in pericolo (CNN).

In altre parole, un atto che per mezzo secolo era un diritto è diventato di colpo un reato. E altrettanto di colpo, i dati accumulati dalle app di tracciamento mestruale sono diventati potenziale indizio o prova di reato, come hanno fatto notare sui social network varie persone esperte di sicurezza informatica, come Eva Galperin, della Electronic Frontier Foundation o l’attivista e avvocato Elizabeth McLaughlin, che hanno consigliato esplicitamente di smettere di usare queste app e di cancellare tutti i dati.

Il rischio che quei dati vengano usati contro le utenti, infatti, è decisamente concreto. Anche prima di quel grande scossone del 2022, era già capitato che funzionari governativi statunitensi che sostenevano idee antiabortiste si procurassero dati provenienti da queste app. Nel 2019 l’ex direttore tecnico sanitario del governo del Missouri, Randall Williams, aveva fatto redigere uno spreadsheet che tracciava le mestruazioni delle donne che avevano visitato le sedi di Planned Parenthood, una organizzazione no-profit che fornisce assistenza alla procreazione pianificata (CNN). E lo stesso anno il direttore del programma di reinsediamento dei rifugiati, Scott Lloyd, attivista contro l’aborto, aveva dichiarato di aver tracciato i cicli mestruali delle giovanissime migranti nel tentativo di impedire che abortissero (Harper’s Bazaar).

È facile pensare che queste siano situazioni estreme che si verificano negli Stati Uniti e che non potrebbero mai capitare qui da noi grazie ai paletti imposti alle aziende dal GDPR e dalla Legge federale sulla protezione dei dati, ma secondo Lee Tien, consulente legale della Electronic Frontier Foundation, anche le aziende europee sono soggette alle procedure legali statunitensi grazie a vari trattati internazionali, e quindi è possibile che i dati personali di un’app di tracciamento sanitario europea possano essere comunque richiesti da un’azione legale che parte dagli Stati Uniti (KFF Health News).

Sono situazioni come questa che fanno dire agli esperti di sicurezza informatica, come Mikko Hyppönen, che argomentare che non c’è da preoccuparsi per queste raccolte di massa di dati personali, perché tanto siamo cittadini onesti e non abbiamo niente da nascondere, semplicemente “non ha senso”.

Non ha senso perché un dato, una volta rilasciato, è rilasciato per sempre, e non abbiamo idea se un dato che oggi non è problematico lo sarà invece in futuro. Un altro esempio in questo senso arriva sempre dagli Stati Uniti, ma in un campo che a prima vista sembra completamente differente: i sistemi di lettura automatica delle targhe dei veicoli.

Diffusissimi fra le forze di polizia e anche fra le aziende, questi sistemi memorizzano oltre un miliardo di passaggi di veicoli ogni mese. L’intento originale era usarli per tracciare i veicoli coinvolti in reati, cosa difficilmente criticabile, ma come fa notare la rivista Wired, questi sistemi possono anche tracciare i veicoli che attraversano un confine di stato, per esempio per portare una persona in uno stato in cui l’aborto è ancora legale. E dato che le targhe sono per definizione esposte al pubblico, non occorre un mandato per procurarsi i dati raccolti da questi lettori automatici (EFF; The Guardian).

Come dice Hyppönen, “possiamo forse fidarci dei nostri governi attuali… ma ci fidiamo ciecamente di qualunque possibile governo futuro, di un governo che potremmo avere fra cinquant’anni?”

[CLIP: citazione di Mikko Hyppönen, tratta da un TEDx Talk del 2011: “And while we might trust our governments right now […], do we blindly trust any future government, a government we might have 50 years from now?”]

Resistenza digitale

La segnalazione su Reddit dalla quale è partita questa storia è diventata virale ed è stata accompagnata da ulteriori avvisi di altri utenti, pubblicati direttamente nelle pagine di download dell’app di tracciamento mestruale in questione per mettere in guardia chi la scarica. Il consiglio ricorrente, in questi avvisi, è non solo di non usare questa app, ma di non usare nessuna app che raccolta dati legati alla sfera intima e di tornare ai vecchi sistemi cartacei: il calendario o l’agendina di una volta, insomma. La paura, infatti, è che una donna che ha un ciclo irregolare possa essere identificata erroneamente come una persona che ha abortito e venga quindi accusata di un reato che non ha commesso, con tutto quello che ne consegue.

Certo, oggi siamo tutti abituati a fare qualunque cosa tramite app, ma la comodità di avere tutto nello smartphone ha un prezzo, e quel prezzo può cambiare in qualunque momento, difficilmente a favore di noi utenti.

Nel frattempo, grazie alle segnalazioni di questo problema è nata una forma di resistenza informatica molto particolare: numerose persone di ogni orientamento stanno scaricando queste app, il cui uso è solitamente gratuito, e le stanno adoperando per tracciare qualunque evento ciclico tranne le mestruazioni. L'intento è riempire di dati fasulli e incomprensibili gli archivi delle aziende che gestiscono queste app, in modo da contaminare il loro database, fargli perdere valore commerciale e impedire agli algoritmi predittivi di funzionare correttamente.

Visto il numero elevatissimo di utenti, questo tipo di sabotaggio probabilmente non sarà molto efficace dal punto di vista pratico e diretto, ma aiuterà a far conoscere il problema e a far capire perché le leggi sulla privacy dei dati sembrano una scocciatura ma sono in realtà così importanti. Servono, in sostanza, a evitare che si passi dal non avere nulla da nascondere al non avere più nulla da nascondere.

2024/05/27

RSI - Niente Panico 2024/05/27

È pronta la puntata di questa settimana di Niente Panico, il programma radiofonico che conduco insieme a Rosy Nervi ogni lunedì mattina alle 11, in diretta sulla Rete Tre della RSI, in aggiunta al consueto podcast del Disinformatico: streaming (si apre in una finestra separata) e download. Qui sotto trovate l’embed.

Questi sono gli argomenti di questa puntata, che include anche la musica:

  • Resoconto di Starmus: la parte scientifica
  • Antitruffa: una domanda veloce in privato su Messenger (Butac.it)
  • Tecniche dei furti degli account social (con testimonianze degli ascoltatori)
  • Cos’è una VPN
  • Donne dimenticate dalla scienza: Chien-Shiung Wu e, in generale, l’Effetto Matilda
  • ChatGPT altera il modo di conversare delle persone
  • Strane offerte di comprare foto personali per trasformarle in NFT: sono truffe
  • Interviste improbabili con Character.ai: Vincent Price (avatar su Character.ai)

2024/05/24

Podcast RSI - ChatGPT ha copiato la voce di Scarlett Johansson? Il Grande Saccheggio dell’IA

logo del Disinformatico

È disponibile subito il podcast di oggi de Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto: lo trovate qui sul sito della RSI (si apre in una finestra/scheda separata) e lo potete scaricare qui.

Le puntate del Disinformatico sono ascoltabili anche tramite iTunes, Google Podcasts, Spotify e feed RSS.

Buon ascolto, e se vi interessano il testo di accompagnamento e i link alle fonti di questa puntata, sono qui sotto.

---

[CLIP: voce di Scarlett Johansson da “Her”]

Questa è la voce dell’attrice Scarlett Johansson dal film del 2013 Her, o Lei nella versione italiana, nel quale interpreta un’intelligenza artificiale che dialoga a voce, usando toni molto umani e seducenti, con i suoi utenti tramite i loro smartphone. Praticamente quello che fa realmente oggi la versione più recente di ChatGPT.

E questa, invece, è una delle voci inglesi di ChatGPT:

[CLIP: voce di Sky da ChatGPT]

Se notate una forte somiglianza, non siete i soli. Questa voce è così simile a quella di Scarlett Johansson che l’attrice ha dichiarato di essere “scioccata, arrabbiata e incredula”, perché “la voce era così simile alla mia che i miei amici più stretti e le redazioni dei giornali non sapevano percepire la differenza” (X/La Regione), e così ora ha incaricato dei legali di investigare sulla vicenda, mentre OpenAI, la società che gestisce ChatGPT, ha rimosso la voce contestata.

Questa è la storia di come l’idea futuribile di un film romantico e visionario è diventata realtà in poco più di un decennio, ma è anche la storia di come le aziende che producono intelligenze artificiali si stanno arricchendo immensamente agendo in zone grigie legali e attingendo al lavoro e alle immagini altrui senza dare alcun compenso, in un grande saccheggio che va accettato, dicono queste aziende, in nome del progresso. E i saccheggiati siamo tutti noi, non solo le celebrità.

Benvenuti alla puntata del 24 maggio 2024 del Disinformatico, il podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane dell’informatica. Io sono Paolo Attivissimo.

[SIGLA di apertura]

Lei e OpenAI, storia di un corteggiamento (professionale)

Questa storia inizia a settembre 2023, quando Sam Altman, CEO di OpenAI, l’azienda di intelligenza artificiale conosciutissima per il suo ChatGPT, ha chiesto all’attrice Scarlett Johansson se era interessata a prestare la sua voce, dietro compenso, alla versione 4.0 di ChatGPT. Johansson ha rifiutato l’offerta, ha detto, “dopo aver riflettuto molto e per ragioni personali”.

Due giorni prima della presentazione al pubblico di ChatGPT 4.0, Altman ha contattato l’agente dell’attrice chiedendo di riprendere in considerazione l’offerta. Prima ancora che iniziasse qualunque trattativa, ChatGPT 4.0 è stato rilasciato con una serie di voci che permettono agli utenti di dialogare in modo molto naturale con questo software semplicemente conversando.

Una di queste voci, denominata Sky, colpisce particolarmente sia per i suoi toni estremamente naturali, spiritosi e vivaci, al limite del flirt continuo con l’utente, sia per il fatto che somiglia davvero parecchio alla voce di Scarlett Johansson.

Se avete visto il film Lei in italiano, avrete apprezzato la voce e il talento della doppiatrice Micaela Ramazzotti…

[CLIP: voce di Micaela Ramazzotti che interpreta Samantha in Lei]

... ma vi sarete persi quella altrettanto memorabile di Johansson e quindi la somiglianza con la voce di ChatGPT non sarà così immediatamente evidente. Però indubbiamente la voce di Sky è molto, molto vicina a quella dell’attrice statunitense. E Altman non ha fatto mistero del fatto che il film Lei è una delle sue ispirazioni centrali, dichiarando pubblicamente che lo considera “incredibilmente profetico” e che ha azzeccato in pieno la rappresentazione del modo in cui oggi le persone interagiscono con le intelligenze artificiali.

Inoltre il 13 maggio scorso, poco dopo la presentazione al pubblico della voce di ChatGPT che ricorda così tanto quella di Johansson, Altman ha pubblicato un tweet contenente una sola parola: her. Il titolo originale del film.

L’attrice ha dato incarico a dei legali, che hanno chiesto formalmente a OpenAI di fornire i dettagli esatti di come hanno creato la voce denominata Sky. L’azienda ha risposto che la voce non è stata generata partendo da quella di Scarlett Johansson, ma appartiene a un’attrice assunta tempo addietro dall’azienda. Il Washington Post ha contattato l’agente di questa attrice, sotto anonimato per ragioni di sicurezza personale, e ha visionato documenti e ascoltato i provini registrati dall’attrice, e risulta che la sua voce calda e coinvolgente è identica a quella di Sky.

OpenAI ha anche pubblicato una cronologia dettagliata degli eventi, dicendo che a maggio 2023 aveva selezionato cinque voci di attori e attrici e successivamente aveva contattato Johansson proponendole di diventare la sesta voce di ChatGPT accanto alle altre, compresa quella di Sky, ma Johansson aveva cordialmente respinto la proposta una settimana più tardi tramite il suo agente.

Le voci degli altri attori sono state integrate in ChatGPT il 25 settembre scorso, dice OpenAI, e sono passati circa otto mesi prima che OpenAI ricontattasse Johansson il 10 maggio scorso, proponendole di diventare una futura voce aggiuntiva di ChatGPT, in occasione del lancio della nuova versione del prodotto. Il 19 maggio, pochi giorni dopo le dichiarazioni di Johansson, l’azienda ha disattivato la voce di Sky, dice, “per rispetto verso le preoccupazioni [dell’attrice]”.

Sembra insomma che si tratti solo di un caso di tempismo poco felice e di incomprensione, ma resta un problema: quello che ha fatto OpenAI, ossia creare una voce che molti trovano estremamente somigliante a quella di Johansson e guadagnarci parecchi soldi, è lecito?

Imitare non è lecito se l’intento è ingannare

Secondo gli esperti interpellati da varie testate giornalistiche, come il Washington Post o The Information, scegliere per il proprio prodotto una voce che somiglia molto a quella di una celebrità, specificamente in questo caso di una celebrità nota per aver interpretato proprio il ruolo della voce di un prodotto analogo, in un film molto conosciuto, e giocare sul fatto che molti utenti paganti di ChatGPT penseranno che si tratti davvero della voce di Johansson, rischia di essere comunque illegale, anche se l’azienda non ha effettivamente clonato la voce dell’attrice ma ha assunto una persona differente però somigliante.

Ci sono dei precedenti piuttosto importanti in questo senso, che risalgono a molto prima del boom dell’intelligenza artificiale. Quando non esisteva ancora la possibilità di usare campioni di registrazioni della voce di una persona per generarne una replica digitale si usavano gli imitatori in carne e ossa.

Per esempio, nel 1986 uno spot televisivo della Ford usò una imitatrice al posto della cantante Bette Midler come voce per un brano, Do You Wanna Dance di Bobby Freeman, che Midler aveva cantato. Midler era stata contattata per chiederle se fosse disposta a cantare nello spot, e lei aveva rifiutato. È così l’agenzia pubblicitaria incaricata dalla Ford, la Young & Rubicam, fece cantare la canzone a una corista di Bette Midler, Ula Hedwig.

Il parallelo con la vicenda di Scarlett Johansson e OpenAI è evidente, ma c’è una differenza importante: nel caso di Bette Midler, l’agenzia diede alla corista l’istruzione specifica di imitare la cantante. Midler fece causa, e vinse, ricevendo 400.000 dollari di risarcimento.

Anche il cantante Tom Waits si è trovato al centro di un caso di imitazione a scopo pubblicitario. Nel 1990 la ditta Frito-Lay usò un imitatore per inserire in un suo spot, dedicato alle patatine di mais, una voce che somigliasse a quella di Waits. L‘azienda fu condannata a pagare due milioni e mezzo di dollari.

Anche il chitarrista Carlos Santana, nel 1991, fece causa a un’azienda, la Miller Beer, per aver assunto un imitatore: non della sua voce, ma del suo stile di suonare la chitarra, in modo da poter usare il suo celeberrimo brano Black Magic Woman in uno spot televisivo. La disputa fu risolta in via stragiudiziale.

In sostanza, stando agli esperti, non importa se OpenAI ha assunto un sosia vocale di Scarlett Johansson o se ha proprio clonato la sua voce usando l’intelligenza artificiale: quello che conta è che ci fosse o meno l’intenzione di assomigliare alla voce di Johansson. Per il momento ci sono notevoli indizi indiretti di questa intenzione, ma manca una prova schiacciante: una richiesta esplicita di imitare la celebre attrice. Che fra l’altro per ora non ha avviato formalmente una causa.

Ma comunque vadano le cose nella disputa fra OpenAI e Scarlett Johansson, il problema dello sfruttamento gratuito dell’immagine, della voce o delle creazioni altrui da parte delle aziende di intelligenza artificiale rimane e tocca non solo gli attori e gli autori, ma ciascuno di noi.

Il Grande Saccheggio

Le intelligenze artificiali, infatti, hanno bisogno di enormi quantità di dati sui quali addestrarsi. Se devono riconoscere immagini, devono addestrarsi usando milioni di fotografie; se devono elaborare testi o generare risposte testuali, devono leggere miliardi di pagine; se devono generare musica, hanno bisogno di acquisire milioni di brani. Ma molte di queste immagini, di questi testi e di questi brani sono protetti dal diritto d’autore, appartengono a qualcuno. Se un’azienda usa contenuti di terzi senza autorizzazione per guadagnare soldi, sta commettendo un abuso.

La fame di contenuti delle intelligenze artificiali sembra inesauribile e incontenibile, e le aziende non sembrano curarsi troppo del fatto che i loro software saccheggino le dispense intellettuali altrui.

Gli esperti, infatti, hanno trovato il modo di rivelare che quasi tutti i principali software di intelligenza artificiale contengono i testi integrali di libri, riviste e quotidiani. A dicembre scorso il New York Times ha avviato una causa contro OpenAI e Microsoft per violazione del diritto d'autore, dato che ChatGPT e Bing Chat hanno dimostrato di essere capaci di produrre contenuti praticamente identici a milioni di articoli del Times, sfruttando la fatica cumulativa dei giornalisti della testata senza permesso e senza compenso.

Anche gli scrittori George RR Martin (celebre per il Trono di spade) e John Grisham, insieme a molte altre firme celebri, hanno avviato una lite con OpenAI, perché è emerso che ChatGPT ha incamerato e usato i testi integrali dei loro libri per migliorare le proprie capacità. Accusano OpenAI testualmente di “furto sistematico di massa”.

E non è solo un problema degli autori. Nella loro fame irrefrenabile, le intelligenze artificiali ingeriscono qualunque testo e cercano sempre contenuti nuovi, e le aziende non si fanno scrupoli a fornirglieli da qualunque fonte. Per esempio, Slack, una popolarissima piattaforma di chat e collaborazione aziendale, ha annunciato che usa le conversazioni degli utenti per addestrare la propria intelligenza artificiale, senza chiedere il loro consenso preventivo. Grok, l’intelligenza artificiale di X o Twitter, legge tutti i post pubblici degli utenti. Meta ha dato in pasto alla propria intelligenza artificiale un miliardo di post su Instagram, Google fa leggere alla propria intelligenza artificiale le mail degli utenti di Gmail, e Microsoft usa le chat con Bing per addestrare il proprio software. Nel campo delle immagini, Midjourney e OpenAI sono in grado di ricreare scene di film e videogiochi, dimostrando così di essere stati addestrati usando questi contenuti sotto copyright. Così fan tutti, insomma.

Ma nessuno di noi, quando ha aperto la propria casella Gmail o il proprio profilo Instagram, tempo fa, aveva immaginato un futuro nel quale le sue conversazioni, le sue foto, i suoi video sarebbero stati usati in massa per addestrare software che, se pungolati correttamente, rigurgitano brani interi di queste conversazioni.

E le aziende del settore dicono spavaldamente che tutto questo non solo va bene e che non c’è da preoccuparsi: dichiarano che è addirittura necessario, perché secondo loro è “impossibile” addestrare le grandi intelligenze artificiali senza attingere a opere vincolate dal diritto d'autore. Lo ha dichiarato specificamente OpenAI in una comunicazione formale alla Camera dei Lord britannica a dicembre scorso.

Ma c’è anche chi traduce quella comunicazione formale in parole molto più concise e taglienti, come l’esperto di intelligenza artificiale e professore emerito alla New York University Gary Marcus, che riassume la questione così: “Non possiamo diventare favolosamente ricchi se non ci permettete di rubare, quindi fate in modo che rubare non sia reato, e non fateci neanche pagare diritti di licenza! Certo, Netflix paga miliardi l’anno in diritti, ma noi non dovremmo essere tenuti a farlo!”

OpenAI vale attualmente circa 80 miliardi di dollari e ha triplicato il proprio valore in meno di dieci mesi.

2024/05/20

Quizzello: riuscite a identificare la frase generata dal mio clone digitale nel mio podcast?

Vi racconto un piccolo esempio di come l’intelligenza artificiale è concretamente utile nel mio lavoro. Ho finito il montaggio del mio podcast più recente mentre ero in viaggio, a Bratislava, per il festival di musica e scienza Starmus, come ho raccontato nei post precedenti. Avevo registrato il parlato prima di partire, ma dopo la partenza mi sono accorto di aver fatto una papera, leggendo una parola al posto di un’altra e quindi cambiando completamente il senso di una frase.

La frase non era sacrificabile e non c‘era modo di rimediare usando il montaggio digitale classico, e non avevo con me il microfono professionale che uso per registrare il parlato dei miei podcast. Anche se lo avessi avuto, sarebbe stato difficile trovare una stanza priva di rimbombo in cui registrare.

Soluzione: invocare il mio clone vocale. Tempo addietro ho fatto clonare la mia voce a ElevenLabs, e così sono andato online e ho chiesto al mio clone di leggere al posto mio quella frase sbagliata. Ho fatto fare qualche tentativo con varie intonazioni, poi ho scelto quella più calzante, l’ho scaricata e l’ho inserita nel podcast esattamente come se fossi tornato miracolosamente in studio a riregistrarla. Alle dieci di sera. Problema risolto!

Riuscite a riconoscere il punto in cui la mia voce è quella sintetica?

Per praticità, ripropongo qui il podcast in questione:

Secondo me, la versione sintetica è indistinguibile da quella reale a un ascolto normalmente attento e non verrebbe affatto notata se non segnalassi la sua presenza. Forse un ascolto molto attento, fatto in cuffia, potrebbe far notare il rattoppo del parlato.

Buona caccia!

ALLERTA SPOILER: La soluzione

La frase sostituita è “Eppure le risorse informative per tenersi aggiornati...” (a 8:10). Io avevo detto informatiche e non me ne ero accorto.

2024/05/17

Starmus Bratislava, giorno 5 (17 maggio): il gran finale

Proseguo il resoconto del festival di musica e scienza Starmus che si sta tenendo a Bratislava, in Slovacchia: oggi è l’ultimo giorno.

  • Kathryn Thornton (astronauta Shuttle). Correcting Hubble’s Vision: First Service Mission to the Hubble Space Telescope
  • Chris Hadfield (astronauta Shuttle e Soyuz). The Sky is Falling – what to do about Space Junk?
  • Neil Lawrence (informatico, professore di machine learning all’Università di Cambridge). What makes us unique in the age of AI
  • Garrett Reisman (astronauta Shuttle, consulente di SpaceX) (fuori programma).
  • David Eicher (Astronomy) e Robert Rees (London Stereoscopic Company) (fuori programma). Intervento dedicato al ricordo dell’astronomo Sir Patrick Moore, storico divulgatore scientifico britannico (The Sky at Night).
  • Carole Mundell (Director of Science all’ESA). From near Earth to the fabric of Space time - Journey through the Cosmos with the European Space Agency
  • Dante Lauretta (planetologo, Principal Investigator della missione OSIRIS-REx). From Bennu to the Brain: Tracing the Origins of Life and Consciousness through Asteroid Sample Analysis
  • Brian Greene (fisico e autore di libri di divulgazione della scienza). Until the end of time
  • Dibattito conclusivo con Joel Parker (astrofisico), Patrick Michel (planetologo), Scott Hubbard (astrofisico), Garrett Reisman (astronauta Shuttle, consulente di SpaceX); fuori programma, Victor Glover (astronauta Artemis, in video preregistrato). Humans to the Moon and Mars: Good idea or not?

asa

2024/05/16

Starmus Bratislava, giorno 4 (16 maggio)

Proseguo il mio resoconto di Starmus presentando i relatori della giornata di oggi.

  • Pietro Barabaschi (fisico, direttore del progetto di fusione nucleare ITER). Can nuclear fusion help to fuel the world? ITER and the Global Fusion Innovation Program. Lo stato attuale del progetto ITER.
  • Martin Rees (astrofisico). Post-human intelligence - a cosmic perspective (in video). L’esplorazione del cosmo da parte di esseri umani, finanziata dai governi, non ha senso: troppo costosa e inefficiente rispetto alla robotica di oggi e soprattutto a quella del prossimo futuro. Ma gli esploratori umani privati potrebbero avere senso, e se ci saranno, probabilmente modificheranno geneticamente la propria progenie per adattare l’organismo all’ambiente. Ipotesi scientifiche sulla vita tecnologica extraterrestre, biologica o non biologica.
  • George Smoot (astrofisico e premio Nobel). Cosmology: today and tomorrow. Lo stato dell’arte nelle osservazioni cosmologiche.
  • Michel Mayor (astrofisico e premio Nobel, scopritore del primo esopianeta). Change of paradigm during the 20th century - From one to billions of planetary systems.
  • Laurie Anderson (scrittrice, regista, compositrice, artista visivo, musicista e vocalista). Building an ARK.
  • Anton Zeilinger (fisico, premio Nobel), Randomness and reality.
  • Donna Strickland (fisico, premio Nobel). Global Environmental Measurement and Monitoring (GEMM).
  • Kurt Wütrich (chimico/biofisico, premio Nobel). Brownian Motion and Protein Dynamics in Solution.
  • Ospite aggiunto fuori programma: David Zambuka (comico della scienza). Artificial Intelligence.
  • 108 Minutes (evento privato a invito). Tavola rotonda con Jane Goodall, Tony Fadell, Laurie Anderson Chris Hadfield, Dexter Holland, Garik Israelian, Martin Rees, Katharine Hayhoe e Steven Chu.

Starmus Bratislava, giorno 3 (15 maggio)

Ieri Starmus è stato dedicato interamente alla musica, anche se nelle università vari relatori hanno tenuto delle conferenze per gli studenti, come negli altri giorni.

Si è svolta infatti la cerimonia di consegna delle Stephen Hawking Medal, le medaglie dedicate a chi si è distinto nella comunicazione della scienza. Sul palco si sono avvicendati Montserrat Martì (cantante, figlia di Montserrat Caballé), Celeste Buckingham (cantante slovacca) insieme al rapper slovacco Tono Suchota, Tony Hadley (degli Spandau Ballet), che ha incantato con Life on Mars (accompagnato nientemeno che dal tastierista che suonò nella versione originale di questa canzone, ossia un certo Rick Wakeman, e scusate se è poco), Through the Barricades, True e Gold, accompagnato dall’Orchestra filarmonica slovacca. Fra i brani presentati, We Are the Champions e Earth Song, cantati anche da un coro di bambini e bambine davvero notevole.

Wakeman ha poi eseguito il tema musicale di Starmus, scritto da lui, e un altro suo brano scritto per l’etologa Jane Goodall, che ha ricevuto dal pubblico una standing ovation insieme alla medaglia Hawking. Gli altri premiati sono stati Laurie Anderson (presente), Christopher Nolan (in video), David Attenborough (che a 98 anni ha scritto a Brian May una bellissima lettera di carta per scusarsi di non poter essere presente di persona), e l’oceanografa Sylvia Earle (presente).

Garik Israelian ha introdotto la serata e Robin Ince l’ha condotta, tenendo conto anche delle notizie gravissime dell’attentato al primo ministro slovacco Robert Fico. Ince ha regalato anche la lettura di sue poesie a metà fra scienza e sentimento: una si concludeva con questa dedica bellissima, un’ode alla capacità umana di creare bellezza attraverso la scienza: “Emergent complexity briefly defeats the void”. La complessità emergente sconfigge, brevemente, il vuoto.

Dopo la cerimonia, siamo rimasti in sala per il fragoroso concerto degli Offspring, nel quale ha fatto capolino Brian May. Cose che succedono solo qui a Starmus.

Queste sono le foto scattate da me: sto scaricando quelle ufficiali e ne pubblicherò qui una selezione. <







Laurie Anderson fra il pubblico.

Podcast RSI - Svizzera, rapporto federale: raddoppiano gli incidenti informatici. Come rimediare (seconda parte)

logo del Disinformatico

Ultimo aggiornamento: 2024/05/17 9:05.

È disponibile subito il podcast di oggi de Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto: lo trovate qui sul sito della RSI (si apre in una finestra/scheda separata) e lo potete scaricare qui.

Le puntate del Disinformatico sono ascoltabili anche tramite iTunes, Google Podcasts, Spotify e feed RSS.

Buon ascolto, e se vi interessano il testo di accompagnamento e i link alle fonti di questa puntata, sono qui sotto.

---

[CLIP: audio tratto da “Mr. Robot”: “Che stai facendo di preciso?” “Sto hackerando l’FBI”]

Hackerare l’FBI può sembrare il desiderio proibito di ogni criminale informatico, ed è sicuramente una frase ad effetto che colpisce, come dimostra bene questo spezzone tratto dalla serie televisiva Mr. Robot, ma in realtà al criminale medio conviene dedicarsi a bersagli meno ambiziosi ma più remunerativi: alberghi, piccole aziende, e anche ospedali.

Questo è lo scenario che emerge dalla lettura del nuovo rapporto semestrale dell’Ufficio federale della cibersicurezza svizzero o UFCS, che è scaricabile anche in italiano, illustra le tecniche di attacco più diffuse sul territorio nazionale e propone soluzioni di difesa, per fare prevenzione, e di supporto, per i casi in cui la difesa non basta.

Benvenuti alla puntata del 17 maggio 2024 del Disinformatico, il podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane dell’informatica.

Io sono Paolo Attivissimo, e nella puntata precedente ho raccontato le statistiche salienti e le principali tecniche di attacco informatico citate in questo rapporto semestrale. In questa puntata provo invece a raccontarvi i rimedi proposti dal rapporto, che ciascuno di noi può adottare per migliorare la propria sicurezza informatica.

[SIGLA di apertura]

Svizzera, colabrodo digitale?

Sul piano della cibersicurezza, in Svizzera si riscontrano attualmente le seguenti sfide principali:

  • elevata vulnerabilità dell’economia, delle autorità, degli istituti di formazione e della popolazione nel ciberspazio;
  • insufficiente capacità di reazione in caso di ciberincidenti e crisi di rilevanza sistemica;
  • scarsa maturità dei prodotti e dei servizi digitali in termini di cibersicurezza e assenza di meccanismi di controllo della qualità;
  • comprensione non abbastanza avanzata della problematica della cibersicurezza da parte degli ambienti economici, in seno alla società e a livello politico;
  • mancanza di trasparenza e insufficienza di dati per una corretta valutazione delle dichiarazioni in materia di cibersicurezza e per la definizione di corrispondenti misure politiche ed economiche;
  • scarsa protezione degli attori non contemplati tra le infrastrutture critiche;
  • zone grigie giuridiche e coordinamento lacunoso degli strumenti per la cibersicurezza tra autorità e operatori privati.”

Parole di fuoco, e mi affretto a chiarire che non sono parole mie: sono tratte testualmente dalla pagina iniziale della Strategia dell’Ufficio federale della cibersicurezza UFCS, un documento scaricabile dal sito dell’amministrazione federale e pubblicato il 6 maggio scorso. 

 

Lo stesso documento riporta inoltre dei numeri davvero notevoli:

Negli ultimi anni il numero di segnalazioni di ciberincidenti che hanno provocato danni è aumentato di circa il 30 per cento l’anno. Il numero di segnalazioni provenienti da infrastrutture non critiche è quasi triplicato negli ultimi dodici mesi. Nel 2023 l’UFCS ha elaborato 187 000 segnalazioni di phishing e ha identificato e chiuso in Svizzera 8223 siti web utilizzati per operazioni di phishing. Nel quadro di diverse centinaia di segnalazioni, l’UFCS ha individuato la presenza di malware presso infrastrutture critiche, provvedendo alla loro eliminazione in collaborazione con le aziende colpite. In media ogni 40 ore l’UFCS riceve una segnalazione concernente un’infezione da malware e una relativa richiesta di supporto per la gestione dell’incidente.

Il resto del documento ha un tono più positivo, con una sorta di chiamata alle armi basata su quattro pilastri, ossia:

  • rendere comprensibili le minacce informatiche

  • mettere a disposizione strumenti di prevenzione degli attacchi informatici

  • ridurre i danni di questi attacchi

  • e aumentare la sicurezza dei prodotti e dei servizi digitali.

La sicurezza informatica viene descritta dal documento come “un compito congiunto della politica, dell’economia, delle scuole universitarie e della società”, con buona pace di chi ancora pensa che sia un compito che riguarda solo i tecnici e gli smanettoni.

Questa nuova visione si rispecchia anche, e molto concretamente, in questa nuova veste di ufficio federale presso il Dipartimento della difesa, della protezione della popolazione e dello sport; l’UFCS dal primo gennaio 2024 subentra al Centro nazionale per la cibersicurezza, che faceva parte del Dipartimento federale delle finanze, e diventa il “centro di competenza della Confederazione per le ciberminacce”.

Quelle parole pesanti iniziali, che sembrano dipingere la Svizzera come un colabrodo digitale, vengono però mitigate nel rapporto semestrale più recente da Florian Schütz, direttore dell’Ufficio federale della cibersicurezza, che sottolinea che [i]n un confronto internazionale, la Svizzera si colloca a metà classifica”. C’è insomma chi sta molto peggio, ma anche chi sta molto meglio.

Vediamo cosa si può fare concretamente per salire in questa classifica, partendo da un caso molto concreto: le truffe alberghiere legate a Booking.com.

L’UFCS spiega la tecnica di attacco delle false mail di Booking.com

Nella seconda metà del 2023 molte persone sono state colpite da una particolare truffa riguardante le prenotazioni di alberghi, nella quale il messaggio dei truffatori arrivava davvero da Booking.com, tanto che era disponibile anche nell’app e nel sito web di questo noto intermediario online, ed era stato realmente spedito dall’albergo dove era stata fatta la prenotazione.

Il messaggio avvisava che la prenotazione fatta dalla vittima rischiava di essere annullata perché la carta di credito del cliente non era stata verificata con successo. Per tentare una nuova verifica si doveva cliccare su un link cortesemente fornito, ed era qui che scattava la truffa: il link portava a un sito il cui nome somigliava a quello di Booking.com e che chiedeva di immettere i dettagli della carta di credito. Se la vittima non se ne accorgeva, forniva i dati della sua carta ai malviventi. Ne avevo parlato nel podcast del 17 novembre 2023.

Il rapporto dell’UFCS getta finalmente luce sulla tecnica usata dai criminali per mettere a segno il loro attacco: riuscivano a farsi dare le credenziali d’accesso dell’account Booking.com dell’albergo usando vari metodi di persuasione per “indurre il personale dell’albergo a cliccare su un link e installare un programma nocivo”.

Per esempio, dice il rapporto, si faceva credere che un ospite fosse stato ricattato con immagini pornografiche che si presumeva fossero state scattate nella camera dove soggiornava. Il mittente concedeva due giorni all’hotel per chiarire la questione e scoprire il colpevole, altrimenti sarebbe stato ritenuto complice. Quale prova dell’accaduto, l’intera documentazione del caso sarebbe stata archiviata, secondo i criminali, in un file scaricabile tramite un link indicato nell’e-mail. Cliccando sul link, però, veniva scaricato un malware che registrava tutti i dati d’accesso disponibili e li trasmetteva ai truffatori, permettendo a loro di visualizzare le prenotazioni attuali dell’albergo effettuate tramite le varie piattaforme online come Booking.com.

È incredibile, e piuttosto imbarazzante, che ancora adesso ci siano sistemi informatici che possono essere infettati semplicemente cliccando su un link e che ci siano persone che sul posto di lavoro aprono gli allegati eseguibili ricevuti, senza il minimo controllo di sicurezza. E infatti il rapporto dell’UFCS raccomanda, soprattutto agli alberghi, che “si trovano a dover aprire molti documenti trasmessi dagli ospiti”, di non dimenticare mai che “I file eseguibili non devono […] essere aperti per nessuna ragione” e raccomanda anche di “pensare a una strategia che permetta di tenere i computer destinati alla comunicazione con gli ospiti separati dal resto della rete”: la cosiddetta segmentazione della rete. Semplici comportamenti preventivi, che non sono certo una novità ma che continuano a non essere adottati.

Eppure le risorse informative per tenersi aggiornati sulle minacce informatiche e sulle procedure ottimali per ridurle o eliminarle non mancano.

Risorse e tecniche per contrastare il crimine informatico

Il rapporto semestrale dell’Ufficio federale della cibersicurezza elenca moltissimi siti che offrono informazioni chiare e dettagliate, senza gergo tecnico, per migliorare la sicurezza informatica di tutti. Siti come Cybercrimepolice.ch, Ebanking - ma sicuro, il sito della Prevenzione Svizzera della Criminalità, iBarry.ch, S-u-p-e-r.ch e altri ancora, di cui trovate tutti i link presso Disinformatico.info.

L’UFCS tocca inoltre un altro tasto dolente della sicurezza informatica: quando un sito viene attaccato o è in pericolo, spessissimo è molto difficile trovare le informazioni di contatto del suo responsabile della sicurezza per avvisarlo della situazione, e questo fa perdere tempo prezioso a chi vorrebbe appunto avvisare del rischio informatico. A volte queste informazioni di contatto non sono nemmeno pubblicate.

L’Ufficio federale della cibersicurezza propone una soluzione semplice e standardizzata a questo problema, che si chiama Security.txt. In sostanza, i gestori dei siti sono invitati a creare un documento di testo contenente le informazioni di contatto per le questioni di sicurezza e a renderlo pubblicamente consultabile. Tutto qui. Questo documento ha un nome standard, cioè appunto security.txt, ed è messo a disposizione in una cartella altrettanto standard del sito, vale a dire .well-known.

In questo modo chi deve lanciare un allarme su un qualsiasi sito colpito da un attacco o a rischio di attacco può andare a colpo sicuro e può raggiungere direttamente il responsabile della sicurezza informatica di qualunque sito, senza perdere tempo in ricerche e soprattutto senza disperarsi a cercare di spiegare al centralinista o a varie altre persone non addette ai lavori i dettagli tecnici di un attacco informatico prima di riuscire finalmente a parlare con la persona giusta.

Secondo quanto rilevato dall'UFCS”, a oggi “in Svizzera applicano questo standard già alcune migliaia di siti ma, considerato che i siti attivi sono milioni” c’è “ancora margine di miglioramento. L'UFCS invita le imprese, le organizzazioni e le amministrazioni presenti sul territorio nazionale ad applicare questo standard di sicurezza”, notando che questo standard è in corso di adozione anche presso l’amministrazione federale: se volete vedere un esempio pratico di questo modo di indicare rapidamente le coordinate di contatto, potete visitare www.admin.ch/.well-known/security.txt. L’UFCS ha anche predisposto una guida apposita sulla comunicazione delle vulnerabilità per le organizzazioni e le imprese.

Dal documento di strategia emerge anche un altro aspetto importante di questo Ufficio federale: non si limita a fornire istruzioni e chiedere che gli utenti facciano i loro compiti, ma (cito) “assiste le vittime nella gestione degli eventi fornendo loro consulenza tecnica nonché assistenza sul piano organizzativo. A seconda del potenziale di danno, le prestazioni di supporto spaziano dalla semplice consulenza fino alla gestione integrale della crisi informatica (protezione tecnica e ripristino compresi)”. Naturalmente “le prestazioni dell’UFCS sono fornite ai privati in via sussidiaria”, per cui chi ha le risorse per gestire in proprio la sicurezza è tenuto a farlo, ma le tante piccole imprese che fanno perennemente fatica a stare al passo con le novità di sicurezza informatica possono avere un supporto concreto e coordinato.

L’importante, come sempre, è il primo passo: capire che la sicurezza informatica non è un gioco e non è il problema di qualcun altro, ma ci tocca tutti.

2024/05/14

Starmus Bratislava, giorno 2 (14 maggio)

Scrivo qui in tempo reale la cronaca del secondo giorno della manifestazione di musica e scienza Starmus, che si sta tenendo a Bratislava, in Slovacchia. Questo è il programma degli interventi di oggi:

  • Edvard Moser (neuroscienziato e premio Nobel): Nature or nurture – Are we born with a sense of space? Affascinante spiegazione del sistema con il quale il cervello mappa le posizioni e sa dov’è rispetto all’ambiente
  • Charlie Duke (astronauta lunare Apollo): To The Moon Again: The Hope of Artemis. Presentazione del progetto Artemis a confronto con Apollo.
  • Tony Fadell (imprenditore, investitore, inventore dell’iPod): Innovating to save our planet. Il metano, altro gas serra ad altissimo impatto, è ora finalmente tracciabile grazie a MethaneSAT, un satellite attualmente in orbita al quale ha contribuito in gran parte Fadell; i dati grezzi saranno disponibili pubblicamente gratis.
  • Kip Thorne (fisico teorico e premio Nobel) e Lia Halloran (artista): Poetry, Art and Science: The Warped Side of the Universe. Presentazione del loro libro The Warped Side of Our Universe che unisce arte e scienza, e discussione delle vacuum fluctuations: quello che rimane quando rimuovi tutto dallo spazio. Ciliegina sulla torta, la spiegazione di come LIGO fa correzione d’errore.
  • Richard Marko (informatico, CEO di ESET): Tech for Earth: Rethinking Cybersecurity in the Age of Global Challenges. Cronologia e tecnologia degli attacchi informatici di origine russa contro l’Ucraina e uso dell’intelligenza artificiale nella gestione degli incidenti informatici.
  • Bernhard Schölkopf (informatico del Max Planck Institut, esperto in machine learning): Is AI intelligent?
  • Philip Torr (informatico dell’Università di Oxford): AI to the people
  • Gary Marcus (informatico): Taming Silicon Valley
  • Roeland Nusselder (informatico): AI will eat all our energy, unless we make it tiny. Interessantissima presentazione sulle mini-IA dedicate a un singolo scopo. Costa meno (e consuma meno energia) elaborare in loco, anche su hardware minimo, che inviare le immagini per l’analisi remota, con enormi benefici di sicurezza e privacy.

2024/05/13

Starmus Bratislava, giorno 1 (13 maggio)

Ultimo aggiornamento: 2024/05/14 8:35

Sono appena stato alla conferenza stampa di presentazione di Starmus, con Garik Israelian (astrofisico, co-organizzatore dell’evento), Brian May, Jean Michel Jarre, Jane Goodall (sì, quella Jane Goodall), David Eicher (editor della rivista Astronomy) e Tony Fadell (ingegnere, mega-investitore e artefice generale dell’iPod).

Ecco qualche foto che ho fatto.

Brian May arriva alla conferenza stampa.
Da sinistra: Eicher, Jarre, May, Israelian, Goodall, Fadell.
Una bella immagine di gruppo: Jarre, May, Israelian, Goodall, Fadell.
Jean-Michell Jarre mi passa davanti, faccio uno scatto di corsa.
La sala principale della Tipos Arena a Bratislava, allestita per Starmus.
La regia imponente della sala principale.

Tra poco si comincia con le conferenze scientifiche, e si parte alla grande, con Jane Goodall, che a 90 anni porta un messaggio di speranza per l’ambiente (e fa a voce il saluto che ha imparato dagli scimpanzé). Seguono la climatologa Katharine Hayhoe, l’economista Nathaniel Keohane, la sociologa Mary Kaldor, la biologa marina e oceanografa Sylvia Earle.

Finora i loro interventi sono stati incentrati su un cauto ottimismo: dati concreti su azioni per contrastare l’impatto ambientale delle nostre attività, soluzioni anche economiche per gestire la transizione, la considerazione che oggi perlomeno abbiamo i dati necessari per decidere mentre prima non avevamo nemmeno quei dati, ma soprattutto esperienze personali di contatto con la natura e con il suo valore, come quelli di Goodall e Earle, che nel corso delle loro carriere straordinarie hanno visto trasformarsi la conoscenza nei propri settori e la percezione del ruolo degli esseri umani, da dominatori esclusivi del tutto a comprimari ingombranti e maldestri che devono imparare a convivere con gli altri attori sulla scena del nostro pianeta se non vogliono che cali il sipario per tutti.

Dopo la pausa, il palco ospita Steven Chu (premio Nobel per la fisica nel 1997), con una relazione strapiena di dati interessantissimi che dovrò assolutamente trascrivervi, e Maureen Raymo, geologa marina e oceanografa.

La prima giornata si conclude con due interessantissimi dibattiti: il primo con Ros Rickaby (biogeochimica) e Bob Bishop (fisico matematico, informatico) (Damia Barcelo, annunciata nel programma, non è presente), sul tema dei flussi atmosferici di vapore acqueo o atmospheric river, e il secondo con Svitlana Krakovska e Chris Rapley (entrambi climatologi), sul collasso dei ghiacci antartici.

RSI - Niente Panico 2024/05/13

È a vostra disposizione la puntata di questa settimana di Niente Panico, il programma radiofonico che conduco insieme a Rosy Nervi ogni lunedì mattina alle 11, in diretta alla RSI, in aggiunta al consueto podcast del Disinformatico: streaming (si apre in una finestra separata) e download. Qui sotto trovate l’embed.

Questi sono gli argomenti di questa puntata, che include anche la musica, in collegamento da Bratislava:

  • Resoconto di Starmus (il concerto di Jean-Michel Jarre e le conferenze di Jane Gooodall e di altri scienziati, astronauti, informatici, premi Nobel)
  • Antibufala: le origini sarde di Batman (Butac.it)
  • Donne dimenticate dalla scienza: Lise Meitner

2024/05/12

Sono a Bratislava per Starmus: si comincia con il concerto di Jean-Michel Jarre e Brian May

Sono tornato a postare su Twitter/X per raccontare il festival di scienza e musica Starmus, che inizia stasera a Bratislava con un concerto di Jean-Michel Jarre e Brian May.

Posterò anche su Instagram e Mastodon, e mi sono iscritto alla spunta blu di Twitter turandomi il naso, ma ho letto i vostri pareri molto saggi sull’idea di vendere il mio account Twitter e alla fine ho deciso di tenerlo e di riprendere a usarlo almeno per diffondere conoscenza e segnalare diffusamente eventi interessanti.

Non lo userò per conversare, ma se devo scegliere come far sapere che si parla di scienza con un bouquet incredibile di premi Nobel, astronauti ed esperti ai massimi livelli, mi rassegno al fatto che 420.000 follower su Twitter hanno una portata ben superiore a 5300 su Instagram. E quindi sì, sto pagando otto dollari al mese a Elon Musk. Non odiatemi.

2024/05/13 00:30

La Dama del Maniero e io siamo appena rientrati dal concerto. Notevolissimo, costruito benissimo, audio perfetto e concezione visionaria, con un riferimento importante a Edward Snowden. Il video è disponibile qui sotto e la lista dei brani dovrebbe essere questa:

Noi eravamo proprio dietro la telecamera montata su un binario a terra, che scorreva parallela al palco.

2024/05/09

Podcast RSI - Svizzera, rapporto federale: raddoppiano gli incidenti informatici. Come rimediare (prima parte)

logo del Disinformatico

È disponibile subito il podcast di oggi de Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto: lo trovate qui sul sito della RSI (si apre in una finestra/scheda separata) e lo potete scaricare qui.

Le puntate del Disinformatico sono ascoltabili anche tramite iTunes, Google Podcasts, Spotify e feed RSS.

Buon ascolto, e se vi interessano il testo di accompagnamento e i link alle fonti di questa puntata, sono qui sotto.

---

[CLIP: Descrizione di un hackeraggio da “Mr. Robot”]

I toni drammatici di un telefilm come Mr. Robot, dal quale è tratto questo spezzone, possono sembrare fantasiosi ed esagerati, ma non sono poi così tanto lontani dalla realtà degli attacchi informatici.

Le tecniche descritte da questa serie sono infatti realistiche, anche se c’è qualche licenza narrativa per esempio sui tempi di esecuzione, e sappiamo che sono realistiche perché i resoconti reali degli addetti ai lavori raccontano di un mondo sommerso di attacchi veri, sferrati contro aziende e infrastrutture, da cui solo ogni tanto affiora nella cronaca qualche episodio particolarmente sensazionale.

Fra questi resoconti c’è quello semestrale dell’Ufficio federale della cibersicurezza svizzero o UFCS, di cui è appena stata pubblicata una versione aggiornata scaricabile, riferita al secondo semestre del 2023, che contiene dati, statistiche, esempi di casi concreti e tantissime risorse utili da conoscere per evitare di diventare uno di quei dati e di entrare a far parte di quelle statistiche.

Ma è scritto in linguaggio piuttosto tecnico, e a pochi verrà in mente di leggersi quaranta pagine fitte di un testo intitolato, in modo molto pragmatico ma poco accattivante, Rapporto semestrale 2023/II (luglio-dicembre) - Sicurezza delle informazioni - La situazione in Svizzera e a livello internazionale. L’ho fatto io per voi, e così posso raccontarvi le cose più importanti da sapere per essere pronti alle nuove sfide di sicurezza informatica. E se avete pensato che sicuramente ci sarà di mezzo l’intelligenza artificiale, non avete torto.

Benvenuti alla puntata del 10 maggio 2024 del Disinformatico, il podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane dell’informatica. Io sono Paolo Attivissimo.

[SIGLA di apertura]

Tecniche classiche in aumento, ma cala il ransomware

Per capire correttamente questo rapporto è necessario partire da una premessa che ci riguarda tutti: i suoi dati si basano sulle segnalazioni degli attacchi, fatte alle autorità, ossia all’Ufficio federale della cibersicurezza, da chi li ha subiti. I numeri del rapporto, insomma, non rappresentano tutti i “ciberincidenti”, per usare la terminologia del documento, ma soltanto quelli segnalati.

Questo vuol dire che le segnalazioni sono importantissime per gli addetti ai lavoro, contrariamente a quello che molti pensano, cioè che sia inutile informare le forze dell’ordine di un attacco subìto, perché tanto le speranze di ottenere la punizione dei colpevoli sono minime. Sì, è vero che i criminali informatici risiedono quasi sempre all’estero, in paesi nei quali sanno che non verranno perseguiti, e quindi è improbabile avere giustizia o riavere i soldi o i dati sottratti con la frode informatica, ma segnalare gli attacchi serve per consentire agli esperti di sapere quali sono le tecniche più frequenti e quindi per concentrare i loro sforzi dove c’è maggiore bisogno, per poter avvisare la popolazione e le imprese in caso di un’escalation della minaccia”, come dice appunto il rapporto, e a volte serve anche per scoprire tecniche inedite.

È importante anche distinguere le segnalazioni dalle denunce: le segnalazioni sono molto più semplici da fare. Il rapporto consiglia di farle online, presso l’apposita pagina dell’Ufficio Federale della Cibersicurezza oppure presso il sito Antiphishing.ch. Trovate i nomi e i link a tutte queste fonti presso Disinformatico.info.

Detto questo, i numeri delle segnalazioni sono impressionanti: nel secondo semestre del 2023 ne sono state inviate oltre 30.000, quasi il doppio rispetto allo stesso periodo del 2022. L’aumento, dice il rapporto, è causato soprattutto dalle truffe, sotto forma di offerte di lavoro fraudolente” echiamate fasulle a nome della polizia”.

Le offerte di lavoro fasulle sono state diffuse soprattutto tramite WhatsApp e hanno seguito uno schema piuttosto complicato che però illustra bene il livello di sofisticazione dei criminali. Chi rispondeva a queste offerte riceveva infatti un elenco di mandati, per esempio redigere recensioni di prodotti, in cambio di un compenso versato su una piattaforma online gestita dai truffatori. Ma

il numero di mandati disponibili” dice il rapporto “si azzerava rapidamente. Per accelerare l’attività e non dover aspettare, la piattaforma dava la possibilità di generare a pagamento nuovi mandati. Per pochi dollari si potevano così acquistare 50 nuovi mandati di recensione” spiega sempre il rapporto, aggiungendo che “Il guadagno promesso, che a sua volta avrebbe dovuto essere accreditato sulla piattaforma, superava di molto i costi, per cui la vittima pensava che valesse la pena utilizzare quel modello. La brutta sorpresa arrivava quando si voleva incassare il guadagno accumulato. Il gestore della piattaforma richiedeva delle tasse per il versamento del guadagno finché la vittima si accorgeva che si trattava di una truffa.”

Le prese di contatto fasulle a nome della polizia, invece, erano a volte sotto forma di mail nelle quali si comunicava alla vittima che era “ritenuta colpevole di un grave reato (in genere legato alla pornografia minorile)” e che l’unico modo per evitare un’azione penale era versare una somma di denaro. Ma i criminali hanno anche effettuato raffiche di telefonate automatiche, nelle quali una voce sintetica diceva di rappresentare un’autorità di polizia e informava la vittima che per esempio i dati del suo conto corrente privato erano emersi in relazione a un dato reato e che per avere ulteriori informazioni doveva premere il tasto 1. Se la vittima lo faceva, la chiamata veniva inoltrata a un sedicente “operatore” che le chiedeva di scaricare un software di accesso remoto, che poi permetteva al criminale di insinuarsi nel computer o nel telefono cellulare per accedere alle credenziali di e-banking della vittima e usarle per inviare soldi dal conto della vittima a quello dei truffatori.

La classifica delle tecniche criminali più frequenti prosegue citando la cosiddetta “truffa del CEO”, cioè quella in cui gli aggressori fingono di essere un membro importante di un’azienda e contattano uno dei dipendenti di quell’azienda per convincerlo a inviare urgentemente del denaro a un conto bancario controllato dai truffatori, dicendo che si tratta di un pagamento necessario per concludere un grosso accordo commerciale.

Si colloca in alto in classifica anche la tecnica in cui i criminali riescono a manipolare le fatture ricevute da un’azienda, per esempio alterando le loro coordinate di pagamento in modo da dirottare i soldi su un conto ancora una volta gestito dai truffatori.

Tutte queste forme di attacco sono in aumento, mentre sono in diminuzione gli attacchi di ransomware ai danni delle imprese, ossia quelli nei quali i criminali chiedono denaro per sbloccare i computer aziendali di cui hanno preso il controllo oppure per non disseminare i dati aziendali di cui si sono impadroniti.

Ma non sono mancati i tentativi di inganno basati sull’intelligenza artificiale.

Se ti hanno filmato nudo, dì che è un deepfake: IA nel crimine online

Il rapporto dell’Ufficio federale di cibersicurezza (o UFCS) nota che nel 2023 i criminali hanno iniziato a usare l’intelligenza artificiale nei loro attacchi. Per ora, dice il rapporto, non si tratta ancora di un uso sistematico ma solo di “tentativi con cui i truffatori cercano di sondare cosa sia possibile o redditizio”.

In alcuni di questi tentativi segnalati, l’intelligenza artificiale è stata usata “per creare foto o video compromettenti allo scopo di ricattare la vittima. Basta che i criminali siano in possesso di filmati o fotografie del tutto innocenti registrate o scattate personalmente dalla vittima in precedenza o magari accessibili a tutti su Internet. Da questi video innocui l’IA crea filmati pornografici o immagini di nudo”, ossia dei deepfake. L’UFCS “ritiene che questa forma di estorsione crescerà vertiginosamente negli anni a venire”, ma nota anche che l’esistenza dei deepfake è ampiamente conosciuta dal grande pubblico e quindi questa forma di ricatto potrebbe risultare inefficace perché anche chi è stato realmente ripreso dai criminali in video compromettenti potrebbe dire tranquillamente che si tratta di una ripresa fabbricata con l’intelligenza artificiale.

I video falsi generati con l’intelligenza artificiale sono stati usati dai criminali anche in un’altra forma, facendo dire in video a persone famose, come politici o grandi imprenditori, raccomandazioni di investimenti in criptovalute che erano in realtà fraudolenti.

Un altro esempio interessante di uso criminale dell’intelligenza artificiale viene segnalato dal rapporto dell’UFCS notando che varie imprese hanno segnalato di aver ricevuto “telefonate da loro presunti dipendenti che, con voce perfettamente simulata, si sarebbero informati su questioni aziendali interne o avrebbero disposto l’esecuzione di pagamenti. I dipendenti in questione, tuttavia, erano completamente ignari di queste telefonate, che con tutta probabilità vengono generate tramite deepfake”, cioè con voci sintetiche generate usando campioni di quelle reali.

Il rapporto cita anche un caso molto particolare nel quale si sospetta l’uso dell’intelligenza artificiale: sono state segnalate mail truffaldine, in apparenza provenienti da banche, scritte in svizzero tedesco, forse con lo scopo di sembrare più realistiche e familiari, perché in effetti è facile pensare che sia improbabile che un criminale informatico che sta in chissà quale paese lontano sappia scrivere in una lingua così locale. Ma l’UFCS nota che nel mondo degli affari svizzero “si utilizza di prassi il tedesco standard” e che “[u]na presunta e-mail ufficiale proveniente da una banca e scritta in dialetto tenderebbe a insospettire la vittima piuttosto che convincerla a cliccare sul relativo link”. I criminali, in questo caso, hanno insomma preso un granchio.

Tuttavia c’è un altro settore del crimine informatico in cui ha molto senso usare il dialetto: “le truffe legate ai piccoli annunci […]. Questo stratagemma infonde fiducia nella vittima, dando l’impressione che acquirente e venditore provengano dalla medesima regione (linguistica)”. Sono già stati osservati i primi casi di annunci online fraudolenti scritti in buon svizzero tedesco, presumibilmente usando software di traduzione basati sull’intelligenza artificiale, per cui l’uso di questa forma di comunicazione non deve far abbassare la guardia, e sapere questo fatto è il primo passo verso la prevenzione degli attacchi.

Torna il “voice phishing”

Il rapporto dell’Ufficio federale di cibersicurezza si sofferma poi sull’impennata di segnalazioni di una tecnica di attacco solitamente rara: il voice phishing, ossia l’ottenimento delle credenziali di sicurezza di una vittima attraverso una telefonata fatta a voce, in tempo reale, dai criminali.

Verso la fine dell’anno scorso sono stati segnalati molti casi di chiamate “da parte di sedicenti impiegati di banca, che facevano credere di voler bloccare un pagamento fraudolento. In alcuni casi il numero di telefono visualizzato corrispondeva persino a quello ufficiale della banca: si tratta in realtà di un numero che, attraverso la tecnica dello «spoofing», viene falsificato dai truffatori per farlo sembrare credibile.” Conviene insomma sapere che il numero di telefono del chiamante che vedete sullo schermo del vostro telefono non è affatto una garanzia di autenticità, come invece pensano in molti.

Ma l’astuzia dei criminali non si limita alla falsificazione del numero del chiamante. In alcuni casi, segnala il rapporto dell’UFCS, il finto impiegato di banca “consigliava di telefonare immediatamente alla divisione antifrode della Polizia cantonale e comunicava altresì il numero da chiamare”, dice il rapporto. Una cortesia spiazzante, che di certo non fa pensare che l’interlocutore sia un criminale, ma c’è l’inghippo: il numero che veniva fornito non era quello della divisione antifrode ma era anch’esso gestito dai malviventi.

L’altro ingrediente spiazzante usato dai truffatori è l’apparente conoscenza della banca usata dalla vittima. È capitato anche a me di ricevere una di queste telefonate, nella quale la truffatrice (era una voce femminile) diceva che c’era un problema sul mio conto bancario e citava proprio la banca presso la quale ho un conto. Come fanno i criminali ad avere queste informazioni?

In realtà non le hanno, spiega il rapporto dell’UFCS: “gli aggressori si spacciano per impiegati di una grande banca, visto che la probabilità che la vittima vi abbia effettivamente un conto è statisticamente più alta”. In altre parole, tirano a indovinare e spesso ci azzeccano. E se sbagliano, dice il rapporto, “nel corso della telefonata cercano di scoprire quale sia l’istituto bancario della vittima e quindi richiamano poco tempo dopo, ma questa volta a nome della banca «giusta».”

E le loro astuzie non finiscono qui: l’UFCS cita infatti il caso di una vittima alla quale il sedicente impiegato di banca ha chiesto se negli ultimi giorni avesse predisposto un pagamento di una somma consistente a favore di una specifica persona, di cui il finto impiegato ha citato nome e cognome. La vittima conosceva effettivamente quella persona: come facevano i truffatori ad avere un’informazione così precisa e apparentemente rassicurante?

L’UFCS ha scoperto che “sia il nome che il numero di telefono della vittima e del presunto destinatario erano comparsi in una presentazione pubblica che i due avevano effettuato insieme in passato. Questo dimostra che gli aggressori spulciano sistematicamente Internet alla ricerca di informazioni che possono poi sfruttare per attacchi di social engineering mirati.”

Il social engineering è quella tecnica di attacco informatico che si basa sul conquistare la fiducia della vittima mostrando di conoscere informazioni che in apparenza solo un vero impiegato di banca o di un’azienda potrebbe avere. Ma le nostre vite sono sempre più pubbliche e condivise, grazie anche alla quantità di informazioni che noi stessi riversiamo nei social network, e i criminali sanno come trovarle e sfruttarle contro di noi. Anche qui, sapere che i criminali non pescano a caso ma anzi spesso si studiano bene la vittima è il primo passo verso la prevenzione.

Il rapporto dell’UFCS prosegue con la descrizione di molti altri tipi di attacco, anche a livello internazionale e in situazioni di guerra, e con le raccomandazioni su come difendersi bene. Ma queste sono storie che meritano di essere raccontate per bene in una puntata a parte.