Cerca nel blog

2010/05/28

Nuova tecnica di furto password: tabnabbing

L'attacco della scheda mutaforma


Questo articolo vi arriva grazie alle gentili donazioni di "veronicalareina" e "maurimds".

Aza Raskin, esperto di interfacce e figlio d'arte (il padre era il celebre Jef Raskin che avviò il progetto Macintosh per Apple), ha annunciato una nuova forma di attacco informatico particolarmente subdola.

La maggior parte degli attacchi di phishing (furto di password tramite false pagine Web di autenticazione simili a quelle effettive) funziona secondo un meccanismo standard: la vittima riceve una mail che contiene un link, clicca sul link, viene quindi portata a una pagina Web gestita dall'aggressore ma identica a quella di autenticazione di un servizio usato dalla vittima (per esempio la posta di Gmail), immette il proprio nome utente e la propria password e così le regala all'aggressore.

La sequenza degli eventi è diretta e piuttosto ben conosciuta, per cui molti utenti ormai non si fanno più gabbare. Raskin, però, ha trovato una maniera per renderla molto meno evidente e l'ha chiamata tabnabbing (letteralmente, "catturare la scheda di un browser"). Funziona molto bene sugli utenti che tengono aperte molte pagine nel proprio browser, in modo che ciascuna sia in una scheda (tab).

Nel tabnabbing, la vittima clicca su un link trovato su Internet e finisce su una pagina dall'aria del tutto innocua che non gli chiede password o altro e quindi non lo mette sul chi vive, ma ha un contenuto interessante (immagini osé o altro). Così la vittima non la chiude ma passa a un'altra scheda del browser. Quello che l'utente non si aspetta è che la pagina-trappola a questo punto aspetta che nessuno la stia guardando e si trasforma: cambia la propria icona (favicon) e il proprio contenuto, diventando una pagina che richiede l'autenticazione per un servizio adoperato dall'utente: per esempio, la login di Gmail.

La vittima penserà molto probabilmente di aver lasciato aperta una scheda del servizio e crederà di essere stato scollegato dal servizio per mancato utilizzo, come avviene periodicamente, e quindi immetterà nella pagina-trappola le proprie credenziali nel tentativo di fare login, regalando così all'aggressore i propri codici. Per completare il furto con destrezza, l'aggressore può poi trasferire l'utente e le sue credenziali alla pagina vera del servizio, così l'utente farà effettivamente login e non si accorgerà che gli è stata sottratta la password di accesso.

La trappola, come nota Raskin, si basa sull'idea sbagliata che una scheda sia immutabile e usa il forte richiamo visivo di un'icona. Per dimostrarne l'efficacia, ha predisposto una dimostrazione innocua: andate qui nel sito di Raskin e poi aprite un'altra scheda del browser, restando sulla nuova scheda per qualche secondo. Vedrete che la scheda nascosta, che prima ospitava la pagina di Raskin, cambierà icona e contenuto, diventando la pagina di login di Gmail. Il trucco funziona con quasi tutti i browser più diffusi. Raskin lo dimostra in un video:



In questa dimostrazione volutamente blanda, l'utente può accorgersi dell'inganno notando che l'URL nella barra dell'indirizzo non è quello giusto. Ma quanti lo faranno? Oltretutto esistono vari modi per mascherare anche l'URL.

La soluzione migliore contro questo tipo di trappola è aprire sempre una scheda nuova per fare login a qualunque servizio e immettere manualmente l'indirizzo oppure prenderlo dai Preferiti.

Voyager preso dagli alieni

Alieni si portano via la mente di Voyager, poi la restituiscono. Non è grave come pensate


Questo articolo vi arriva grazie alle gentili donazioni di "deltag" e "miberto" e alle segnalazioni di Alessio, Mgmauro65 e PCDragon.

La sonda spaziale Voyager 2, in viaggio da 33 anni e ora a circa 14 miliardi di chilometri dalla Terra, oltre il pianeta più lontano del nostro sistema solare, dal 22 aprile scorso ha iniziato a trasmettere segnali alterati perché è stata sabotata dagli alieni, che stanno cercando di rispondere ai messaggi di benvenuto registrati a bordo del veicolo. Così dice un "esperto", Hartwig Hausdorf.

Esperto di cosa? Di progettazione di sonde interplanetarie, penserete. Perché se uno ha un problema di denti chiede consulto a un dentista, se l'automobile non va ci si rivolge a un meccanico e quindi se c'è un problema con una sonda spaziale si chiede il parere di uno che mastica pane e telemetria siderale. Ovvio.

Tuttavia il Bild, La Stampa e Tiscali, oltre a vari media in altre lingue (per esempio il Telegraph inglese) e l'immancabile trasmissione televisiva Voyager della Rai (video qui), la pensano diversamente e propongono infatti il suddetto Hartwig Hausdorf. Che è un esperto, sì, ma di UFO: un dettaglio che per esempio Corrispondenti.net dimentica di precisare. E gli regalano un bel po' di pubblicità, citando dettagliatamente il titolo del suo ultimo libro.

I fatti sono ben diversi, e per capirli sarebbe stato sufficiente informarsi presso le persone realmente competenti. Il sito della NASA dedicato alle sonde Voyager spiega esattamente come sono andate le cose. Il sistema di bordo che si occupa della formattazione dei dati scientifici ha avuto un problema: un singolo bit nella memoria del computer di bordo ha cambiato valore per errore e ha scombinato i dati scientifici. Cose che càpitano, considerato che il computer risale a 33 anni fa e non è mai stato portato in assistenza.

Il 20 maggio il bit è stato riportato al suo valore originale grazie a una serie di comandi inviati via radio da Terra. Tenete presente che il segnale radio ci mette, alla velocità della luce, tredici ore per arrivare a destinazione; eventuali reazioni a bordo ci mettono altre tredici ore per essere ritrasmesse a Terra. Immaginate di dover fare manutenzione remota a un computer che ci mette ventisei ore a rispondere, sapendo che se sbagliate qualcosa non potete andare sul posto a sistemarlo: queste sono le condizioni in cui lavorano i tecnici del Jet Propulsion Laboratory della NASA, che da oltre trent'anni segue l'odissea della sonda Voyager 2 e della sua gemella Voyager 1. Quindi non lamentatevi della latenza della vostra linea ADSL.

Tre giorni dopo, il 23 maggio, si è avuta la conferma che l'intervento aveva avuto successo e la sonda ha ripreso a inviarci dati scientifici correttamente formattati.

Niente alieni calvi dalle gambe mozzafiato, dunque, ma soltanto un normale problema tecnico risolto dall'intelletto umano. Quello che storie pseudoufologiche come questa vogliono sempre sminuire, attribuendo ogni evento agli extraterrestri, come se noi fossimo tutti mentecatti.

iPhone, PIN scavalcato senza sforzo con Linux?

Questo articolo vi arriva grazie alle gentili donazioni di "ferruccio" e "mirko.cas*". L'articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2010/06/06.

Avete messo un PIN sul vostro iPhone, convinti che questo protegga i vostri dati, le vostre foto, i vostri indirizzi di mail e i vostri numeri di telefono riservati? Forse ho brutte notizie per voi.

L'esperto di sicurezza Bernd Marienfeldt del London Internet Exchange dice di aver scoperto che per scavalcare il PIN di un iPhone ultimo modello (3GS), con tutti gli aggiornamenti software al loro posto, è sufficiente collegare il telefonino a un computer sul quale gira il sistema operativo libero e gratuito Linux Ubuntu 10.04.

Sì, avete capito bene. Secondo Marienfeldt, basta avere un qualunque PC sul quale gira Ubuntu (deve essere la versione più recente, la 10.04, denominata Lucid Lynx). Si spegne l'iPhone, lo si collega tramite il suo cavetto USB al PC, e lo si riaccende. Il telefonino viene visto immediatamente, con accesso completo a musica, foto, video, registrazioni audio e quant'altro, come si vede nella schermata qui sopra, senza chiedere PIN.

Inoltre copiarne il contenuto e decifrarlo è un'operazione che richiede pochi minuti, e ci sono molti altri modi per scavalcare la protezione del PIN, come descritto nella presentazione preparata da Jim Herbeck della società ginevrina Nouvel Strategies.

Apple, stando a quanto scrive Marienfeldt, avrebbe confermato la vulnerabilità da lui scoperta, che a differenza delle altre tecniche di intrusione è spettacolare nella sua semplicità. Qualcuno riesce a replicarla? Pare strano che una magagna del genere sia rimasta nascosta finora, e varie fonti non sono riuscite ad ottenere lo stesso risultato.

Considerato che l'iPhone è spesso in mano ai dirigenti aziendali e quindi contiene mail di lavoro molto riservate e numeri di telefono di clienti e fornitori, essere consapevoli dell'insicurezza del modo in cui custodisce questi dati è essenziale. Non per i dirigenti, ma per i poveretti che si devono occupare della loro sicurezza informatica, che soffriranno non poco per spiegare il problema ai loro capi. Anche perché la documentazione Apple presenta l'iPhone 3GS come uno strumento sicuro di lavoro, visto che dichiara "cifratura hardware per tutti i dati memorizzati sul dispositivo". E se lo dice il venditore, dev'essere vero, giusto?


Aggiornamento 2010/06/06


Leggo su Punto Informatico che altri ricercatori hanno duplicato il fenomeno, che sembra avvenire solo se si chiude l'iPhone in modalità "sbloccata" e funzionerebbe particolarmente bene con Windows Vista. La causa: "alcuni componenti del sistema (iPhone) non hanno completato il boot quando viene inviata la richiesta di connessione attraverso l'interfaccia USB. In siffatte condizioni il demone di iPhone "lockdownd" permette la connessione e il pairing tra PC e melafonino, consentendo l'accesso al file system e ai dati dell'utente." Interessante.

2010/05/27

Uomo infettato da virus per PC? Come no

Ricercatore si vanta di essere il primo uomo infettato da un virus informatico. I media abboccano


Questo articolo vi arriva grazie alle gentili donazioni di "franco.bat*" ed "elauriano".

Cosa non si fa per attirare l'attenzione ed abbeverarsi alla vacua fonte della celebrità. Mark Gasson, ricercatore del Cybernetic Intelligence Research Group dell'Università di Reading, nel Regno Unito, dichiara di aver memorizzato un virus su un chip e di essersi impiantato il chip dentro il corpo, diventando così il "primo uomo infetto da virus per PC". Così almeno scrive il Corriere della Sera, nella rubrica Scienze, in un articolo a firma di Elmar Burchia, senza alcun accenno di critica sulla plausibilità della notizia.

Anzi, sottolinea il Corriere, questo dimostra che "dispositivi medici avanzati come pacemaker o impianti cocleari possono essere vulnerabili ad attacchi di hacker." Roba da panico. Abbocca anche la BBC, dalla quale il Corriere ha tratto la notizia (una volta tanto linkandola, in un lodevole gesto di trasparenza).

Meno abbagliati dalla spettacolarità dell'annuncio si rivelano invece gli informatici: The Register, Graham Cluley di Sophos, Punto Informatico deridono gli annunci apocalittici di Gasson liquidandoli come "sciocchezze". La BBC si è scusata.

Le ragioni della derisione sono semplici. Gasson si è impiantato in una mano un normale chip sottocutaneo RFID del tipo utilizzato per identificare gli animali domestici. Sul chip, al posto dei normali dati identificativi, ha scritto il codice di un virus informatico.

Questo genere di RFID è un aggeggio minuscolo (foto qui a destra) che non ha alcuna interazione con il corpo. Se ne sta lì, sotto la pelle, e basta: se interrogato da un apposito scanner, risponde trasmettendo i propri dati. È un parente dei dispositivi antitaccheggio dei supermercati. Non infetta l'organismo che lo ospita. Per cui parlare di "primo uomo infetto da virus per PC" è una sciocchezza totale.

Avere un RFID sotto pelle in questo modo è esattamente come averlo cucito dentro la fodera della propria giacca: è semplicemente un po' più difficile da perdere. Ma attira infinitamente di più l'attenzione dei media, come nota Graham Cluley. Specialmente se si annuncia che questa tecnologia potrebbe permettere a presunti hacker di attaccare informaticamente il pacemaker di una vittima e che un RFID infetto potrebbe propagare l'infezione informatica ad altri RFID. Qui la sciocchezza diventa ancora più grossa.

Infatti l'unico modo di leggere il codice ostile contenuto nell'RFID è usare uno scanner apposito. Il software di questo scanner dovrebbe avere una vulnerabilità colossale che, invece di leggere i dati e trattarli appunto come dati, li esegue come istruzioni. È come pensare di poter infettare un registratore di cassa semplicemente facendogli leggere un particolare codice a barre. Poi bisognerebbe trovare la maniera di scrivere queste istruzioni dentro altri chip impiantati. Non è del tutto impossibile, ma è uno scenario assolutamente improbabile.

Spaventare così gli utenti di dispositivi salvavita e confondere i lettori è irresponsabile. Non c'è, quindi, alcun bisogno di acquistare antivirus per pacemaker o defibrillatori impiantati o di mettersi un foglio di stagnola sul petto. Sarebbe molto più opportuno e pratico educare i lettori e gli utenti a stare in guardia contro i virus informatici reali, quelli che hanno nel PC, che contro quelli immaginati da chi ha fame di attenzione.

Apple vale più di Microsoft

Il sorpasso di Apple: batte Microsoft e diventa la più grande società tecnologica del mondo


Nell'immaginario collettivo, Apple è il Davide che combatte contro il gigante Golia, il produttore di nicchia che si oppone al monopolista, il piccolo fabbricante di oggetti di lusso che contrasta il tentacolare grossista di prodotti di massa. Non è più così.

Ieri le oscillazioni di Borsa hanno portato il valore complessivo (più propriamente market capitalization o capitalizzazione di borsa) di Apple a 222 miliardi di dollari e quello di Microsoft a 219. Il dato è ottenuto moltiplicando il numero di azioni di una società per il valore corrente delle singole azioni. Microsoft resta dominante in termini di diffusione del proprio sistema operativo, installato su oltre il 90% dei PC del mondo, e in termini di vendite (14,5 miliardi di dollari di ricavi nell'ultimo trimestre contro i 13,5 di Apple).

Era già successo che Apple valesse più di Microsoft, a dicembre del 1989, ma da allora è passata molta acqua sotto i ponti. Negli anni Novanta l'azienda della mela rischiò di chiudere. Nel 1997 fu persino costretta ad accettare un investimento di 150 milioni di dollari dal suo rivale, che all'epoca valeva cinque volte di più di lei. Rispetto a dieci anni fa, le azioni Apple hanno decuplicato il proprio valore, mentre quelle Microsoft valgono il 20% in meno.

Una buona notizia per i sostenitori di Apple, ma un chiaro segno che è ora di mettere da parte la visione romantica del Davide contro Golia che per molto tempo ha contribuito al fascino di possedere un computer con il logo della mela.

Fonti: BBC, Reuters.

2010/05/26

Doctor Who + bobine di Tesla = nerdgasmo

Il tema di Doctor Who suonato a 500.000 volt



Due bobine di Tesla da 500.000 volt suonano il tema di Doctor Who e permettono a un ballerino di scagliare veri fulmini di quattro metri dalle mani.

Nome della band: Arc Attack.

Facebook, nuova infornata di regolazioni [UPD 2010/05/28]

Controlli semplificati per Facebook da subito. O quasi


L'articolo è stato aggiornato dopo la pubblicazione iniziale.

Sul blog di Facebook è comparso un paio d'ore fa un post che presenta (in inglese) i cambiamenti alle regolazioni di privacy. C'è anche una nuova pagina di spiegazione delle impostazioni (disponibile anche in italiano).

Ci dovrebbe essere una nuova pagina di impostazioni di privacy come quella mostrata qui accanto, ma al momento in cui scrivo non è ancora disponibile nel mio account: Facebook sta attivando le nuove impostazioni progressivamente, rendendole disponibili "nel corso delle prossime settimane". Il tutto dovrebbe diventare accessibile da questo link.

Da quello che ho capito finora, c'è la possibilità di impostare un default per le informazioni che vengono pubblicate dall'utente: il default può essere che siano visibili a tutti, che siano visibili agli amici degli amici o che siano visibili solo agli amici. La novità più interessante è che questo default è retroattivo e vale anche per il futuro: "questo controllo si applicherà anche alle impostazioni nei nuovi prodotti che lanceremo in futuro", dice il post di Facebook. Quando verrà introdotta una nuova funzione, insomma, adotterà automaticamente le impostazioni di privacy che avete definito, anziché quelle decise da Facebook come è avvenuto in passato.

Restano comunque disponibili anche le vecchie impostazioni fini e selettive, per cui se il vostro default è che tutto sia leggibile solo dagli amici e volete invece rendere visibile a chiunque un dato elemento, potete farlo.

La quantità di informazioni che Facebook vi obbliga a rendere visibili a tutti è stata ridotta e non è più obbligatorio rendere pubblico l'elenco di amici e di pagine. Inoltre è disponibile un modo semplificato per decidere se consentire alle applicazioni e ai siti Web di accedere alle vostre informazioni. Anche la Personalizzazione Istantanea sarà disattivabile in modo semplice, sia come impostazione generale sia come impostazione selettiva per le singole applicazioni.

Le novità d'impostazione sembrano rispondere alle proteste degli utenti e alle critiche dei tecnici. Speriamo che siano l'ultima grande modifica al funzionamento del popolare social network, perché ogni cambiamento comporta inevitabilmente confusione e disorientamento, e di cambiamenti Facebook ultimamente ne ha fatti abbastanza da stordire buona parte dei propri utenti.

Fonti aggiuntive: BBC, ZDNet, The Register, Sophos.


2010/05/28: prime reazioni


Lifehacker ha pubblicato una guida alle nuove impostazioni; lo stesso ha fatto la BBC (entrambe sono in inglese). La Electronic Frontier Foundation riconosce il primo passo nella giusta direzione, ma lo considera insufficiente. Secondo Privacy International, le novità "si limitano a correggere alcune delle impostazioni di privacy più inaccettabili del sito... Facebook opera sulla base di un modello commerciale che esige la monetizzazione dei dati raccolti dagli utenti. Questo comporta assicurarsi che si ottenga il massimo flusso d'informazioni".

Sophos.com ha pubblicato un mini-sondaggio su 605 utenti: ben il 93% avrebbe preferito un'impostazione opt-in di Facebook. E Graham Cluley fa un'osservazione molto interessante: se, come dice Zuckerberg, condividere le informazioni personali è così bello e attraente per gli utenti, perché Facebook non imposta tutto privato e lascia che siano gli utenti a condividere per il piacere di farlo? Per chi invece sottolinea che gli utenti hanno già fatto la loro scelta di rinuncia alla privacy entrando in Facebook, Cluley ricorda che molti utenti ci sono entrati quando le impostazioni erano ben diverse e più favorevoli alla tutela dei dati personali, e ora si trovano legati al social network per via dei rapporti interpersonali intrattenuti tramite Facebook. Mollare non è facile.

Il Silicon Alley Insider ha inoltre pubblicato un presunto scambio di messaggi istantanei di Mark Zuckerberg, poco dopo aver avviato The Facebook a 19 anni, che sembra delineare molto chiaramente l'atteggiamento poco rispettoso del giovane Zuckerberg nei confronti dei suoi utenti: "They 'trust me'.... Dumb fucks". Non credo sia necessaria la traduzione. E ci sono altre rivelazioni di scorrettezze e violazioni della privacy da parte di Zuckerberg nella causa che lo ha visto accusato di aver rubato l'idea di Facebook a dei colleghi di Harvard e di aver sabotato i loro sforzi.

Intanto c'è chi si diverte a usare Facebook per far emergere informazioni potenzialmente imbarazzanti: Youropenbook.org permette di cercare parole chiave in tutte le bacheche degli utenti se sono pubbliche (intenzionalmente oppure, cosa più divertente, senza accorgersene), e ricerche come "ubriaca" o "threesome last night" danno risultati di fronte ai quali è difficile stare seri, corredati di nome e immagine del profilo di chi ha messo in piazza quello che forse era meglio tenere per sé.

Il servizio Evil, presso Tomscott.com, permette invece di elencare i numeri di telefono degli utenti Facebook che spesso rendono pubblico questo dato inavvertitamente, per esempio quando annunciano agli amici che hanno smarrito il telefonino.

Ma ci sono anche strumenti come ReclaimPrivacy.org, che permettono di vedere cosa c'è di pubblico nel proprio profilo Facebook e di impostarne la visibilità in modo molto semplice. E la conta degli utenti che annunciano il proprio ritiro da Facebook su Quitfacebookday.com è salita a oltre 23.000.

Fonti aggiuntive: The Inquirer, Business Insider, Punto Informatico, BBC.

Robotica sempre più affascinante

LittleDog, il robot che zampetta e salta



L'agilità dell'ultima versione di LittleDog, la versione ridotta del robot da soma BigDog, è semplicemente impressionante. Nel video qui sopra scavalca ostacoli, sale le scale e riconosce i punti più stabili d'appoggio. Non si sa se è già in grado di rintracciare Sarah Connor.

2010/05/25

Facebook, semi di rivolta: tutti fuori il 31?

L'articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2010/05/26 18:10.

Il 31 maggio prossimo vedremo se davvero la "rivolta" contro Facebook avrà avuto effetto. È questa, infatti, la data scelta come giornata mondiale dell'abbandono di Facebook, almeno secondo Quitfacebookday.com.

Finora le adesioni sono state piuttosto modeste: al momento in cui scrivo sono 15.370. Niente, rispetto ai 500 milioni di utenti stimati di Facebook: uno su trentaduemila e rotti. Invece secondo un sondaggio della società di sicurezza informatica Sophos, almeno il 60% degli utenti starebbe pensando di mollare il social network e il 16% avrebbe dichiarato di aver già smesso di usare Facebook a causa dell'inadeguatezza dei controlli sulla gestione dei propri dati. Forse la differenza fra i due rilevamenti deriva dal fatto che non tutti coloro che hanno deciso di mollare Facebook si sentono in dovere di annunciarlo tramite il sito dell'iniziativa: lo fanno e basta. O forse il campione scelto da Sophos non è rappresentativo.

Comunque sia, questa iniziativa e i numerosi articoli nei media a proposito dell'irritazione degli utenti per le continue e labirintiche variazioni delle regole di privacy di questo social network hanno messo Mark Zuckerberg, suo fondatore, sulla difensiva.

Zuckerberg ha ammesso ieri in un articolo sul Washington Post che Facebook ha "mancato l'obiettivo" nel fornire agli utenti così tante opzioni di regolazione della propria privacy e ha riconosciuto che "ci deve essere un modo più semplice per controllare le vostre informazioni". Nelle prossime settimane verranno aggiunti "comandi di privacy molto più facili da usare. Vi daremo anche un modo facile di disattivare tutti i servizi forniti da terzi".

Promesse interessanti, che però vengono dopo che il Wall Street Journal ha segnalato che in alcune circostanze, quando un utente cliccava su una pubblicità, Facebook mandava il nome o l'identificativo di quell'utente all'inserzionista. Lo stesso o quasi facevano MySpace e altri social network, come LiveJournal, Hi5, Xanga, Digg e Twitter: inviavano agli inserzionisti le coordinate del profilo che veniva visitato in quel momento da chi aveva cliccato sulla pubblicità. Facebook dice di essere corso ai ripari "non appena ne abbiamo saputo", ma il problema esisteva da almeno nove mesi ed era stato segnalato ai rispettivi social network quando era stato scoperto dai ricercatori del Worcester Polytechnic Institute e degli AT&T Labs. Molti si chiederanno come abbia potuto restare inosservata così a lungo una magagna del genere, così favorevole per gli inserzionisti e in violazione delle norme deontologiche del settore pubblicitario. La vicenda è insomma un'altra crepa nella reputazione di Facebook.

Il problema della privacy non rispettata da Facebook sembra aver raggiunto la massima visibilità dopo il debutto del sistema Open Graph, quello che permette di includere nelle pagine di tutto il Web un pulsante che informa Facebook che una certa pagina piace e permette a Facebook di inviare all'utente informazioni pertinenti (o pubblicità mirata). Il sistema è disattivabile, ma solo disattivandolo per ogni singolo sito che vi partecipa.

E voi cosa farete il 31 maggio? Ho predisposto un sondaggio nella colonna di destra di questo blog. Dite la vostra.


Aggiornamento (18:10). La BBC ha pubblicato da poco la notizia che da domani 26 maggio Facebook attiverà per tutti i propri utenti una nuova serie di impostazioni di privacy più semplici. I dettagli saranno pubblicati nel blog di Facebook.


Fonti: BBC, BBC, BetaNews, Allfacebook.com, Inc.com, BBC, CNN.

2010/05/19

Si può morire di antiscienza a sedici anni?

Perché si combattono le pseudoscienze e le credenze idiote? Perché la gente ne muore. A sedici anni


L'articolo è stato aggiornato dopo la pubblicazione iniziale.

Clara Palomba. Clara. Palomba. Non dimenticate questo nome. Scanditelo bene. Scanditelo ogni volta che incontrate venditori di acque magiche, terapie miracolose e pastiglie curatutto, veggenti a raggi X e tutti quelli che promuovono questo schifo. Clara. Palomba.

Perché Clara è morta a sedici anni a causa della pseudoscienza e dell'ignoranza dei suoi genitori e degli amici che li hanno consigliati. Clara aveva il diabete. Il diabete, non una malattia esotica. Che si tratta benissimo. È morta perché i suoi genitori hanno sospeso le cure mediche che funzionavano e si sono rivolti a una ciarlatana, Marjorie Randolph, detta Maya. Non si sa bene se fosse una naturopata o omeopata o guaritrice o specialista in antroposofia. Importa poco: sono solo parole pompose per imbellettare una cloaca letale di scemenze.

Anche la Randolph è morta. Soffriva di ulcera gastrica e si è curata con le sue stesse stronzate. L'ulcera perforata che si è provocata l'ha fatta crepare di emorragia. Ben le sta. Spero sia stata una morte lenta e dolorosa. No, non ho pietà per i morti. Sono troppo incazzato e comunque non sono un ipocrita. Una deficiente in meno sulla Terra è sempre una buona cosa. Leggete tutti i dettagli nel blog Medbunker di WeWee, che è medico, e ditemi se non v'incazzate anche voi.

A volte mi chiedono perché mi accanisco contro le pseudoscienze. Perché spendo tempo e soldi a sbugiardare ufologi, astrologi, guaritori, sensitivi e chiaroveggenti. Perché sono così acido e tagliente nei miei giudizi. Mi chiedono "Ma che male fa? Sono credenze innocue...".

No. Non sono innocue. Perché tutto questo clima di rifiuto della scienza, del buon senso, della ragione, per abbracciare fantasie esoteriche gestite da una manica d'incoscienti e pubblicizzate da uno stuolo d'irresponsabili è quello che ha generato due imbecilli come i genitori di Clara e quegli altri imbecilli dei loro amici che hanno dato il consiglio di rivolgersi alla ciarlatana. Il processo a carico dei genitori, Dario Palomba ed Elisabetta Ontanetti, è terminato ieri, a due anni di distanza dalla morte di Clara, con la condanna per omicidio colposo aggravato per entrambi.

A tutti quelli che pubblicano oroscopi, vendono macchinette che producono acqua miracolosa, vanno in TV a parlare di alieni stupratori e di piramidi friulane, rifilano braccialetti per migliorare le prestazioni sportive, propinano pastigliette che contengono il nulla cosmico, diagnosticano le malattie guardando l'aura, a tutti quelli che dicono che la medicina è un grande complotto delle multinazionali e le cure mediche si possono sospendere e sostituire con parole magiche, talismani e pozioncelle, dico solo questo: Clara Palomba.

Voi, tutti voi ciarlatani e seminatori di paccottiglia, avete contribuito a uccidere una ragazzina di sedici anni. Possa il suo nome perseguitarvi per sempre. Io non vi darò il lusso di dimenticarlo.

2010/05/18

Svelato il più grande segreto della NASA; raduno Star Trek

Finalmente spiegato in dettaglio come funzionano i gabinetti a bordo della Stazione Spaziale Internazionale. Come si fa quando non c'è la gravità a far scendere quello che deve scendere? Ci vuole un gabinetto speciale, con funzioni aspiranti (e relativi adattatori per maschietti e femminucce), e bisogna imparare a usarlo leggendo attentamente le procedure e facendo prove a terra, sia con un esemplare funzionante sia con un simulatore.

Il simulatore, in particolare, è molto, molto importante, perché spiega un concetto fondamentale dell'evacuazione siderale: l'allineamento preciso è indispensabile. Il foro del water della Stazione è molto più piccolo di quello di un gabinetto normale, perché è dotato di un sistema aspirante e un foro grande produrrebbe un effetto ventosa molto rischioso. Di conseguenza, la parte anatomica va collocata con precisione in modo da combaciare con il foro, altrimenti i risultati possono essere poco piacevoli.

Per aiutare gli astronauti ad imparare questo vero e proprio rendezvous orbitale si usa appunto un simulatore, che è dotato – non sto scherzando – di una telecamera che guarda in su e permette all'astronauta di sapere se l'allineamento è corretto, grazie all'immagine delle sue terga che gli viene presentata su un monitor che gli sta di fronte. Naturalmente è piuttosto importante non confondersi fra simulatore e gabinetto vero.

Andare nello spazio dev'essere un'esperienza davvero ridimensionante. Credo sia difficile darsi delle arie dopo aver visto il mondo intero scorrere sotto i propri occhi, il sottile velo dell'atmosfera che ci protegge, l'avvicendarsi di alba e tramonto ogni novanta minuti e il centro del proprio deretano sul monitor.

A proposito di astronauti: Umberto Guidoni sarà ospite della Sticcon, un raduno italiano dei fan di Star Trek e di tutta la fantascienza che si terrà dal 20 al 23 maggio a Bellaria (Rimini). Ci sarò anch'io, nel ruolo di fan e interprete per gli attori ospiti: Kate Mulgrew (il capitano Janeway di Star Trek: Voyager) e Sukie Plakson (K'ehleyr e altri ruoli in Star Trek: The Next Generation e Enterprise).

Ci saranno anche varie conferenze scientifiche, una delle quali sarà opera mia: l'esplorazione dei dubbi sugli sbarchi lunari e delle teorie di complotto, con le relative risposte. Presenterò il mio libro "Luna? Sì, ci siamo andati!", che sarà disponibile in edizione interamente a colori. Se vi interessano i dettagli della Sticcon, li trovate qui. Chi non avesse tempo o voglia di iscriversi alla manifestazione può comunque avere il libro: basta che mi contatti via mail e passi dal Centro Congressi di Bellaria durante il raduno.

2010/05/17

Facebook, come disattivare la Personalizzazione Istantanea

Personalizzazione Istantanea in Facebook


Photo credit: cjkrek.

In un articolo di qualche giorno fa avevo chiesto a chi usa Facebook e si sentiva sicuro di conoscerne le impostazioni se sapeva cos'era la Personalizzazione Istantanea e come la si disattivava. Visto che parecchi utenti si sono incuriositi, ecco la risposta.

Le FAQ italiane di Facebook descrivono il servizio: Facebook permette a Microsoft Docs, Yelp.com (un sito di recensioni e ricerche locali) e Pandora.com (un sito di consigli musicali) di accedere ai nomi, agli amici e alle cose che abbiamo etichettato come "Mi piace" in Facebook. Questo permette di "personalizzare l'esperienza degli utenti". La funzione è attiva automaticamente, salvo intervento dell'utente, che si trova quindi "personalizzato" senza averlo chiesto.

Il problema è che è Facebook a decidere a quali siti consentire l'accesso ai dati che abbiamo pubblicato su questo social network. Dati molto appetibili per gli inserzionisti pubblicitari e per chiunque abbia bisogno di ricerche di mercato, visto che includono anche il sesso dell'utente e la città in cui si trova oltre alla lista degli amici.

Un altro aspetto un po' problematico emerge quando si disattiva la Personalizzazione Istantanea. Si va su Account - Impostazioni sulla privacy - Applicazioni e siti Web - Programma sperimentale di personalizzazione istantanea - Modifica impostazione. Oppure si segue direttamente questo link.

Nella pagina di Facebook che compare, si toglie il segno di spunta dalla casella "Consenti ai partner selezionati di personalizzare istantaneamente...". Ma nonostante le apparenze, non basta. Date infatti un'occhiata alla dicitura in caratteri piccoli e grigi che trovate sotto la casella:



Spiega che anche se non si abilita la personalizzazione istantanea, gli amici potranno comunque condividere le informazioni pubbliche dell'utente presenti in Facebook "per personalizzare la propria interazione con questi siti Web partner" e che per evitarlo occorre anche bloccare le singole applicazioni che usano la Personalizzazione Istantanea.

Bisogna quindi fare un altro passo: visitare le pagine delle applicazioni Facebook di Docs, Yelp e Pandora e in ciascuna cliccare su Blocca l'applicazione e poi dare conferma del blocco.

A questo punto si va in Account - Impostazioni sulla privacy - Applicazioni e siti Web - Modifica applicazioni bloccate e si verifica che l'elenco delle applicazioni bloccate includa Docs, Yelp e Pandora. Fatto questo, la personalizzazione istantanea è permanentemente disabilitata. Fino alla prossima volta che Facebook cambierà le regole.

Ringrazio per gli spunti Dario Salvelli e Librarian By Day.

Multa in Germania per i Wifi aperti? Non proprio

Germania, multa se non si lucchetta il Wifi? Sentenza da chiarire


Photo Credit: RafeB (Flickr). L'articolo è stato aggiornato dopo la pubblicazione iniziale.

Avrete probabilmente letto i titoli che parlano di connessioni Wifi personali che in Germania devono essere "protette per legge" (Punto Informatico) perché altrimenti "ti multano" (Tom's Hardware).

Chi si è fermato ai titoli potrebbe avere l'impressione che d'ora in poi avere una connessione Wifi aperta in Germania sarà un reato punito dalla legge. E magari si chiede se una norma del genere non possa estendersi al proprio paese, magari sull'onda del provvedimento tedesco.

La questione è un po' diversa da come la presentano i titoli (gli articoli linkati sopra, va detto, spiegano meglio la questione nel loro testo). Non c'è alcun obbligo di proteggere l'accesso alla propria connessione Wifi: non ci saranno ronde di poliziotti armati di scanner Wifi che multeranno chi non provvedesse a lucchettare con una password il proprio access point. Più semplicemente, se un utente lascerà libero accesso alla propria connessione Wifi e qualcuno la userà per commettere un reato, l'utente sarà considerato parzialmente responsabile di quel reato. In quel caso, e solo in quel caso, l'utente tedesco rischierà una multa massima di 100 euro.

Nel caso specifico che ha generato la notizia, la Corte federale di giustizia tedesca (Bundesgerichtshof) a Karlsruhe si è pronunciata in merito alla causa intentata da un musicista (che secondo varie fonti non sarebbe stato identificato dal tribunale ma stando a Focus.de è legato al brano intitolato Sommer unseres Lebens di Sebastian Hämer) nei confronti di un utente Internet la cui connessione Wifi senza fili era stata utilizzata da ignoti per scaricare illegalmente una canzone che poi era stata immessa in un circuito di scambio file.

L'utente era stato identificato in base al suo indirizzo IP, ma era riuscito a dimostrare che era in vacanza al momento del misfatto ed è stato quindi ritenuto non colpevole di violazione del diritto d'autore. Tuttavia il tribunale lo ha giudicato comunque in parte responsabile perché non aveva protetto la propria connessione contro abusi da parte di terzi. Va notato un altro dettaglio che molte fonti non hanno riportato: l'imputato aveva sì protetto la propria connessione, ma aveva usato la password di default del fabbricante del proprio apparato Wifi, che è facilmente reperibile da chiunque.

La cosa interessante è che il tribunale ha deciso inoltre che gli utenti non saranno tenuti ad aggiornare continuamente le proprie misure di sicurezza, ma dovranno soltanto proteggere la propria connessione impostando una password (diversa da quella predefinita) al momento della prima installazione.

La misura legale è destinata a far discutere, anche perché scavalcare queste password sta diventando sempre più semplice. Network World segnala che in Cina sono in vendita a poche decine di dollari apparecchietti da collegare alla porta USB di un computer che permettono di decifrare le chiavi WEP e WPA delle reti Wifi nel giro di pochi minuti nel caso di protezione WEP (la WPA viene attaccata per bruteforcing, ossia per tentativi ripetuti). Ed esistono dei servizi che per una ventina di dollari promettono di restituire la password WPA di una rete Wifi protetta secondo i criteri della sentenza tedesca.

Speriamo che chi deve giudicare questi casi, in Germania e ovunque si dovesse pensare di introdurre sanzioni analoghe o principi giuridici dello stesso tipo, si tenga al corrente di queste novità tecniche, altrimenti si rischia di punire gli innocenti. In fin dei conti, è come se qualcuno si introducesse in casa nostra forzando la porta, rubasse un nostro coltello e lo usasse per un delitto, e poi condannassero noi come corresponsabili per aver fornito il coltello.

Fonti: CrunchGear, ItaliaSW, Associated Press, BBC, ZeroPaid, InfoSecurity Magazine, Focus.de.

2010/05/16

Aiuto, mi hanno craccato l’auto: Come prendere il controllo di un'automobile via software. Freni compresi

Un gruppo di ricercatori del dipartimento d'informatica della University of Washington e della University of California San Diego ha pubblicato una ricerca che spiega come si può prendere il controllo di qualunque automobile moderna dotata di sistemi elettronici per la gestione del veicolo. 

La ricerca, intitolata "Experimental Security Analysis of a Modern Automobile", ha dimostrato che si può utilizzare la porta diagnostica OBD-II (la sigla sta per OnBoard Diagnostics), presente per legge in tutte le automobili statunitensi e in quelle europee recenti, per "ignorare completamente i comandi del conducente" e "disabilitare i freni, far frenare selettivamente a comando le singole ruote, fermare il motore, e così via". Se la cosa non vi ha messo abbastanza i brividi, i ricercatori aggiungono che sono stati in grado di "impiantare del codice ostile nell'unità telematica di un'automobile" in un modo che "cancella completamente ogni prova della sua presenza dopo un incidente". I complottisti di Lady Diana esulteranno.

Come si fa? La maggior parte degli attacchi realizzati concretamente dai ricercatori su automobili di produzione in condizioni reali (su circuiti stradali sicuri) richiede che l'aggressore abbia accesso fisico all'interno dell'auto e possa connettere degli apparecchi alla porta OBD-II (mostrata nella foto qui accanto, da Wikipedia). Cosa peraltro facile: immaginate di affidare la vostra auto a un parcheggiatore o a un riparatore o a un semplice installatore di autoradio. 

Ma c'è una sottoclasse di attacchi, secondo i ricercatori, che può essere realizzata anche senza accedere fisicamente all'automobile, tramite i vari ricevitori senza fili presenti nelle auto moderne. Inoltre è facile concepire un dispositivo radiocomandato connesso alla porta OBD-II, come in effetti hanno fatto i ricercatori, riuscendo a spegnere tutte le luci dell'auto-cavia mentre era in moto: immaginate l'effetto che può avere uno scherzetto di questo genere di notte su una strada non illuminata. Non vedreste più la strada e non sareste visibili fino all'ultimo istante agli altri conducenti. Chi vi segue non vedrebbe accendersi le vostre luci di frenata, con conseguente rischio di tamponamento. E qualora doveste sopravvivere all'incidente, giustificarvi di fronte all'assicuratore o al tribunale dicendo che vi hanno craccato l'automobile sarebbe difficile e rischierebbe di sfociare in prolungate sessioni di terapia psichiatrica.

I ricercatori statunitensi si sono divertiti a creare anche una dimostrazione di "autodistruzione": usando il loro software, denominato Carshark, sul cruscotto compare un conto alla rovescia di 60 secondi, accompagnato da ticchettii di cadenza crescente e dal suono del clacson negli ultimi secondi. Poi si spegne il motore e si bloccano le porte. A discrezione è possibile inoltre attivare di colpo i freni o rilasciarli. 

Qui accanto vedete una demo di tachimetro craccato: indica 140 miglia orarie (225 km/h) nonostante il cambio dell'auto sia in modalità Park e riporta un messaggio scelto dagli aggressori (Pwned by CarShark - CARSHARKED X_X). 

Certo, i ricercatori hanno fatto tutto questo per mettere in luce l'approccio carente alla sicurezza informatica attuale nelle automobili e stimolare i costruttori a valutare più attentamente questo aspetto, e dicono che non c'è motivo di allarmarsi perché a loro non risulta che questi attacchi vengano usati. Ma altri potrebbero non essere così altruisti e sistemi come OnStar della General Motors già adesso permettono di sbloccare a distanza un'auto o di fermarne il motore in caso di furto. Non so voi, ma io vado a comperarmi una Dune Buggy.

Fonti aggiuntive: New York Times.

La bufala dell’omeopatia: denuncia dei medici britannici, test di James Randi

Leggo sul Corriere (e vedo anche sul Telegraph) che la British Medical Association ha definito "stregoneria" l'omeopatia e l'ha denunciata come uno spreco di soldi: 4 milioni di sterline l'anno (4,6 milioni di euro, 6,5 milioni di franchi) per prodotti che sono, in sostanza, acqua fresca. L'omeopatia, infatti, si basa sul principio della diluizione estrema del principio attivo. Così estrema che nel "medicinale" omeopatico non c'è neppure una molecola di questo principio. Pseudofarmaci del genere dovrebbero costare praticamente zero, eppure l'industria del settore vale 40 milioni di sterline solo nel Regno Unito. Il Department of Health precisa, però, che la spesa per i medicinali in sé, a carico del contribuente, ammonta a 152.000 sterline l'anno: il resto va in spese di assistenza e per il personale nei quattro ospedali omeopatici di Londra, Glasgow, Bristol e Liverpool.

La mozione della BMA mira ad eliminare l'omeopatia dai trattamenti pagati dal servizio sanitario nazionale ed entrerà a far parte delle regole dell'associazione se verrà approvata dalla sua conferenza plenaria il mese prossimo. Speriamo in bene, così chi vuole curarsi con il nulla sarà libero di farlo, ma a spese proprie.   

Per una curiosa coincidenza, questa notizia mi è arrivata proprio mentre mi stavo godendo il video di James Randi (sottotitolato in italiano) che ingoia un'intera confezione di sonniferi omeopatici prima dell'inizio della sua relazione sulle pazzie dei sensitivi che frodano il prossimo al ritmo di 700 dollari per venti minuti al telefono. Ho sbagliato mestiere.

Per chi volesse saperne di più sull'omeopatia e sulle sue assurdità di fondo, consiglio questa serie di articoli su Medbunker: Introduzione all'omeopatia, Omeopatia: la conosciamo?, Omeopatia: l'incredibile caso del dottor Benveniste (più avvincente di un giallo, con tanto di complotto, ma non da parte dei soliti noti), e Omeopatia: funziona o no?.

Repubblica e la donna a raggi X: la fonte

Repubblica e il copiaincolla del corrispondente


Visto che Repubblica non accenna a voler rettificare l'articolo sulla donna russa con la vista a raggi X di cui ho parlato recentemente o ad ammettere da quale fonte l'ha copiaincollato il suo corrispondente Nicola Lombardozzi, lo faccio io, così ridiamo un po'.

Giusto per chiarire i termini della faccenda: l'articolo è nella sezione Esteri del giornale, non in quella delle notizie frivole, e Lombardozzi è definito "corrispondente" da Repubblica. Quindi, se non sono cambiate le definizioni dei dizionari, non si tratta di un collaboratore qualunque che se ne sta in redazione in Italia, torna a casa la sera e vive a stipendio minimo, ma di un giornalista che invia "articoli o servizi relativi al luogo in cui risiede" (Garzanti online). Vale a dire che Lombardozzi è pagato per stare in Russia e mandare articoli al giornale. E i corrispondenti costano.

Vediamo dunque quale prodotto di qualità viene fornito da questo corrispondente di Repubblica alla sua redazione e quindi ai suoi lettori. Grazie a un lettore del Disinformatico, Ephraim, le ricerche online sulla bizzarra storia di Julia Vorobjova portano a un articolo di Pravda-TV.ru (in russo) del 2009 che racconta pari pari la vicenda presentata da Repubblica e aggiunge altri dettagli: nel 1978 Julia rimase folgorata sul posto di lavoro, fu dichiarata morta e si risvegliò tre giorni dopo quando gli studenti di medicina iniziarono a tagliuzzarla.

Da quel giorno scoprì gradualmente di avere il dono di vedere all'interno degli esseri viventi e diagnosticarne le malattie, diventando famosa. Ha assistito VIP di ogni sorta, da Raissa Gorbaciova a François Mitterrand a Rajiv Gandhi (predicendo anche la morte di quest'ultimo). Ma lei è umile e ha sempre rifiutato ogni dono dei suoi pazienti miracolati, per cui adesso è povera, disagiata e malata. Il suo talento non funziona su di lei.

Come forse avrete intuito, Pravda-TV.ru non è un giornale granché autorevole o una rispettata testata del mondo giornalistico russo. A sua volta, cita come fonte Aif.ru (senza indicare il link preciso, ma una Googlata rivela l'articolo specifico). Eppure Repubblica non ha avuto esitazioni a riprendere da lì la storia di Julia.

Fra l'altro, Pravda-TV.ru linka una foto di Julia che porta il logo Paranormal-news.ru: un nome che forse avrebbe dovuto insospettire un buon giornalista. Sapete com'è, quando sulla testata campeggia un enorme alieno con gli occhi da moscone, magari qualche dubbio sulla credibilità delle notizie riportate può anche sorgere. Ecco l'articolo dedicato a Julia, datato maggio 2010:


Il sospetto che Lombardozzi abbia letto proprio Paranormal News nasce dal fatto che il dettaglio dell'alluce amputato citato nel suo articolo per Repubblica c'è nel testo di Paranormal News ma non in quello di Pravda-TV.ru o Aif.ru (se Google Translate non m'inganna; russofoni all'ascolto, correggetemi).

Altre ricerche portano a video che mostrano interviste a Julia Vorobjova, ma anche a un curioso articolo di pseudofisica in inglese che racconta la storia di Julia e conclude con una segnalazione curiosa: la signora sarebbe morta nel 1989 ("Mrs. Vorobiyova possessed her gift until her death in 1989").

Poi grazie ad un altro lettore, Enrico, salta fuori un sito dedicato a Julia, nel quale c'è, guarda caso, proprio la foto pubblicata da Repubblica:



Nella sezione di questo sito dedicata alle recensioni c'è una citazione di Repubblica (com'è piccolo il mondo) che però non indica date precise di pubblicazione. Altrove nel sito c'è una galleria fotografica in cui vengono citati l'emittente francese Antenne 2 e il convegno mondiale di sensitivi e parapsicologi tenutosi a Basilea nel 1993. Nessun accenno alla sua situazione attuale.

Questo è quello che, con l'aiuto dei lettori, sono riuscito a trovare io, che non sto in Russia ma a Lugano, non mi sono mosso da casa e non sono pagato da una redazione. E queste sono le fonti che Repubblica usa per dispensarci notizie dall'estero grazie ai suoi corrispondenti.

Seriamente qualcuno pensa che la gente sia disposta a pagare per avere online notizie di questo livello?

2010/05/15

Due illusioni ottiche magnifiche

Non crederete ai vostri occhi


Due splendide dimostrazioni dedicate a tutti quelli che dicono "l'occhio è come una macchina fotografica".


I dettagli sono qui.

Anche questa non è male:

La promiscuità causa terremoti: il religioso iraniano non molla

Iran, donne promiscue e terremoti: religioso torna alla carica


Ricordate Kazem Sediqi, il religioso di Teheran che diceva che i terremoti sono causati dalle donne promiscue? E di come è stato proposto di sperimentare questa tesi invitando le donne ad essere promiscue esibendo collettivamente un po' più di scollatura il 26 aprile scorso? Ne avevo parlato in un articolo.

Qualcuno deve avergli chiesto come mai allora i terremoti non devastano l'Occidente, "che soffre della melma dell'omosessualità, della promiscuità ed è immerso fino al collo [nell'immoralità]", come  dice il buon Sediqi. Così, secondo la Associated Press, Sediqi è tornato alla carica venerdì, dicendo che forse Dio rimanda i disastri naturali in Occidente in modo che le persone possano peccare di più e quindi condannarsi alla sofferenza eterna. "Coloro che hanno provocato l'ira di Dio, Egli lascia che [pecchino] perché possano andare in fondo all'inferno".

Sembra di sentire i complottisti: se una cosa succede, dimostra la loro tesi; se non succede, dimostra comunque la loro tesi. Loro hanno capito tutto e hanno un filo diretto esclusivo con la Verità. È una manifestazione dell'effetto Dunning-Kruger (gli psicologi hanno un'espressione per tutto).

A dimostrazione che i pagliacci non viaggiano mai da soli, la Associated Press nota che anche un altro religioso locale di spicco, l'ayatollah Ahmad Jannati, ha chiesto agli iraniani di fare elemosine e pregare per il perdono, in modo da prevenire i terremoti. "Poche ore dopo" aggiunge con humor laconico l'articolo della AP, "quattro piccoli terremoti hanno colpito punti differenti dell'Iran".

Ah, e se vi siete distratti a causa della foto che accompagna l'articolo, la storia curiosa che la riguarda è raccontata su Gawker.

Stazione spaziale in 3D

La Stazione Spaziale Internazionale vista da terra. In 3D. Senza occhialini




Thierry Legault si conferma un artista della fotografia aerospaziale. Dopo le spettacolari foto già segnalate a suo tempo, arriva questo suo video della Stazione Spaziale Internazionale, fotografata mentre sorvola la Francia a circa 360 km di quota in orbita intorno al nostro pianeta, è in 3D grazie a un trucco geniale: siccome la ISS si sposta rispetto all'osservatore, basta duplicare il video e ritardare una delle sequenze di immagini rispetto all'altra e si ottiene un effetto 3D, non fittizio, ma reale.

Per vedere l'effetto non occorrono occhialini: basta saper incrociare gli occhi come si fa con gli stereogrammi.

Il video è stato ottenuto usando tecniche di stacking e accelerandolo 2,5 volte. La ISS non ruota su se stessa mentre orbita: la rotazione apparente è dovuta al cambiamento di posizione dell'osservatore. I dettagli dell'attrezzatura usata sono qui sul sito di Legault, dove trovate anche il file video scaricabile.

Ops, Google ha raccolto dati dai Wifi

Google Street View ha raccolto anche i dati trasmessi dai Wifi aperti


Foto di Ines Bee, per gentile concessione. L'articolo è stato aggiornato dopo la pubblicazione iniziale.

Si sapeva che le auto di Google, usate per il servizio Street View, raccoglievano i dati identificativi pubblici delle reti Wifi (SSID e MAC address), utili per consentire agli utenti di dispositivi mobili di sapere dove si trovano anche senza avere il GPS. Adesso salta fuori che contrariamente a quanto dichiarato da Google inizialmente, le auto di Street View raccoglievano, mentre passavano, anche spezzoni del flusso di dati di queste reti.

Questo vuol dire che Google può aver raccolto e-mail, foto, documenti o siti web che viaggiavano su una connessione Wifi al momento del transito dell'auto di Street View nelle vicinanze.

La faccenda, definita da Google "molto semplicemente un errore", è venuta a galla quando Google ha riesaminato la raccolta di dati di Street View nel corso di un esame richiesto dalle autorità tedesche per la privacy. Google ha ora bloccato le proprie auto e ha dichiarato che smetterà di raccogliere dati Wifi di qualunque genere.

L'errore è attribuito da Google al fatto che un tecnico nel 2006 scrisse "un pezzo di codice che campionava tutte le categorie di dati Wifi pubblicamente trasmessi" e che questo codice fu poi incluso nel software delle auto di Street View nonostante i capiprogetto non volessero usare i dati di payload (il flusso di dati degli access point Wifi).

Google ha senz'altro commesso un errore grave, con serie ripercussioni legali (secondo il New York Times, potrebbe essere accusata di intercettazione) e sulla fiducia degli utenti nei suoi confronti, ma quello ancora più grave lo commette chi lascia la propria rete Wifi aperta e accessibile senza saperlo e poi si lamenta che Google gliela legge. Bella forza: può leggerla qualunque ragazzino con un laptop, se non si attivano le protezioni adatte (cifratura e password). Leggere il manuale prima di cominciare a usare per lavoro un apparecchio non si usa più, evidentemente.

Fonti: Google (blog ufficiale), Yahoo News, BBC.

2010/05/14

Twitterremoto! Baco permette a chiunque di costringere qualcuno a diventare suo follower

Twitter, il social network minimalista con 100 milioni di utenti che concentrano i momenti della propria esistenza in 140 caratteri, ha rivelato nei giorni scorsi un buco di programmazione di dimensioni epiche. Chiunque digitasse semplicemente la parola "accept" seguita dal nome di un utente Twitter obbligava quell'utente a diventare suo seguace (follower) e quindi a ricevere tutti i suoi messaggi.

Una manna per gli spammer, che avrebbero potuto approfittarne per mandare messaggi Twitter a migliaia di vittime. Per fortuna la falla è stata turata rapidamente, ma non prima che vari burloni la sfruttassero per far arrivare i propri messaggi alle celebrità, come il popolarissimo conduttore comico statunitense Conan O'Brien, Oprah Winfrey o Ashton Kutcher.

(da Gizmodo)

Secondo Gizmodo, la falla era stata scoperta per caso da Bilo31, un utente turco di Twitter, al quale piace una band che si chiama appunto Accept. Aveva scritto su Twitter "Accept pwnz" (intraducibile espressione gergale di apprezzamento) e si è accorto che invece di veder comparire il proprio profondissimo messaggio, Twitter gli aveva risposto che l'utente Pwnz era diventato suo seguace. Lo ha detto alla sua ragazza e insieme hanno cominciato fare la cosa più logica in una situazione del genere: mandare messaggi con questa semplice sintassi alle celebrità presenti su Twitter.

Poi hanno commesso l'errore di raccontare del baco sul loro blog, e la notizia è esplosa in Rete, arrivando a Gizmodo, che poco responsabilmente l'ha pubblicata invece di avvisare i gestori di Twitter.  La pubblicazione ha seminato il caos per alcune ore, obbligando ad azzerare temporaneamente tutti i conteggi di tutti i seguaci. La falla è stata risolta e i conteggi sono stati più o meno ripristinati, ma gli utenti che sono stati obbligati a forza a diventare seguaci di altri continuano ad essere elencati.

Il baco straordinario, sfruttabile senza alcuna competenza informatica, deriva dal fatto che Twitter ha dei comandi testuali, come follow (per iscriversi ai messaggi di un utente) o stats (per visualizzare le proprie statistiche di utilizzo). Questi comandi sono pubblicamente documentati; la parola accept era semplicemente un altro comando, ma di quelli non documentati.

La vicenda ha ovviamente causato scompiglio e confusione pur nella sua breve durata, ma è soprattutto una dimostrazione di cattiva programmazione da parte di chi ha in mano cento milioni di utenti e del fatto che la security through obscurity, ossia la sicurezza ottenuta mediante la segretezza anziché la buona programmazione ("Sì, c'è un baco grosso come una casa, ma non diciamolo in giro e nessuno lo scoprirà"), è un mito che resiste e continua a fare danni.

Fonti: BBC, Gizmodo.

74 anni senza mangiare o senza farsi beccare? Finito l’esperimento di digiuno indiano; la credulità dei media, invece, è inesauribile

L'articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2010/05/16.

Avete presente Prahlad Jani, l'uomo che dice di non aver mai mangiato o bevuto da prima della Seconda Guerra Mondiale e che sarebbe stato sotto scientificissima sorveglianza in un ospedale indiano per quindici giorni, allo scopo di dimostrare e studiare le sue straordinarie capacità di vivere senza cibo e soprattutto senz'acqua? Ne hanno parlato parecchio i media (Ansa, Repubblica, Bluewin.ch, Yahoo UK) e anche il Disinformatico, che ha osato porsi un dubbio: e se fosse semplicemente un imbroglione?

Ora l'esperimento è finito, ma la dose di entusiasmo acritico con la quale i media ne parlano continua. "Il santone indiano che non mangia e non beve da 74 anni dice la verità", dice Ilsussidiario.net. Bluewin scrive che "Dopo 15 giorni di esami, i medici non sono riusciti a spiegare il mistero dell'eremita indiano che sostiene di poter vivere senza bere e mangiare". I medici sono rimasti "con un palmo di naso" nonostante abbiano sottoposto lo yoghi "ad un accurato check-up in una stanza isolata di un ospedale sorvegliata da telecamere 24 ore su 24".

O almeno così ce la raccontano. Il Daily Mail, che pure non risplende maestoso nel firmamento dell'autorevolezza, ha comunque avuto il buon gusto di sentire qualche parere invece di fare copiaincolla delle notizie d'agenzia, e ha sentito Sanal Edamaruku, segretario generale dell'Associazione Razionalisti Indiani, che ha rivelato un dettaglio interessante. Quando ha chiesto il permesso di inviare un gruppo di osservatori per esaminare la stanza nella quale si svolgeva il test, la sua richiesta è stata rifiutata ripetutamente. Edamaruku ha sottolineato che Sudir Shah, il medico che ha coordinato il recente esperimento, è lo stesso che ha svolto altre indagini analoghe, nelle quali non ha mai concesso una verifica indipendente e non ha mai pubblicato rapporti scientifici in merito.

Emergono altri dettagli ancora più interessanti nella dichiarazione ufficiale del gruppo di medici rilasciata al termine dell'esperimento che avrebbe dimostrato che Jani vive senza ingerire acqua: "L'unico contatto con qualunque forma di fluido è stata durante i gargarismi e i bagni, periodicamente effettuati durante lo studio, a partire dal quinto giorno".

Gargarismi e bagni?

La foto qui sopra è tratta dall'esperimento del 2003 condotta dagli stessi medici di oggi; proviene da una presentazione Powerpoint scovata dall'Irregular Times. Dalla quale emerge che in quell'esperimento Jani non solo veniva a contatto con l'acqua per gargarismi e bagni, che faceva versandosi ripetutamente acqua proprio in testa (video qui), ma aveva perso quattro chili in dieci giorni.



Non è finita. Jani riceveva "visite di devoti", alla faccia della sicurezza antifrode (BBC). E nello stesso video, tratto da un documentario di Discovery Channel, si vede Jani che si fa mettere una mano in bocca da un visitatore e ne "estrae" del "cibo magico" che lui afferma di produrre. I prestigiatori che stanno leggendo si staranno sbellicando dalle risate.



Come se non bastasse, nel video il medico Sudir Shah invita le persone a fissare il sole per periodi sempre più prolungati, senza sbattere le palpebre, fino ad abituarsi e così ricevere energia. Questo, come del resto avvisa anche il video, è un comportamento pericolosissimo, che può portare a lesioni permanenti della retina. Se questo è il genere di consiglio scientifico che offre il medico garante degli esperimenti, forse un attimo di prudenza è d'obbligo prima di scrivere che Prahlad Jani ha dimostrato scientificamente di vivere senza cibo e acqua.

Il rischio di trovarsi di fronte a un arzillo imbroglione che si compiace della venerazione dei fedeli e si fa esaminare solo da medici molto creduloni e di competenza traballante è insomma stratosfericamente alto. Solo una verifica da parte di professionisti (prestigiatori) permetterebbe di risolvere la faccenda una volta per tutte, ma la proposta è stata rifiutata. Guarda caso.

Pazienza, direte voi. Che male fa voler fantasticare un po'? A parte l'insulto a chi muore davvero di fame, la preoccupazione degli scettici indiani è che "la gente cerca di imitare questi santoni e finisce per farsi del male", come già successo anche in Europa nei casi segnalati nel mio articolo precedente. In questo caso sono già morte delle persone, sedotte da queste panzane fino a lasciarsi morire d'inedia. Sarebbe opportuno non alimentare ulteriormente credenze così pericolose.


2010/05/16


James Randi, esperto prestigiatore e divertentissimo cacciatore di bufale paranormali, dice la sua senza troppi complimenti (in inglese) in questo video (grazie a Jacopo per la segnalazione):

Come abbandonare Facebook

Quant'è difficile mollare Facebook


Se i recenti cambiamenti e ghiribizzi di privacy di Facebook vi hanno stimolato a riconsiderare la vostra presenza sul social network più popolare del momento, ecco una miniguida su come procedere.

È importante tenere presente che ci sono due modalità fondamentali: la disattivazione e la cancellazione. Disattivare non significa eliminare permanentemente da Facebook tutti i vostri dati; significa nasconderli come se aveste chiuso l'account, ma poterlo riattivare se cambiate idea. La cancellazione, invece, è definitiva e permanente.

Per disattivare un profilo Facebook, accedete al profilo in questione e scegliete Account - Impostazioni Account - Disattiva. Compare una schermata che vi chiede se siete sicuri di voler disattivare l'account e perché lo volete fare: dovete immettere qualcosa o selezionare una risposta predefinita, altrimenti non potrete disattivare. Cliccate su Disattiva il mio account e immettete la vostra password.


Vi viene proposto un captcha (una di quelle scritte tutte deformate che servono come controllo di sicurezza): immettetelo, cliccate su Invia e il vostro account Facebook sarà disattivato. Se vi pentite della disattivazione, potete riattivare l'account immettendo in Facebook il vostro indirizzo di e-mail e la password dell'account Facebook.

Per cancellare il vostro account (attenzione: questa è un'operazione irrevocabile) c'è un metodo veloce e c'è un altro metodo meno veloce. Il difetto di quello veloce è che a volte non funziona, ma vale la pena di provare: dopo essere entrati nel vostro account Facebook, immettete questo link nel vostro programma di navigazione:

http://www.facebook.com/help/contact.php?show_form=delete_account

Se funziona, arrivate a questa schermata:


Cliccate su Invia. Vi viene chiesta la vostra password e dovete digitare correttamente il captcha e poi cliccare su OK.


Se questo metodo veloce non ha funzionato, andate in Account - Centro assistenza e digitate "cancellare account" nella casella di ricerca. Questo vi porta a una risposta "Voglio cancellare il mio account definitivamente", in fondo alla quale trovate un link ("invia la tua richiesta qui") che vi porta alla schermata di eliminazione vista prima.

Comunque sia, cliccando su OK nella schermata che reca la vistosa scritta rossa "Stai per cancellare definitivamente il tuo account" pensereste che succeda appunto questo, ossia che venga cancellato definitivamente l'account. Non è così.

Infatti dopo aver cliccato su OK compare un avviso che vi informa che l'account è stato disattivato, non cancellato, e verrà eliminato in modo definitivo soltanto tra 14 giorni. Se accedete all'account entro questi 14 giorni, l'account viene riattivato:


Quindi per eliminare permanentemente un account occorre non solo cancellarlo, ma bisogna anche evitare di tentare di accedervi per due settimane. Altrimenti è tutto inutile e Facebook non vi molla.