2017/04/28

Fitbit diventa testimone d’accusa in un caso di omicidio

La vittima dell'omicidio,
Connie Dabate.
Spesso segnalo il problema dell'accumulo inconsapevole di dati personali generato dai dispositivi dell'Internet delle cose, ma stavolta uno di questi dispositivi potrebbe essere decisivo nel risolvere un caso di omicidio e forse incastrare il colpevole.

Arriva da Ellington, in Connecticut, la notizia che la polizia locale sta indagando sull'omicidio di una donna, Connie Dabate, avvenuto nel 2015. Secondo il marito, la donna sarebbe stata uccisa con un'arma da fuoco da un intruso mascherato, un uomo "alto e obeso" dalla voce profonda.

Ma la polizia ha scoperto che il braccialetto Fibit della donna stava ancora registrando dei passi più di un'ora dopo l'orario al quale sarebbe stata uccisa stando al racconto del marito. Anche altri dispositivi domestici, come l'antifurto, i computer, i telefonini e i messaggi pubblicati sui social network, contengono dati che contraddicono le dichiarazioni dell'uomo.

Il marito si dichiara innocente, ma è stato ora incriminato e arrestato ed è soggetto a una cauzione di un milione di dollari.

Voci simulate con Lyrebird

Quelle che potete sentire qui su Lyrebird.ai o qui sotto non sono le classiche voci-parodia di personaggi famosi (in questo caso Barack Obama, Donald Trump e Hillary Clinton), generate rimontando ad arte dei pezzi di loro frasi effettivamente pronunciate: sono completamente sintetiche. A Lyrebird basta anche un solo minuto di voce registrata per creare una copia che imita tutte le caratteristiche identificative di una persona. Da questa copia è possibile generare qualunque frase.


Le implicazioni di autenticazione e di identità di un servizio del genere sono impressionanti. Di questo passo non potremo più fidarci di una voce sentita al telefono, per esempio, i sistemi di autenticazione basati sul riconoscimento del timbro di voce saranno inattendibili e potremmo trovarci presto a conversare con dei chatbot che fingono di essere la persona con la quale vorremmo parlare (Be Right Back di Black Mirror si avvera sempre più, insomma); per contro, i contratti fatti per telefono potrebbero non essere più legali (il venditore potrebbe aver creato la mia voce) e potremmo anche sentire i film doppiati con le voci degli attori originali che miracolosamente parlano la nostra lingua.

SnapChat aggiunge la realtà aumentata con World Lenses

Snapchat ha attivato la realtà aumentata, ma non la chiama con questo nome: la definisce World Lens e la usa per inserire degli oggetti virtuali in una fotografia, rispettandone la prospettiva e le proporzioni invece di limitarsi al solito inserimento piatto e bidimensionale. È un prodotto forse frivolo nel suo utilizzo ma decisamente sofisticato per il modo in cui è in grado di riconoscere la struttura tridimensionale di una scena inquadrata dalla fotocamera dello smartphone e adattare gli oggetti virtuali ai cambiamenti d'inquadratura.


Per usarlo basta toccare una sola volta lo schermo mentre si inquadra una scena. Buon divertimento.


Fonti: Snap.com, Gizmodo.

Malware per Mac travestito da comunicazione del fisco svizzero

Settaggi alterati da OSX/Dok.
Credit: CheckPoint Software
Rischia di fare parecchi danni in Svizzera il nuovo malware per Mac segnalato dalla società di sicurezza informatica Checkpoint Software: non solo perché molti utenti Apple pensano di non essere vulnerabili agli attacchi informatici, a differenza di chi usa Windows ed è abituato a ritenersi attaccabile, ma anche perché usa un trucco molto efficace: finge di essere una comunicazione ufficiale delle autorità fiscali svizzere.

Il malware, denominato OSX/Dok, è molto sofisticato: è apparentemente autenticato da un certificato digitale, si adatta alla lingua utilizzata dal Mac dell'utente ed è efficace su  tutte le versioni di Mac OS X. Si diffonde via mail sotto forma di un allegato in formato ZIP che, se aperto ed eseguito, modifica il funzionamento del computer installando un nuovo certificato root e dirottando tutto il traffico attraverso un proxy server.

In questo modo i suoi gestori possono intercettare praticamente tutte le comunicazioni della vittima, comprese quelle cifrate tramite SSL. Quando ha finito la propria opera, il malware si autocancella dal computer infettato, che rimane modificato e vulnerabile.

Per sapere se si è stati colpiti da un attacco di questo genere si può andare nelle impostazioni dei proxy (nelle Preferenze di Sistema) e controllare che non siano state alterate. Per fare prevenzione è opportuno dotarsi di un buon antivirus e tenerlo costantemente aggiornato, ma soprattutto è necessario che gli utenti non aprano ed eseguano gli allegati inattesi.

Il mistero delle vie fantasma e delle città inesistenti nelle mappe

Se andate in vacanza negli Stati Uniti, non provate a visitare la località di Agloe, nello stato di New York. Non ve lo sto sconsigliando perché è un postaccio: è che semplicemente non la troverete, nonostante sia indicata sulle cartine e sia catalogata su Wikipedia.

Se invece vi trovate a Bristol, nel Regno Unito, non perdete tempo a cercare di entrare nella viuzza chiamata Lye Close: è riportata chiaramente sulle mappe cartacee, ma in realtà non esiste. Posti fantasma come questi sono segnalati in tutto il mondo: ad Atene, per esempio, una delle più vendute cartine stradali include numerose vie in realtà inesistenti.

Le mappe, insomma, mentono. Di solito si parla di città o strade segrete che non compaiono sulle mappe, ma esiste anche il fenomeno contrario.

No, non è un complotto per nascondere strade o città segrete: è un trucco contro le copie abusive delle mappe. Da almeno un secolo, infatti, i cartografi inseriscono intenzionalmente dei dati falsi qua e là in modo da smascherare chiunque duplichi abusivamente il loro lavoro. I diritti d'autore sulle mappe rappresentano un mercato enorme e la pirateria dei dati delle cartine è molto più frequente di quel che si potrebbe immaginare. Le vie inesistenti si chiamano trap street o copyright trap.

Il caso più sensazionale di pirateria cartografica smascherata grazie a questi dati fittizi accadde nel Regno Unito fra il 1999 e il 2001, quando emerse che la Automobile Association (grosso modo l'equivalente dell'ACI italiano) aveva copiato le cartine dell'ente cartografico dello stato britannico e risarcì la violazione pagando ben venti milioni di sterline di allora (circa 36 milioni di euro di oggi).

Questi errori intenzionali si usano ancora oggi: li adoperano i creatori delle mappe digitali usate nei navigatori satellitari e negli smartphone, in modo da sapere se qualcuno copia il loro paziente lavoro cartografico e avere le prove schiaccianti della pirateria che li danneggia.

È forse per questo che a volte i navigatori digitali sbagliano o propongono strade improbabili? Per fortuna no: oggi i cartografi digitali usano trucchi più sofisticati, che non rischiano di far perdere l'utente a caccia di vie o località inesistenti. Per esempio, i tratteggi usati per delimitare un'area possono essere composti da linee e punti che sembrano casuali ma in realtà sono parole in codice Morse. Un altro metodo molto elegante è alterare uniformemente gli ultimi decimali delle coordinate geografiche, in modo che siano differenti dai valori reali. La differenza non ha alcun effetto pratico sulla navigazione, perché rappresenta uno scostamento di qualche centimetro, ma consente di dimostrare la provenienza dei dati e rivelare facilmente la pirateria.

Essere onesti conviene, insomma, anche a proposito di mappe: fra l'altro, se vi servono dati cartografici, non volete piratarli ma non potete pagarli, esiste da tempo il progetto senza scopo di lucro Openstreetmap.org, le cui cartine digitali del mondo sono liberamente utilizzabili, a patto di citarne la fonte, senza finire in strade fantasma.


Fonti: Mental Floss, Open Street Map, Wikipedia.

Oggi la cinquecentesima puntata del Disinformatico


Grazie a tutti di avermi seguito in dieci anni di radio e di podcast. A proposito, è già pronto da scaricare il podcast di questa puntata.

2017/04/27

La prossima Cena dei Disinformatici si terrà l’1 luglio 2017

Secondo un gioioso rituale ormai consolidato da qualche anno, anche per il 2017 è stata indetta una Cena dei Disinformatici. Il ritrovo è fissato per sabato 1 luglio alle 20 in un luogo di Milano che verrà comunicato agli iscritti.

Per partecipare bisogna scrivere al maestro di cerimonie, l'inossidabile Martinobri, all'indirizzo martibell@virgilio.it indicando generalità e nick usato su questo blog. Chi desiderasse essere messo in contatto con altri della sua zona per condividere il viaggio lo dica esplicitamente.

L'hardware Censurex 3000 per non essere identificabili nelle foto di gruppo sarà fornito, come consueto, dall'organizzazione.

Ci vediamo alla Cena!

2017/04/25

Politico ticinese casca nella trappola dei siti che sparano bufale per denaro

Credit: Tio.ch.
Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete farne una anche voi per incoraggiarmi a scrivere ancora.

Lorenzo Quadri, politico ticinese, ha citato su Facebook un articolo intitolato Cibo africano e camere singole, sennò spacchiamo tutto e ne è nata una polemica sfociata in una denuncia, come raccontano Tio.ch e Rsi.ch.

Piccolo problema: la fonte dell'articolo è la Gazzetta della Sera, una delle tante pseudotestate giornalistiche che strilla notizie false di qualunque genere pur di attirare i clic degli internauti, fregandosene delle conseguenze sociali.

Quadri non ha controllato la fonte e la veridicità dell'articolo prima di condividerlo ed è quindi caduto nella trappola acchiappaclic: la sua condivisione, perlomeno fino al momento in cui il politico ha rimosso il proprio post, ha incoraggiato le visite a Gazzettadellasera[.]com, facendone aumentare gli incassi pubblicitari.

Morale della storia: prima di condividere qualcosa, controllate che non provenga da un sito sparabufale.




2017/04/24

50 anni fa la prima morte durante un volo spaziale: Vladimir Komarov e la Soyuz-1

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori ed è tratto dall'Almanacco dello Spazio. Se vi piace, potete farne una anche voi per incoraggiarmi a scrivere ancora.

Il 24 aprile di 50 anni fa, nel 1967, il cosmonauta Vladimir Komarov morì nello schianto al suolo della sua Soyuz-1 al termine del rientro dallo spazio. Fu il primo incidente mortale durante un volo spaziale.

Komarov, che aveva già volato nello spazio con la Voskhod 1, era stato scelto per pilotare il nuovo veicolo spaziale dell'Unione Sovietica, la Soyuz. Ma il veicolo era stato realizzato in fretta, sotto la pressione dei politici che volevano un nuovo successo di propaganda spaziale: il 1967 era il cinquantenario della Rivoluzione Bolscevica ed era il decennale del lancio del primo satellite, lo Sputnik.

Il volo della Soyuz 1, partito dal cosmodromo di Baikonur il 23 aprile, era concepito come un'altra tappa trionfale della conquista sovietica del cosmo: un altro veicolo sovietico, con tre cosmonauti a bordo, avrebbe dovuto raggiungere Komarov in orbita, per poi effettuare un rendez-vous spettacolare. Ma un comunicato congiunto dell'agenzia di stampa TASS e di Radio Mosca annunciò concisamente che "Il cosmonauta Vladimir Komarov è deceduto durante il completamento del volo di collaudo del veicolo spaziale Soyuz 1". Il lancio del secondo equipaggio, già annunciato, fu annullato.

I dettagli della tragedia furono resi noti in seguito, ma solo gradualmente, nell'arco di quasi trent'anni. All'inizio fu fatto credere che per la Soyuz 1 si fosse trattato soltanto di un difetto del paracadute di atterraggio, che non si era aperto correttamente e non aveva frenato la capsula, che quindi era precipitata a velocità elevatissima, uccidendo il cosmonauta all'impatto con il suolo in Kazakistan al termine di una missione eseguita senza problemi. Ma la realtà era ben diversa.

I guai al veicolo erano iniziati subito: uno dei due pannelli solari che alimentano la Soyuz-1 non si era aperto, dimezzando l'energia disponibile a bordo. Il pannello che non si era aperto aveva ostruito i sensori ottici necessari per conoscere l'assetto del veicolo, orientarlo e stabilizzarlo. Komarov aveva tentato di correggere il problema, ma il propellente di manovra rischiava di esaurirsi e le batterie non si caricavano a sufficienza.

Il Controllo Missione aveva deciso di far rientrare Komarov in anticipo, alla diciassettesima orbita, dopo un giorno nello spazio. Ma i sistemi di bordo non avevano collaborato, anche a causa dell'asimmetria inattesa della Soyuz - 1 (che aveva un pannello solare chiuso e uno aperto), e avevano interrotto la manovra di rientro avviata da Komarov. Da terra erano state inviate nuove istruzioni per ritentare il rientro alla diciannovesima orbita.

Anche il secondo tentativo di rientro aveva avuto problemi: l'asimmetria del veicolo lo aveva fatto deviare dalla traiettoria prevista e i sistemi automatici se ne erano accorti e avevano quindi interrotto l'accensione del motore di rientro.

L'effetto combinato delle due manovre parziali di rientro era stato comunque sufficiente a far ricadere il veicolo spaziale nell'atmosfera e i moduli della Soyuz-1 si erano separati correttamente, lasciando la capsula di discesa, contenente Komarov, libera di rientrare, usando lo scudo termico per frenare. Ma il paracadute pilota, che avrebbe dovuto estrarre quello principale, non lo aveva fatto. La Soyuz-1 era dotata di un paracadute di riserva, che era stato azionato ma si era ingarbugliato nei cavi del paracadute pilota, per cui la capsula era precipitata praticamente in caduta libera. È presumibile che Komarov abbia avuto il tempo di rendersi conto del malfunzionamento e della propria fine imminente.

Lo schianto al suolo era stato violentissimo: la capsula, alta circa due metri, si era ridotta a un ammasso metallico alto 70 centimetri e i razzi di frenata erano esplosi, distruggendo quel poco che restava. Di Komarov erano rimasti soltanto frammenti carbonizzati.

Quel che restava della Soyuz 1 e di Vladimir Komarov.


Le indagini sul disastro riveleranno che il sistema dei paracadute era intrinsecamente difettoso e non era mai stato collaudato nel suo complesso, e che anche il veicolo gemello, la Soyuz-2, aveva lo stesso difetto: se fosse stato lanciato, i suoi cosmonauti avrebbero fatto la fine di Komarov.

Passerà un anno e mezzo, fino a ottobre del 1968, prima che una Soyuz torni a volare nello spazio. La Soyuz, rimodernata e riprogettata, diventerà uno dei veicoli più affidabili e longevi della storia spaziale, con cinquant'anni di attività. Ma prima di arrivare a questo traguardo chiederà un altro tributo di sangue: la Soyuz-11, nel giugno del 1971.










Fonti: Space Safety Magazine; Russian Space Web; David Shayler, Disasters and Accidents in Manned Spaceflight, p. 371.

2017/04/22

Podcast del Disinformatico del 2017/04/21

È disponibile per lo scaricamento il podcast della puntata di ieri del Disinformatico della Radiotelevisione Svizzera. Buon ascolto!

#Bastabufale a Montecitorio ieri: tavoli di lavoro per contrastare i danni da disinformazione

L'articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2017/04/23 8:35.

Sono rientrato al Maniero Digitale dopo il viaggio a Roma per partecipare alla seconda sessione di Bastabufale, l'iniziativa avviata dalla Presidente della Camera italiana, Laura Boldrini, per trovare soluzioni ai danni causati dall'esplosione della disinformazione online e nei media tradizionali agevolata dall'informatizzazione e dall'interconnessione.

Ecco qualche foto e qualche video a proposito del tavolo di lavoro che ho moderato. Io vi racconterò la mia esperienza appena possibile: intanto vi segnalo l'ottima sintesi di Francesca Sforza su La Stampa.

Il video di presentazione:



Le impressioni dei colleghi e mie a caldo, appena terminati i lavori:










Le riflessioni di alcuni partecipanti, come Alexander Jakhnagiev:




Paola Spadari:




Luigi Contu:




Ida Colucci:




Riccardo Luna:




Maria Latella:




Antonio Di Bella:














Un'idea che sta già avendo risultati notevoli attraverso esperienze come quella di Sleeping Giants:


2017/04/20

Domattina sarò a Montecitorio con i colleghi debunker; diretta streaming dei tavoli di lavoro

Ultimo aggiornamento: 2017/04/22 13:25.

Domani mattina alle 11 molti dei nomi e delle organizzazioni più importanti del settore si riuniranno a Montecitorio per fare il punto sulle proposte e misure concrete che hanno intenzione di attuare per arginare il fenomeno della disinformazione. Ci sarò anch'io a moderare uno dei tavoli di lavoro, che saranno composti come segue secondo la pagina apposita della Camera dei Deputati.

Scuola, Università e Ricerca. Interverranno: Giuseppe Pierro del Miur (Ministero dell'Istruzione, dell'Università e della Ricerca); Valter Malorni dell'Istituto superiore della Sanità; Massimo Inguscio, presidente del Cnr (Consiglio Nazionale delle Ricerche); Paolo Veronesi, presidente e Donatella Barus, direttrice della Fondazione Umberto Veronesi; Massimo Polidoro, segretario nazionale del Cicap (Comitato Italiano per il Controllo delle Affermazioni sulle Pseudoscienze); Gaetano Manfredi, presidente della Crui (Conferenza dei Rettori delle Università italiane); Roberta Lanciotti, portavoce del Forum nazionale delle associazioni studentesche. Il moderatore sarà Walter Quattrociocchi.

Rappresentanti del mondo digitale. Parteciperanno Diego Ciulli, public policy Google; Laura Bononcini di Facebook Italia; Riccardo Capecchi, Segretario generale di Agcom; Licia Califano dell'Autorità garante della privacy; Silvia Brena, cofondatrice di Vox (Osservatorio italiano sui diritti); Nunzia Ciardi, direttrice della Polizia postale; Vincenzo Cosenza di Blogmeter; Matteo Flora, fondatore di The Fool. Il moderatore sarà David Puente.

Imprese. Ci saranno Alfonso Dell'Erario, responsabile comunicazione di Confindustria; Lorenza Manessi, capo ufficio stampa Confartigianato, in rappresentanza di Rete imprese; Francesca Alfano, responsabile formazione di Coldiretti; Stefano Bassi, presidente di Ancc-Coop (Associazione Nazionale Cooperative di consumatori); Giovanna Maggioni, direttrice Generale di UPA (Utenti Pubblicità Associati); Luigi Mastrobuono, direttore di Confagricoltura per Agrinsieme e Alleanza delle cooperative italiane; Carolina Mailander, consigliere Assorel (Associazione imprese di comunicazione e relazioni pubbliche); Raffaele Paciello, consigliere nazionale Ferpi (Federazione relazioni pubbliche italiana). Il moderatore sarà Michelangelo Coltelli di Butac.it.

Media. Saranno presenti Fabrizio Carotti, direttore generale Fieg (Federazione italiana editori giornali); Maria Latella di Sky Tg24, Il Messaggero e Radio 24; Ida Colucci, direttrice del Tg2; Antonio Di Bella, direttore di Rai News 24; Riccardo Luna, direttore di Agi; Luigi Contu, direttore di Ansa; Peter Gomez, direttore de Ilfattoquotidiano.it; un rappresentante dell'Ordine dei Giornalisti; Federica Gentile, di Rtl; Gianluca Di Feo, vicedirettore de La Repubblica; Raffaele Lorusso della Fnsi (Federazione Nazionale Stampa italiana); Paolo Liguori, direttore di Tgcom24 per Mediaset; Antonio Polito, vicedirettore del Corriere della Sera; Francesca Sforza de La Stampa; Alexander Jakhnagiev, direttore dell'Agenzia Vista. Il moderatore sarà il sottoscritto.

La Presidente della Camera, Laura Boldrini, aprirà il confronto tra gli esperti dei quattro settori interessati. L'appuntamento sarà trasmesso in diretta webtv presso webtv.camera.it/evento/10993.


2017/04/22 13:25. Diversamente da quanto avevo capito, i lavori non sono stati trasmessi in diretta streaming: è stato trasmesso solo il discorso introduttivo della Presidente della Camera. Malinteso mio, scusate.

Decollo Soyuz MS-04 di stamattina con due sole persone a bordo

Questo articolo vi arriva gratuitamente e senza pubblicità dall'Almanacco dello Spazio grazie alle donazioni dei lettori. Se vi piace, potete farne una anche voi per incoraggiarmi a scrivere ancora. Ultimo aggiornamento: 2017/04/20 16:40.

Sto convertendo l'Almanacco dello Spazio dal formato EPUB a quello Web: questo articolo è tratto da una voce nuova che ho scritto stamattina per annotare il volo spaziale partito dal Kazakistan stamattina.

-––

Alle 9:13 ora italiana di stamattina è partita dal cosmodromo di Baikonur, in Kazakistan, la Soyuz MS-04, che ha portato nello spazio l'astronauta statunitense Jack Fisher e il cosmonauta russo Fyodor Yurchikhin, diretti verso la Stazione Spaziale Internazionale con un piano di volo rapido che prevede il rendez-vous con la Stazione in sole sei ore. È il primo volo spaziale con equipaggio del 2017 [GA].

L'equipaggio della Soyuz è composto da due persone invece delle consuete tre: non succedeva dal 26 aprile 2003, dopo la tragedia dello Shuttle Columbia. La riduzione è una conseguenza di una serie di misure di contenimento delle spese e del lavoro nel segmento russo della Stazione: il lancio del modulo scientifico russo Nauka, infatti, continua a subire rinvii (da anni) e senza di esso il carico di lavoro russo non giustifica tre membri d'equipaggio di questa nazione. I russi a bordo della Stazione scenderanno così a due, ma in compenso il personale del segmento statunitense salirà da tre a quattro.

Al posto del terzo membro d'equipaggio vengono trasportati dei rifornimenti per la Stazione. Yurchikin, veterano e comandante, siede al centro; Fischer, al suo primo volo, siede a sinistra; il sedile di destra è occupato dai rifornimenti.

La Soyuz MS-04 è stata denominata Argo, come la nave greca della mitologia; è solo la seconda Soyuz ad avere un nome [ISS101]; la prima è stata la Soyuz TMA-21, denominata Gagarin, nel 2011 [ISS101; RikyUnreal], anche se in passato altri veicoli russi hanno avuto dei nomi (callsign) [RikyUnreal].

2017/04/19

Cronaca di un attacco di ransomware: in chat con i criminali

Nota: alcuni nomi, luoghi e riferimenti temporali sono stati alterati per rispettare la riservatezza delle aziende e delle persone coinvolte senza cambiare il senso e la fedeltà del racconto, che pubblico in forma anonimizzata con il consenso degli interessati. Ultimo aggiornamento: 2017/04/21 10:50.

Quello che segue è un racconto di un grave attacco informatico a un'azienda che ho seguito personalmente come giornalista, arrivando a dialogare con gli aggressori, ma è soprattutto un promemoria del fatto che storie come questa possono capitare a chiunque e dovunque e hanno conseguenze pesanti per chi non fa prevenzione.

Quindi fate sempre copie dei vostri dati; isolate fisicamente queste copie da Internet e dalla vostra rete aziendale; addestrate i vostri dipendenti a essere sospettosi; impostate i computer in modo che non possano eseguire programmi o codici scaricati da Internet.

Ringrazio l’azienda e i tecnici che hanno dato il consenso alla pubblicazione di questo resoconto e hanno raccolto le immagini che lo illustrano.


3 marzo 2017, 2:00 AM


Sono le due del mattino: come capita spesso agli informatici, sono ancora al computer e mi vedo arrivare una mail intitolata Urgente ransomware. Se qualcuno mi scrive a quest'ora, dev'essere davvero urgente, per cui leggo subito la mail, che dice che un'azienda della regione in cui abito è stata attaccata da criminali informatici e "tutto è stato criptato". Sono scomparsi tutti i dati di produzione; cosa peggiore, sono stati criptati anche i backup. Senza i dati aziendali ci saranno più di cinquanta dipendenti che non potranno lavorare: niente mail, niente contabilità, niente di niente.

I criminali vogliono 2 bitcoin di riscatto (circa 2000 franchi) entro cinque giorni per fornire la chiave di decifrazione. Trascorsi questi cinque giorni, il riscatto raddoppierà. L'azienda pensa subito di pagare, perché ogni giorni di inattività costa migliaia di franchi, ma i titolari non sanno come procurarsi i bitcoin e così chiedono aiuto a me.

Avendo già visto cosa succede e come ci si sente in casi come questi, rispondo subito nonostante l'orario: chiedo una schermata che mostri l'avviso visualizzato dal ransomware, per capire se per caso è uno di quelli per i quali esiste già una chiave di sblocco conosciuta (nel qual caso non ci sarebbe bisogno di pagare) o uno di quelli che cifra i dati ma non li decifra (nel qual caso è inutile pagare, perché tanto i dati non verranno recuperati).

Ricevo la schermata, scritta in buon inglese: il ransomware è Nemesis, che non ha chiavi di decifrazione note. Però ha una chat interattiva (sì, si può dialogare con il "servizio clienti" dei criminali) e anche un pratico link a un video tutorial presente su Youtube (ma non creato dai criminali) che spiega come installare il browser Tor per poi accedere alla chat.



C'è il problema di procurarsi i bitcoin: io non li posso fornire, perché dal punto di vista legale, visto che so a cosa servono, un mio aiuto potrebbe essere considerato come una forma di assistenza ai criminali e quindi di complicità. Posso solo indicare alcune informazioni pubbliche (per esempio il fatto che si possono acquistare bitcoin presso le stazioni ferroviarie svizzere) e citare le raccomandazioni di MELANI (la Centrale d'annuncio e d'analisi per la sicurezza dell'informazione della Confederazione), che sconsigliano di pagare.

Raccomando di spegnere appena possibile tutti i computer affetti e di isolarli da qualunque connessione di rete cablata o Wi-Fi. In casi come questi, infatti, bisogna presumere che tutti i computer della rete aziendale siano infetti e debbano essere bonificati uno per uno. Fino a quel momento, nessuno di essi deve collegarsi a Internet o alla rete aziendale per non reinfettarsi e reinfettare gli altri computer.

Bisogna anche pensare a eventuali dispositivi o macchinari connessi alla rete aziendale: il ransomware colpisce i sistemi Windows, ma che succede se uno dei macchinari è comandato da un PC che usa questo sistema operativo?

Consiglio inoltre di non tentare di risolvere l'attacco usando antivirus o altro, almeno fino a quando non saranno stati recuperati i dati: c'è il rischio che l'antivirus riconosca e rimuova il malware che serve per la decrittazione (ammesso, e non concesso, che i criminali siano di parola e diano la chiave di decrittazione).

Il sistemista chiamato dall'azienda per risolvere la crisi, Giovanni (non è il suo vero nome e non è lui responsabile delle scelte informatiche dell'azienda), è già al lavoro ed è già in chat con i truffatori da mezzanotte. Ormai è chiaro che i dati non sono recuperabili in altro modo e che l'unica via per tentare di far ripartire l'azienda è pagare il riscatto, sperando che i criminali siano di parola e diano la chiave di decrittazione.

@Support: Hello!
Are your files encrypted?
@User: Yes
@Support: Please your all personal IDs
@Support: I need all the IDs to calculate the total cost and possible discounts
[...]

Il ransomware, infatti, genera uno più numeri identificativi individuali (ID), che i criminali usano per generare la chiave di decrittazione. Notate il tono professionale, quasi da servizio clienti, appunto, del criminale che chiede i dati per calcolare persino gli eventuali sconti.

Il criminale fornisce le coordinate del proprio wallet nel quale versare i bitcoin e offre persino consigli su come proteggersi e del software che dà "immunità" contro ulteriori attacchi: in pratica, un pizzo. Che naturalmente si paga a parte.

@Support: Tips, programs to protect your computer. Immunity from nemesis.
@Support: 200$. This is bought separately.

I criminali sembrano quasi cortesi, dei ladri gentiluomini, ma Giovanni scopre che gli hanno installato nei computer aziendali un malware, RPD Patch, pronto a colpire.


3 marzo 2017, pomeriggio


Primo giorno di paralisi dell'azienda. Giovanni, il sistemista, si è procurato un po' di bitcoin e inizia a negoziare con i criminali. A loro risulta che i computer infettati siano cinque, ciascuno con una chiave separata, ma Giovanni ha poco meno di 2 bitcoin e quindi i criminali sono disposti a dargli solo due chiavi di decrittazione. Si offrono di fare uno sconto: se l'azienda paga 4 bitcoin, daranno tutte le chiavi e anche l'immunità da futuri attacchi. Il sistemista comincia a pagare per due chiavi. Invia i bitcoin e aspetta, sperando che arrivino le chiavi.

Passano vari minuti di angoscia senza risposta. E se i criminali si tengono i soldi senza fornire le chiavi? Sarebbe un danno aggiuntivo a un'azienda che sta già perdendo soldi perché è ferma, oltre a essere una beffa amara. Ma alla fine arriva, sempre via chat, un link a una pagina di Pastebin.com che contiene le chiavi per decrittare.

Giovanni prova le chiavi su un file: funzionano. Il file viene decrittato e recuperato.

Sembra che tutto si sia risolto, ma dopo quattro ore di decrittazione Giovanni deve ricontattare (sempre in chat) i criminali: alcuni file non sono recuperabili. I criminali spiegano il motivo: sono stati cifrati più volte perché erano accessibili tramite più di una condivisione di rete. I file in questione sono dati vitali, per cui l'azienda deve pagare ancora. Giovanni tenta una trattativa sul prezzo (gli asterischi indicano dei dati che ho omesso per riservatezza):

@Support: Hello, This means that the file has been encrypted several times. To decrypt the file completely, you need to decrypt it with each IDs.
@Support: Starting at the end
@Support: First 289*******, then 337*******, 326*******, 208*******
@User: but we have the decrypt only for 208******* and 105********
@Support: If you pay for all IDs, therefore, this is not a problem. I wrote you the decoding order. Eventually the file will be fully decrypted.
@Support: Yes. What keys you indicated, such and received. Pay for the rest and you will be able to decrypt the files in reverse order.
@User: for 289*******, 337*******, 326******* need I to pay 2 BTC or there is a little discount?
@User: 2 BTC or a little bit discount?
@Support: To decrypt current the file with the ID 337********, you need to decrypt first with the ID 289*******, etc
@User: I understand....
@User: I just want to know the final price
@Support: I'm ready to make a discount. Total for 3 servers(289*******, 337*******, 326*******): 1.85 BTC
@User: OK, thanks! but will be Tomorrow, is 11:18 pm here now

La giornata del sistemista termina poi oltre mezzanotte, risolvendo insieme ai criminali alcuni problemi tecnici nel funzionamento della decrittazione, ma restano ancora molti dati indispensabili che non sono stati decrittati. Addirittura i criminali si offrono di risolvere il problema proponendo di mandare a loro i file problematici:

@Support: Send me encrypted files. Upload to ge.tt, sendspace.com or mega.nz
[...]
@Support: I passed your problemed file to our programmer. Wait for the result
@User: OK Thanks


4 marzo 2017


Secondo giorno di paralisi dell'azienda. I bitcoin restanti da pagare non sono ancora arrivati. Giovanni prende tempo: ha comunque da fare, perché nonostante la decrittazione i dati di Exchange non sono più leggibili ed Exchange non parte, per cui deve migrare tutto al volo su Office365.

C'è poi da scoprire come è stato sferrato l'attacco. Le tracce che vengono scoperte dal sistemista sono piuttosto chiare: stavolta non è stata usata la classica mail con allegato infetto, ma i criminali avevano le password di accesso remoto ad almeno un server. Come è possibile? Probabilmente le hanno ottenute grazie a un precedente attacco informatico a un fornitore dell'azienda che aveva queste password. E purtroppo, per ragioni di convenienza pratica, non c'era un controllo sull'origine dei tentativi di accesso, per cui i server accettavano connessioni di qualunque provenienza invece di accettare solo quelle provenienti dagli indirizzi IP del fornitore.


5 marzo 2017


Inizia il terzo giorno di paralisi (non più totale; parte dei dati è tornata disponibile). I bitcoin sono arrivati: Giovanni li versa ai criminali e li avvisa in chat del pagamento effettuato. I criminali forniscono prontamente le ulteriori chiavi di decrittazione e Giovanni le usa: dopo tre notti e tre giorni di lavoro tutto sembra in ordine.

Sono quasi le tre del pomeriggio, e tramite Giovanni pongo ai truffatori un paio di domande: come mai fanno i criminali invece di usare il loro talento tecnico in un'azienda di sicurezza informatica? Risposta secca: le aziende pagano poco e questo a loro non piace. Il fatto che la risposta usi "We" è una conferma diretta che si tratta di un gruppo e non di un singolo criminale.

@User: BTW: You're clearly a very talented person, Can I ask you why you choose to use your talent for crime instead of using it to get a job in a computer security company?
@Support: Hello. Decrypt the problem files on a separate computer. They are not infected, do not worry. Thank you. In companies, pay little. We do not like it.


Chiedo se hanno mai considerato i danni che causano: perdite di posti di lavoro, piccole aziende costrette a chiudere. Anche qui, risposta secca, che stride con la professionalità dell'assistenza tecnica fornita fin qui: "Non m'importa. Addio".

@User: Have you thought about the damage you cause with your ransomware? People lose their jobs. Small companies may have to close. Don't you care even a little?
@Support: I do not care. Bye.
@User: bye

Un'ultima domanda: quale sarebbe stato il software per garantire l'immunità?

@Support: Anti-ransomware by Kaspersky LAB, Anti-virus software(nod32 or kis), Comodo firewall

Buono a sapersi.


Epilogo


La vicenda che ho raccontato mostra che anche in una situazione quasi "ideale", per così dire, nella quale i dirigenti dell'azienda decidono subito come procedere, i sistemisti intervengono prontamente e in modo professionale e i criminali forniscono le chiavi di sblocco dei dati, i disagi causati dal ransomware restano forti:

-- giorni di lavoro perduti;
-- l'incertezza di non sapere se il malware è stato davvero estirpato del tutto;
-- la decrittazione che non è mai perfetta e lineare;
-- le inevitabili recriminazioni sul fatto che se fosse stato seguito il consiglio degli esperti di fare manualmente un backup periodico fisicamente isolato (nastri o dischi rigidi in cassaforte), invece di ricorrere a soluzioni automatiche su rete locale, l'attacco sarebbe stato evitabile.

È chiarissimo, in questo caso, che la prevenzione è tutto e investire per ottenerla è indispensabile. Spero che questa storia vissuta aiuti qualcuno a fare questo investimento ed evitare di finire vittima di criminali come questi.

2017/04/18

Podcast del Disinformatico del 2017/04/14

È disponibile per lo scaricamento il podcast della puntata di venerdì scorso del Disinformatico della Radiotelevisione Svizzera. Buon ascolto!

2017/04/14

Se la tua fotocopiatrice ti manda una mail, non aprirla con un vecchio Word

L'informatico Graham Cluley segnala che il recente aggiornamento di Microsoft Word corregge 44 vulnerabilità (di cui 13 critiche) e in particolare ne risolve una (la CVE-2017-0199) che è piuttosto insolita ed è già usata intensamente dai criminali informatici per disseminare un malware di nome Dridex, che ruba denaro attaccando i sistemi di pagamento via Internet.

È un attacco differente da quelli standard, che usano invece il classico metodo delle macro di Word: la trappola inizia ad agire quando la vittima riceve una mail che sembra provenire dalla fotocopiatrice della rete locale e apparentemente contiene una scansione come allegato in formato Word.

McAfee spiega che il documento Word è in realtà un file in formato RTF, al quale è stata data l'estensione .DOC. Il documento-trappola contiene un oggetto embedded e quando viene aperto mostra un finto testo intanto che il malware scarica silenziosamente il codice ostile di Dridex.

Visto che si tratta di una vulnerabilità già in corso di sfruttamento, è importante scaricare e installare appena possibile gli aggiornamenti di sicurezza predisposti da Microsoft. Come regola generale, inoltre, è buona cosa fermarsi sempre a pensare prima di aprire un allegato, specialmente se inatteso.

Antibufala: le sirene di Dallas non sono state “hackerate”

Credit: Wikipedia.
Pochi giorni fa ben 156 sirene d’emergenza della città di Dallas, in Texas, usate per avvisare la popolazione dell’arrivo di un tornado o di altre emergenze, si sono attivate di colpo e sono rimaste attive per oltre un’ora e mezza. Ma non c’era nessun tornado in arrivo. I tecnici hanno tentato di disattivare le sirene, ma è stato inutile: alla fine hanno dovuto spegnere l’intero sistema.

Inizialmente i rappresentanti ufficiali della città hanno dichiarato che l’attivazione abusiva era stata causata da un “hack”: una parola che molti hanno interpretato come un attacco informatico. Ma l’informatica non c’entra nulla.

L’attacco, infatti, non ha preso di mira i sistemi informatici cittadini, ma è stato sferrato usando una tecnica molto diversa e per nulla informatizzata: un segnale radio abusivo che imitava quello usato per controllare la rete di sirene. I funzionari pubblici che hanno chiarito l’equivoco non vogliono diffondere troppi dettagli per impedire che qualcuno ci riprovi, anche se ora sono state prese delle misure (imprecisate) per impedire nuovi incidenti.

Ma il funzionamento di questi sistemi d’allerta collettiva è piuttosto ben noto: il loro controllo si basa sull’invio via radio di specifiche combinazioni di toni (DTMF o AFSK) su frequenze radio UHF riservate ai servizi d’emergenza.

In queste condizioni, nota Ars Technica, un aggressore può semplicemente tentare tutte le combinazioni possibili fino a trovare quella giusta, oppure mettersi in ascolto sulle frequenze radio durante uno dei test e intercettare i comandi inviati dagli operatori legittimi.

L’incidente di Dallas potrebbe essere una buona occasione per valutare in generale la sicurezza dei sistemi d’emergenza regionali e nazionali, spesso concepiti in epoche pre-informatiche e prima della disponibilità di massa di elettronica a basso costo e potenza molto elevata.

Addio, Windows Vista

Credit: Wikipedia.
Il 12 aprile scorso Microsoft ha rilasciato gli ultimi aggiornamenti pubblici di sicurezza per Windows Vista. Ultimi nel senso che dopo questi non ce ne saranno più, e chi continua a usarlo su computer esposti a Internet sarà senza protezione contro le falle che verranno scoperte in futuro.

Per dirla come va detta: se state ancora usando Windows Vista su un computer interconnesso, state cercando guai. Vista fu messo a disposizione del pubblico il 30 gennaio 2007, dieci anni fa: una vita, ai ritmi dell'informatica.

Già all'epoca ci furono parecchie lamentele dei consumatori, soprattutto al debutto, per i driver che non funzionavano, i sistemi “antipirateria” integrati e la compatibilità software traballante, peggiore di quella di Windows XP, tanto che molti utenti rimasero appunto a XP invece di aggiornarsi. Paradossalmente, alcuni di questi problemi furono causati dallo sforzo di Microsoft di aumentare la sicurezza online del proprio sistema operativo, che all'epoca era sotto attacco costante.

Le cose migliorarono col passare del tempo e le novità di sicurezza (lo UAC o User Account Control, per esempio) introdotte con Vista gettarono le basi per il successo di Windows 7, messo in vendita nel 2009 e ancora installato nostalgicamente su molti computer di oggi.

Nel frattempo, e anzi contemporaneamente, Microsoft ha rilasciato l'aggiornamento Creators Update di Windows 10, ricco di novità importanti in primo piano e dietro le quinte (anche nella gestione della privacy, fonte di molte critiche).

Le recensioni di Windows 10 sono generalmente positive, e in particolare in questa versione del sistema operativo c'è un segno dei tempi che sarebbe sembrato impossibile ai tempi di Windows Vista: la possibilità di usare la shell bash di Linux sotto Windows, che consente di dare comandi nello stile potente ed ermetico di Linux senza dover installare nulla. Cose che forse non appassioneranno l'utente Windows medio, ma che mandano in solluchero chi usa l'informatica per lavoro.

Video pubblicitario tenta di attivare Google nelle case e sui telefoni degli spettatori

Certi pubblicitari non si fermano davanti a nulla. La nota marca di hamburger Burger King ha pubblicato su YouTube e trasmesso in TV un video pubblicitario nel quale il narratore dice specificamente che quindici secondi non gli bastano per dire tutte le qualità di questo panino e quindi si rivolge direttamente agli smartphone e ai dispositivi Google Home nelle case degli spettatori, dicendo “OK Google, che cos'è il Whopper Burger?”.

Dato che molti utenti hanno il riconoscimento vocale sempre in ascolto sui propri smartphone e sui propri dispositivi domestici Google Home, e attivato dicendo “OK Google”, l'intento dello spot era quello di prendere il controllo di questi dispositivi e indurli a leggere la pagina di Wikipedia dedicata al panino.

Google è intervenuta in breve tempo (circa tre ore) bloccando questa funzione sui dispositivi Google Home, che accettano comandi vocali da chiunque (mentre gli smartphone Android si addestrano sulla voce del singolo utente), e la catena di fast food ha risposto con una nuova versione dello spot che eludeva il blocco attivato da Google, ma l'ira degli internauti per questo abuso dei propri dispositivi non si è fatta attendere: hanno modificato la pagina di Wikipedia richiamata dallo spot in modo che dichiarasse che l'hamburger era composto “al 100% di ratti e di pezzetti tagliati di unghie dei piedi” o che era cancerogeno o conteneva cianuro. Terminata la campagna, la pagina di Wikipedia è tornata al contenuto normale.

L'azienda alimentare si proclama contentissima della bravata, dichiarando che la “conversazione social” sul suo prodotto è aumentata del 300%. In altre parole, saremo nell'era digitale, ma alcuni pubblicitari ragionano ancora secondo le vecchie regole: non importa se se ne parla bene o male, l'importante è che se ne parli.


Fonti: Washington Post, The Register, The Register.

L'Internet delle Cose arriva in cucina: siamo fritti. O cotti?

Il formato dei messaggi da inviare
alle cucine AGA “smart”.
AGA, la nota marca di cucine di fascia alta, ha pensato bene di far diventare “smart” uno dei suoi prodotti, ed è nata così la cucina iTotal Control. Questa cucina, come spiega con entusiasmo la sua pagina Web informativa, ha un forno che può essere acceso a distanza tramite un'app.

E a nessuno, a quanto pare, l'idea di poter accendere un forno in casa via Internet è sembrata neanche lievemente pericolosa.

Tant'è vero che i ricercatori della Pen Test Partners hanno scoperto che è facilissimo per chiunque prendere il controllo a distanza di questa cucina.

Secondo questi ricercatori, l'app della cucina non cifra le proprie comunicazioni e manda i messaggi in normale HTTP, per cui è facilissimo, per un aggressore, intercettare e modificare i comandi inviati.

L'app invia i comandi a un sito che poi invia un SMS alla cucina (sì, avete intuito correttamente: questa cucina ha una propria SIM e un proprio numero di telefonino).

La disinvoltura in fatto di sicurezza non finisce qui: la Pen Test ha scoperto che la pagina Web per la gestione degli account di controllo di queste cucine usa (di nuovo) HTTP al posto di HTTPS, per cui la password dell'utente transita su Internet senza protezioni; e soprattutto la pagina Web avvisa se si immette un numero di telefonino già iscritto al servizio.

A prima vista questo potrebbe sembrare un problema trascurabile, ma agli occhi di chi fa sicurezza informatica è una falla molto grave: infatti consente di tentare tutti i numeri di telefonino e trovare quelli delle cucine, compilando un elenco di numeri ai quali mandare comandi di accensione o spegnimento.

Ciliegina sulla torta, i ricercatori hanno raccontato che hanno avuto enormi difficoltà nel contattare qualcuno presso AGA per avvisare del problema: messaggi e telefonate rimasti senza risposta, promesse di essere richiamati mai mantenute, e i ricercatori sono stati persino bloccati su Twitter dagli account dell’azienda.

2017/04/13

Pranziamo il 23 aprile a Lugano con un attore di Doctor Who?

Il 23 aprile, domenica, a Lugano ci sarà uno degli attori del cast di Doctor Who per un pranzo con i fan. È una cosa intima, nata all'ultimo momento per una felice coincidenza: i posti disponibili sono pochi.

L'ospite è Dan Starkey (che interpreta Strax, quello al centro nella foto). Io ci sarò, come fan e come traduttore: se vi va di partecipare, contattate @elydax su Twitter o consultate la pagina Facebook apposita per tutti i dettagli. L'incontro è organizzato dal Doctor Who Italian Club.

2017/04/08

Podcast del Disinformatico del 2017/04/07

È disponibile per lo scaricamento il podcast della puntata di ieri del Disinformatico della Radiotelevisione Svizzera. Buon ascolto!

2017/04/07

Come conservare una pagina Web per dimostrarne lo stato passato

Arriva da una follower del Disinformatico, Sara, una domanda molto frequente: come si fa a conservare una pagina Web, in modo da dimostrare cosa conteneva a una certa data?

Scaricarla sul proprio computer non è una buona soluzione: potreste trovarvi accusati di aver falsificato o alterato la copia scaricata. Serve un servizio indipendente e imparziale, universalmente riconosciuto.

Ci sono vari siti di questo genere ai quali si può dare il link di una pagina e chiederne l’archiviazione: i più gettonati sono Archive.is, Freezepage.com e WebCite. Funzionano molto bene, fornendo non solo una copia completa e inalterabile di una pagina ma anche un’indicazione dell’istante preciso in cui è stata creata la copia e un link abbreviato per citare comodamente la copia archiviata.

Ma il decano dell’archiviazione, attivo da vent’anni, è Archive.org, il più grande archivio storico di pagine di Internet del mondo. Archive.org offre un servizio di salvataggio istantaneo delle pagine Web, raggiungibile presso Archive.org/web/, dove trovate l’opzione Save Page Now.

Aggiornate iOS (di nuovo): è attaccabile tramite Wi-Fi

Sì, lo so: è uscito un aggiornamento importante di iOS soltanto la settimana scorsa. Non è un po’ presto per averne un altro? Stavolta no. Apple ha reso disponibile iOS 10.3.1, che risolve una sola falla di sicurezza. Come mai tanta fretta per una singola vulnerabilità? Perché questa è una di quelle toste.

Le informazioni pubblicate da Apple sono molto concise ma chiare: “un utente malintenzionato nelle vicinanze può causare l’esecuzione di codice arbitrario nel chip Wi-Fi”. Come spiega Naked Security, questa falla (CVE-2017-6975, scoperta da Gal Beniamini del Project Zero di Google) riguarda un componente diverso da quelli solitamente attaccati dai criminali informatici. Invece di toccare il processore, il sistema operativo oppure le app installate, questa vulnerabilità coinvolge i componenti elettronici della sezione Wi-Fi.

Il risultato è che attraverso un semplice segnale radio, di quelli usati dai punti d’accesso Wi-Fi, è possibile prendere il controllo dell’iPhone, dell’iPad o dell’iPod touch e fargli eseguire comandi a piacimento dell’aggressore. L’attacco non richiede che l’utente visiti un sito specifico: colpisce per il semplice fatto di avere il Wi-Fi attivo sul dispositivo.

È un difetto decisamente pesante, insomma. Per fortuna è già disponibile l’aggiornamento, che si dovrebbe installare automaticamente entro qualche giorno. Se preferite non aspettare e volete essere protetti subito, andate in Impostazioni - Generali - Aggiornamento software con il vostro dispositivo e scaricate manualmente l’aggiornamento.

Google Maps permette di farsi pedinare. Volontariamente, s’intende

Mi capita spesso di parlare di problemi di privacy e di come non farsi tracciare commercialmente nei propri spostamenti e nelle proprie attività dai vari sensori di cui è dotato uno smartphone. Ma a volte capita di voler essere tracciati, magari da una persona specifica: per esempio perché vi trovate in una città che non conoscete e dovete incontrare qualcuno nella grande piazza principale ma non vi trovate per via della folla; oppure perché vi siete separati dai vostri amici durante una gita e vorreste ritrovarli; o magari perché avete dato appuntamento a un cliente, vorreste far sapere che state arrivando e quanto manca al vostro arrivo, ma avete le mani impegnate nella guida per cercare un parcheggio e quindi non potete telefonare o mandare messaggi.

Probabilmente avete già sul vostro smartphone l’app che risolve questi problemi: è Google Maps, che ha aggiunto da poco la funzione Condividi posizione. Si trova nel menu laterale, ma potete attivarla anche semplicemente toccando il puntino azzurro che indica la vostra posizione sulla mappa.

Potete usare Condividi posizione per far sapere in tempo reale a uno o più dei vostri contatti di lavoro o amici (e solo a loro) dove vi trovate, inviando loro un link personalizzato via mail, SMS o social network, e i destinatari possono riceverlo su smartphone oppure su computer. Ovviamente, se pubblicate il link di condivisione in una pagina pubblica di un social network, chiunque potrà localizzarvi, per cui è opportuno essere prudenti.

Chi riceve il link non deve fare altro che toccarlo o cliccarvi sopra: si aprirà Google Maps (l’app o la versione Web), con un’icona che indica dove vi trovate in quel momento.

Potete condividere la vostra posizione anche mentre state usando Google Maps come navigatore: in questo caso chi riceverà il link verrà aggiornato automaticamente su dove siete e fra quanto tempo è previsto il vostro arrivo.

La durata di questa tracciabilità selettiva è personalizzabile: per esempio, potete attivarla per un certo numeri di minuti e ore (da un minimo di un quarto d’ora a un massimo di tre giorni) oppure fino a quando decidete di disattivarla manualmente. Google Maps vi ricorderà continuamente che siete tracciati e da chi e vi permetterà di spegnere il tracciamento in anticipo se necessario. Se usate Condividi posizione per informare sul vostro orario previsto di arrivo, il tracciamento si disattiverà automaticamente quando arriverete a destinazione. Sullo schermo, inoltre, c’è sempre un’icona che indica chiaramente che state consentendo il tracciamento.

In sintesi, con la condivisione di posizione di Google Maps il controllo è saldamente in mano a chi decide di farsi tracciare: ma il tornaconto, per Google, è la possibilità di conoscere ancora meglio le nostre abitudini e attività e offrirle agli inserzionisti pubblicitari: un mercato che secondo alcune stime vale circa 750 miliardi di dollari. Ecco perché questi servizi sono gratuiti.


Fonti aggiuntive: Ars Technica, The Verge, Wired.

2017/04/05

“Perché mai dovrebbero rubarmi o clonarmi il profilo Facebook?” Per esempio per questa truffa

L’articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2017/04/26 21:05. 

Quando faccio raccomandazioni di sicurezza su come proteggere gli account sui social network, una delle obiezioni più frequenti che sento è “Ma perché mai qualcuno dovrebbe tentare di rubarmi il profilo Facebook o di clonarmelo? Io non sono nessuno.” E a quel punto scatta l’apatia.

Una risposta molto chiara a questa domanda arriva in queste ore da una truffa che sta facendo parecchie vittime in Svizzera e particolarmente nel Canton Ticino, dove abito, e che toglie dalla bolletta o dal credito telefonico 100 franchi (poco meno di cento euro).

La truffa inizia così: l’utente preso di mira riceve su Facebook (via Messenger), da un amico o un’amica, una richiesta apparentemente innocua, del tipo “Mi mandi il tuo numero di telefono? Serve per un concorso”.

Quando la vittima risponde dando il numero, l’amico ringrazia mandando alla vittima informazioni sul concorso, che si svolge via SMS, e chiedendo di mandargli il codice a quattro cifre che la vittima riceverà per questo concorso. La vittima segue l’invito dell’amico e subito dopo si vede sottrarre i soldi dal conto telefonico. Come è possibile?

Sulla base del resoconto pubblicato da Tio.ch, la dinamica della truffa dovrebbe essere la seguente.

1. Prima di tutto, l’amico è in realtà un impostore: un criminale che ha rubato l’account all’amico vero o gliel’ha clonato (creandone una copia con lo stesso nome e la stessa foto di profilo) e si spaccia per lui, conquistando così la fiducia della vittima.

2. Il truffatore chiede alla vittima il numero di telefono per immetterlo nel servizio di pagamento Sunrise Pay dell’operatore Sunrise, che consente di fare acquisti (per esempio di codici iTunes) addebitandoli sul conto telefonico del numero immesso.

3. Il servizio Sunrise Pay è protetto da un PIN di quattro cifre, che viene inviato al numero immesso, che in questo caso è quello della vittima.

4. La vittima manda questo PIN al truffatore, credendo che si tratti di un amico e senza rendersi conto che è un codice di sicurezza: pensa che sia un codice per partecipare a un concorso.

5. Il truffatore immette il PIN nella schermata di acquisto, dalla quale riceve i codici iTunes, che fa pagare alla vittima.

6. Il truffatore incassa rivendendo online i codici iTunes.


Come difendersi


Per prima cosa, non date a nessuno, ma proprio a nessuno, qualunque PIN ricevuto tramite questo servizio o qualunque altro.

In secondo luogo, attivate il blocco di questa funzione Sunrise Pay usando queste istruzioni fornite dall’operatore telefonico. Notate che la funzione di acquisto è abilitata automaticamente per tutti gli utenti di Sunrise: spetta a voi scoprire che esiste, scoprire che è abilitata, e decidere di disabilitarla.

Terzo, se dall’account di un vostro amico arrivano improvvisamente messaggi molto sgrammaticati, insospettitevi: probabilmente l’account è stato rubato o clonato da un impostore che non parla correntemente la lingua del vostro amico.

Per finire, attivate la verifica in due passaggi sui vostri account nei social network, in modo da rendere più difficile rubarveli grazie a password ovvie o usate per più di un sito e rendete privato l’elenco dei vostri amici in modo che un clonatore non possa sapere a chi mandare i messaggi-esca: in Facebook, andate alla vostra Lista amici, cliccate su Visualizza tutti gli amici, cliccate sulla matitina accanto a Trova amici, scegliete Modifica privacy e impostate a Solo io tutte e tre le voci che compaiono. È consigliabile farlo da un computer; si può fare anche su un tablet o smartphone, ma in questo caso bisogna usare il browser, non l’app di Facebook, per accedere alla Lista amici.

Stando sempre alle schermate pubblicate da Tio.ch, la truffa funziona particolarmente bene in Canton Ticino perché il PIN arriva sul telefonino della vittima all’interno di un messaggio in tedesco, lingua nazionale che non tutti i ticinesi masticano disinvoltamente, per cui l’avvertenza “nicht an Dritte weitergeben” (non inoltrare a terzi) che accompagna il PIN non viene capita. La stessa sorte d’incomprensione linguistica tocca anche al messaggio successivo di ringraziamento per l’acquisto effettuato.


Risarcimento e rintracciamento dei truffatori


Se siete stati colpiti da questa truffa, le vostre probabilità di risarcimento sono molto modeste, perché dando a terzi il PIN non avete rispettato le istruzioni di sicurezza fornite da Sunrise. Tuttavia vale la pena di segnalare all’operatore telefonico il problema, se non altro per informarlo della diffusione della truffa e magari incoraggiarlo a mandare avvisi chiari anche in italiano. Prendete questa truffa come un buon incentivo a imparare il tedesco.

Secondo questa pagina di Sunrise, il limite di acquisto mensile è pari a 100 franchi, per cui non dovrebbe essere possibile subire addebiti superiori a questo importo con una singola transazione fraudolenta.

I truffatori sono difficili da rintracciare: Sunrise probabilmente ha solo il loro indirizzo IP (facilmente falsificabile) e poco altro. Forse potrebbe informare Apple segnalandole che i codici iTunes sono stati ottenuti in modo fraudolento, ma bisognerebbe vedere se Sunrise ha modo di conoscere i dettagli di una transazione o se Apple, per sicurezza, glieli nasconde.


Morale della favola


Adesso dovrebbe essere chiaro che qualunque account social può essere preso di mira dai ladri d’identità: non importa di chi è o cosa contiene o non contiene. Proteggetevi.


2017/04/26


Ho ricevuto una segnalazione direttamente da una vittima di questa truffa. La riassumo qui sotto, omettendo i dati personali:

È stato falsificato l’account di una mia amica su facebook. Il truffatore, fingendosi la mia amica e utilizzando il suo account, mi ha chiesto il mio numero di telefono cellulare (Sunrise business) per un concorso, dicendomiche mi sarebbe arrivato un SMS con un numero da darle per questo concorso. Quando è arrivato l'sms con il numero gliel'ho dato, accorgendomi dopo che era un account falso e che quel numero era il PIN per certificare ed accedere ad un pagamento online (Sunrise Pay). Così diceva l'SMS in lingua straniera.

La vittima mi ha detto di aver chiamato Sunrise ma di non aver avuto alcun aiuto concreto:

Immediatamente Dopo l’accaduto ho chiamato Sunrise business chiedendo come fare per bloccare un'ipotetica transazione avvenuta con il mio account Sunrise, e loro dopo 30 minuti di chiamata mi hanno ripetuto di non poter fare nulla e al limite di poter controllare l’indomani se ci fossero state chiamate o messaggi “strani” effettuati col mio numero. Ho chiesto insistentemente se ci fosse un protocollo che permettesse di agire subito e bloccare un ipotetica transazione, e dopo lunghe attese e incertezza da parte della signorina del cal center mi è stato detto che “non sapevano come aiutarmi”.

Le bufale di Agi.it sulle “foto mai viste” degli sbarchi lunari

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete farne una anche voi per incoraggiarmi a scrivere ancora. L’articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2017/05/05 23:00.

Il 3 aprile Agenzia Giornalistica Italia (Agi.it) ha pubblicato questo articolo a firma di Patrizia Caraveo, intitolato “Le foto mai viste dello sbarco sulla Luna” (copia su Archive.is; pseudolink).


Se mi conoscete, sapete che l’esplorazione della Luna è una delle mie passioni, e quindi vedere che qualcuno parla di presunte “foto mai viste” mi fa ribollire il sangue, perché so già in partenza che la notizia è una fandonia. Vediamo quante perle ci sono in questo articolo di Agi.it.

2017/04/06 17:40. Dopo la pubblicazione iniziale di questo mio articolo, Riccardo Luna (direttore di AGI) ha pubblicato una dettagliata risposta. Ho aggiornato il testo seguente per tenerne conto. A mio avviso restano, anche dopo la risposta, due errori storici importanti (descritti nei punti 3 e 5). Agi.it insiste a dire che:

  • esisterebbe una foto della prima impronta di Neil Armstrong;
  • non esisterebbero fotografie di Neil Armstrong sulla Luna.

I dati tecnici e le fonti dirette smentiscono entrambe le affermazioni. Queste due affermazioni false (e ribadite insistendo di aver ragione anche dopo che è stato segnalato documentatamente l’errore), insieme al titolo ingannevole, per me classificano questo articolo di Agi.it come una bufala.


1. Foto “mai viste”


Il titolo è “Le foto mai viste dello sbarco sulla Luna”, ma in realtà tutte le foto mostrate nell’articolo sono elencate e archiviate da oltre quarant’anni nei cataloghi pubblici della NASA, che dalla fine degli anni Sessanta sono a disposizione di chiunque li voglia consultare (ho le copie cartacee d’epoca). Forse non le avrà mai viste Patrizia Caraveo, ma titolare che sono “mai viste” è falso e suggerisce rivelazioni clamorose che in realtà non ci sono.

Obiezione di Agi.it: “il titolo è un errore della redazione di AGI e quindi mio.... Ma in che senso? Dice “foto mai viste” intendendo al grande pubblico, cosa che è vera. Si poteva fare un titolo migliore però: e non ci consola che anche tutti (forse, tutti: tutti quelli che ho controllato su Google: magari qualcuno no), tutti i giornali del mondo che hanno raccontato questa storia abbiano deciso di titolare “mai viste”. O meglio, in inglese, “Unseen”, che poi è anche il titolo del libro che è stato tratto dalle foto. Unseen, mai viste. Perché la sostanza è quella. E quindi si tratta di un titolo migliorabile, ma di bufale stavolta non vedo traccia.”

Risposta mia: Bastava scrivere “rare”.


2. Rullini speciali


L’articolo dice che “La NASA aveva fatto sviluppare una pellicola ultrasottile ed anche il loro rullino era stato modificato per contenere 200 pose (invece delle 24 o 36 canoniche).” Falso: anche i caricatori o dorsi (non “rullini”) standard delle fotocamere Hasselblad comunemente acquistabili (dalle quali furono derivate quelle usate sulla Luna) erano in grado di tenere fino a 200 pose, anche se i dorsi abitualmente utilizzati ne tenevano 12 o 16. Basta guardare un manuale Hasselblad o consultare qualche fonte tecnica. E la pellicola era derivata da quelle usate per le ricognizioni fotografiche in alta quota (supporto in poliestere Estar).



Obiezione di Agi.it: “la Caraveo dice che le pose “canoniche” erano 24 o 36 (mentre per Attivissimo “i dorsi standard” erano 12-16 pose); ma mica dice che non esistevano quelle da 200 pose: dice anzi che la NASA aveva fatto sviluppare una pellicola ultrasottile” e che “anche il loro rullino era stato modificato per contenere 200 pose”. Quindi, dice la Caraveo, la macchina fotografica conteneva già 200 pose e la NASA aveva modificato il rullino in modo che potesse servire nelle condizioni proibitive di una missione lunare. Anche qui, non vedo bufale: ma probabilmente fra le “pose canoniche” la Caraveo avrebbe potuto dire 12-16 invece di 24 e 36.”

Risposta mia: Apprezzo la rettifica sulle 24 e 36 pose, ma “modificato per contenere 200 pose” implica che prima di questa modifica non c’erano caricatori da 200 pose. La documentazione che ho fornito dimostra che questi caricatori c’erano già, per cui l’errore di Agi.it rimane.


3. Esiste una foto della prima impronta di Neil Armstrong


Tra le immagini “mai viste”, dice la Caraveo, ci sarebbe “la prima impronta di Neil Armstrong”. Falso: non esiste alcuna documentazione fotografica della prima impronta umana sulla Luna. La foto di un’impronta che viene spesso spacciata per “prima impronta” (la AS11-40-5877) mostra in realtà una delle tante orme fatte dal collega Buzz Aldrin (non da Armstrong) e fotografata non per motivi storici ma semplicemente per documentare il modo in cui si comporta la polvere che copre la superficie lunare.

Obiezione di Agi.it: “Patrizia Caraveo, che di mestiere, come vedremo fra poco, fa l’astrofisica, mi scrive al riguardo: “Negli archivi ci sono sia la foto di Neil con stivale, sia quella dell'impronta fatta da Aldrin (solo impronta, senza scarpa). Si può dibattere quale sia la più iconica ma se la foto non c'è nel mio articolo non si può dire a quale ci si riferisca.”

Risposta mia: Ho chiesto ad Agi e alla Caraveo quale sia questa “foto di Neil con stivale” e sono in attesa di chiarimenti. Attenzione: secondo il testo originale della Caraveo, non è un’impronta qualsiasi, ma è “la prima impronta di Neil Armstrong”. In attesa della risposta, resta il fatto, storicamente documentato in dettaglio, che la prima impronta di Armstrong sulla Luna fu fatta dal suo piede sinistro, quando lasciò cautamente l’appoggio sulla zampa del Modulo Lunare situata sotto la scaletta. Poi Armstrong calpestò la zona ripetutamente, come si vede nelle riprese video, per cui non ci può essere una foto della prima impronta di Neil Armstrong. Se esistesse davvero una foto della prima impronta del primo essere umano sulla Luna, sarebbe una foto documentatissima e di certo sarebbe citata dalla Bibbia delle missioni lunari, l’Apollo Lunar Surface Journal. Non c’è.


4. Umidità esterna sui finestrini


L’articolo dice che sui finestrini del veicolo spaziale si accumulava “umidità dell’atmosfera (che bisognava attraversare durante il lancio)”.


La foto è della missione Apollo 12, è la AS12-50-7372 e non mostra “umidità dell’atmosfera”: è condensa formatasi fra le lastre di vetro del finestrino (fonte: Apollo 12 Mission Report, pagina 7-17) molto dopo l’uscita dall’atmosfera terrestre.

Obiezione di Agi.it: Scrive la Caraveo: “La foto dell'oblò voleva solo essere un esempio. Anche perché oltre all'umidità c'è il gasamento dei materiali esposti al vuoto cosmico. Noi lo vediamo nei nostri rivelatori ma non volevo farla troppo lunga”. E aggiunge Riccardo Luna: “non vedo ancora delle clamorose bufale, ma quando si scrivono queste cose è giusto essere precisi anche a costo di farla lunga”.

Risposta mia: Su Internet lo spazio non manca: bastavano due parole in più, senza farla “troppo lunga”, ma comunque l’errore è parzialmente ammesso. Nessun problema.


5. Non ci sono foto di Armstrong sulla Luna


La Caraveo dice che “l’unica foto di Neil Amstrong che passeggia sulla Luna è un "selfie" che mostra Neil riflesso nella visiera del casco di Buzz.”. Falso: esiste la foto AS11-40-5886, che ritrae Armstrong al lavoro accanto al Modulo Lunare. Qui sotto ne vedete un dettaglio:


Obiezione di Agi.it: In sintesi, Riccardo Luna invoca Gene Kranz (direttore delle missioni Apollo), dicendo che Kranz ha dichiarato che l’unica foto di Neil Armstrong sulla Luna che può mostrare è il suo riflesso nella visiera del collega Aldrin, come dice la Caraveo.

Risposta mia: Gene Kranz è un mostro sacro della direzione dei voli spaziali, ma non è l’autorità finale in materia di fotografia delle missioni spaziali (esattamente come un’astrofisica, per quanto indubbiamente competente nella propria materia, non è la persona giusta alla quale far scrivere un articolo di storia dell’astronautica). L’autorità finale è l’Apollo Lunar Surface Journal della NASA, e in particolare lo stesso Neil Armstrong, che dice: “In May 1987 after studying a copy of the 'Apollo 11 70mm Photographic catalog' sent to him by Lee Saegesser (NASA HQ History Office) Armstrong confirmed to me that 5886 was the one.” Inizialmente, insomma, si credette che non ci fossero foto di Armstrong sulla Luna, ma nel 1987 un riesame delle foto e della cronologia della missione dimostrò che la AS11-40-5886 mostrava Neil Armstrong e non Buzz Aldrin come si pensava.


5. Chicca finale: l’articolo di Agi.it è sostanzialmente copiato dal Daily Mail (aggiornamento: no, ho sbagliato: da Time)


Confrontate l'articolo di Agi.it con questo articolo del Daily Mail (copia su Archive.is; pseudolink) uscito il giorno prima: stesse foto, stesse didascalie, stessa promozione a un nuovo libro di fotografie delle missioni Apollo. Qualcuno direbbe “Sarà un caso? Noi crediamo di no”.


Obiezione di Agi.it: “La fonte del post della Caraveo, e di tutti gli articoli che sono stati pubblicati nel mondo nei giorni scorsi sul tema, non è il Daily Mail. E’ il TIME. Nel post della Caraveo viene correttamente citato il libro della NASA, ma non il TIME. Con il senno di poi andava fatto, è una regola che in AGI ci siamo dati e la colpa non è della Caraveo, che l’autrice del blog, ma della redazione di AGI e quindi mia.” E inoltre: “A me preme aggiungere due cose. La prima è una nota sull’autrice del pezzo. Che francamente è inaccettabile spacciare per una “spacciatrice di bufale”. Patrizia Caraveo è una astrofisica di fama mondiale”.

Risposta mia: Accetto sulla parola la dichiarazione che la fonte usata dalla Caraveo sia TIME invece del Daily Mail. Mea culpa, e ho rettificato per tenerne conto. Ma se confrontate le didascalie delle foto usate da Time e Daily Mail capirete perché ho sospettato che la fonte fosse il copiatissimo Mail. Queste, per esempio, sono le didascalie per la foto del finestrino bagnato:

AGI: Le foto servivano anche per fare capire i problemi riscontrati, come questo finestrino decisamente difficile da utilizzare. L’umidità dell’atmosfera (che bisognava attraversare durante il lancio) poteva fare questi scherzi. Per fortuna, l’intervento del Sole faceva evaporare l’umidità e ripuliva gli oblò.

Daily Mail: During the Apollo missions, NASA made photography a high priority by redesigning cameras that could operate in space. Gas trapped between layers of glass or moisture picked up on the way out of the atmosphere could make windows (pictured) impossible to use, though the fogging or streaking would often clear up as the sun warmed the spacecraft skin.

TIME: Spaceflights were often reconnaissance missions and dirty portholes could make that job impossible. Gas trapped between layers of glass or moisture picked up on the way out of the atmosphere could make windows impossible to use, though the fogging or streaking would often clear up as the sun warmed the spacecraft skin. The public saw only the pretty pictures shot through clear windows, but here the Apollo 12 crew took a shot to show NASA the challenges they faced.

E queste sono le didascalie per la foto del parafango rotto:

AGI: Oppure le scene di vita vissuta come quando Gene Cernan, missione Apollo XVII, utilizzò quattro mappe lunari ripiegate per riparare un parafango del rover lunare (altrimenti si sarebbe sollevata troppa regolite lunare finissima e appiccicosa che avrebbe potuto rovinare gli ingranaggi del motore).

TIME: After the first of three lunar expeditions, the fender on the right rear wheel of the Apollo XVII lunar rover broke off. “Oh, there goes a fender. Oh shoot!” commander Gene Cernan could be heard exclaiming on the air-to-ground loop. That was a problem because lunar dust is finer than confectioner’s sugar and in the 1/6th gravity of the moon, it got kicked up easily by the rover’s tires, potentially fouling machinery and even the astronauts’ life support equipment. The solution: four lunar maps folded just so and fastened with what Cernan called “good old-fashioned American gray tape.”

Daily Mail: After the first of three lunar expeditions, the fender on the right rear wheel of the Apollo XVII lunar rover broke off. 'There goes a fender', Commander Gene Cernan could be heard exclaiming on the air-to-ground loop over the fender mishap. The solution: four lunar maps folded just so and fastened with what Cernan called 'good old-fashioned American gray tape' 

Cosa più importante, non metto in dubbio la competenza della Caraveo in astrofisica e non la chiamerei mai una “spacciatrice di bufale”. Ma i fatti dimostrano che questo suo articolo contiene degli errori fattuali gravi, che non corregge nonostante io le abbia portato prove documentali dirette (compresa persino la conferma personale di Neil Armstrong). E l’errore più importante, a mio avviso, è quello di metodo della redazione, ossia prendere un’astrofisica per scrivere un articolo di storia dell’astronautica, quando serviva semmai uno storico dell’astronautica.


2017/05/05 23:00


L'articolo della Caraveo è stato corretto togliendo le frasi errate che avevo segnalato e aggiungendo questa nota: “Questo post è stato corretto in alcuni passaggi dopo il fact-checking fatto da Paolo Attivissimo sul sito Il Disinformatico (al quale AGI ha risposto con un post del direttore RIccardo Luna). In particolare è stato corretto il fatto che in una delle foto ci sia la prima impronta di Neil Armstrong. Ed è stato levato il passaggio sul fatto che non esisterebbero foto di Neil Armstrong sulla Luna”. Ma per arrivare a questo risultato non è bastato questo articolo: è stato necessario un incontro personale e un giro di telefonate e di mail con Riccardo Luna. E tanta, tanta insistenza da parte mia per difendere la storia dell'astronautica.

Pagine per dispositivi mobili