Vai al contenuto
Falla di FaceTime permetteva di ascoltare attraverso gli iPhone, iPad e Mac altrui

Falla di FaceTime permetteva di ascoltare attraverso gli iPhone, iPad e Mac altrui

Ultimo aggiornamento: 2019/02/08 21:30.

Per settimane, qualunque dispositivo Apple recente, dagli iPhone agli iPad ai computer Mac, poteva essere trasformato in una perfetta “cimice” per ascoltare di nascosto le conversazioni altrui e anche spiare tramite la telecamerina incorporata. Era sufficiente usare in maniera particolare (ma non troppo complicata) FaceTime, l’app di videochat di Apple, chiamando la persona da spiare. Anche se la persona non rispondeva alla chiamata, il suo dispositivo apriva il microfono e attivava la telecamera.

Una falla imbarazzante, risolta provvisoriamente da Apple in maniera drastica, ossia bloccando il servizio FaceTime in attesa di realizzare e distribuire un aggiornamento correttivo.

La schermata di stato dei sistemi e servizi Apple, consultabile qui.

L’imbarazzo è stato acuito dal fatto che Apple sta puntando molto, in termini di immagine aziendale, sulla sua attenzione alla sicurezza e alla privacy, e dal dettaglio non trascurabile che il difetto non è stato scoperto dai suoi esperti di controllo qualità ma da un ragazzo quattordicenne, Grant Thompson, a metà gennaio scorso.

Grant stava giocando a Fortnite e stava attivando una chat di gruppo con FaceTime quando si è accorto che poteva sentire anche le voci degli amici che non avevano ancora risposto all’invito a partecipare alla chat.

Come se non bastasse, Apple non ha risposto alle ripetute segnalazioni del problema fatte dalla madre del ragazzo ed ha reagito solo alcuni giorni dopo che la falla è stata rivelata pubblicamente.

L’azienda si è scusata e ha promesso di distribuire un aggiornamento di sicurezza entro questa settimana. Se avete un iPhone o un iPad, quindi, ogni tanto andate nelle Impostazioni e cercate la voce Generali e poi Aggiornamento software per vedere se l’aggiornamento è disponibile. Se avete un Mac, usate l’app dell’App Store e cliccate sulla sezione Aggiornamenti oppure andate nelle Preferenze di Sistema.

Imbarazzi a parte, però, la falla aveva una limitazione importante: lasciava sul dispositivo della vittima una chiara indicazione dell’identità dello spione o ficcanaso. Era quindi poco sfruttabile da intrusi professionisti o governativi, che preferiscono non lasciare tracce, ma era una pacchia per stalker ossessivi e partner gelosi che non avevano problemi a far sapere di stare origliando le proprie vittime. Vittime che spesso non sapevano come impedire questa persecuzione.

Incidenti come questo sono un promemoria molto chiaro del fatto che circoliamo tenendo in tasca, in ufficio e sul comodino un microfono che può essere attivato a distanza ed è gestito da un software molto complesso che a volte non funziona esattamente come vorrebbero i suoi creatori e utenti.

Le raccomandazioni apparentemente paranoiche degli esperti di sicurezza e privacy, che invitano a spegnere i telefonini o lasciarli fuori dalla stanza per qualunque conversazione o attività privata, sono insomma giustificate. Lo sa bene Larry Williams, un avvocato di Houston, che ha fatto causa ad Apple sostenendo che la falla di FaceTime ha consentito a qualcuno di origliare durante una delicatissima deposizione giurata di un suo cliente. Pensateci la prossima volta che andate dal medico o dal vostro avvocato o vi trovate in altre situazioni nelle quali fate confessioni molto personali.

2019/02/08 21:30

Apple ha rilasciato MacOS 10.14.3 e iOS 12.1.4, che risolvono questa falla.

Fonti aggiuntive: Graham Cluley, New York Times, The Inquirer, New York Times, CNet.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Tumblr, l'epic fail dell’“intelligenza artificiale” continua e peggiora

Tumblr, l’epic fail dell’“intelligenza artificiale” continua e peggiora

Tumblr ha mantenuto la parola e dal 17 dicembre scorso non accetta più contenuti ritenuti “per adulti, compresi i contenuti sessuali espliciti e la nudità (con alcune eccezioni)”, dichiarando di voler diventare così “un Tumblr migliore e più positivo”. Ha iniziato a nascondere i contenuti di questo genere e ha eliminato il pulsante che consente agli utenti di chiedere un riesame della valutazione.

C’è un piccolo problema in questa transizione: per valutare l’enorme massa di contenuti pubblicati dagli utenti, Tumblr ha deciso di utilizzare una sorta di intelligenza artificiale: “Ci affidiamo a strumenti automatizzati per identificare i contenuti per adulti e gli esseri umani per aiutare ad addestrare e tenere sotto controllo i nostri sistemi. Sappiamo che ci saranno errori“, scrive Tumblr. Mai parole finali furono più profetiche.

Gli “strumenti automatizzati” di Tumblr sono diventati la barzelletta di Internet, bloccando di tutto, comprese immagini religiose e persino i post che prendono in giro i suoi errori di riconoscimento in una sorta di Inception ricorsiva, come nota Boingboing (l’errore è stato poi corretto grazie all’intervento manuale di un moderatore):

Forse l’errore più comico è che Tumblr segnala come inaccettabili anche gli esempi di immagini che Tumblr stesso ha creato per mostrare cosa è accettabile e cosa non lo è:

Infatti, puntualmente i prodigiosi “sistemi automatizzati” di Tumblr hanno immediatamente bloccato queste immagini:

Mentre l’ilarità continua, casi come questo possono servire da promemoria ben più serio per tutti quelli che periodicamente partoriscono l‘idea di affidare la sorveglianza dei contenuti e delle persone ai sistemi di riconoscimento automatico. Senza un esercito di esseri umani addestrati a valutare i singoli casi e un modo di contestare gli inevitabili errori, questi sistemi rischiano di essere un autogol formidabile.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Caos e insurrezione su Tumblr

Caos e insurrezione su Tumblr

Ultimo aggiornamento: 2018/12/07 18:00. 

Tumblr ha annunciato che dal 17 dicembre prossimo verranno banditi tutti i contenuti ritenuti “per adulti”, dopo anni di ampia tolleranza che ne avevano fatto, fra l’altro, un rifugio per molti utenti che volevano evitare la pornografia commerciale e i suoi cliché e cercavano invece un luogo sicuro nel quale esprimere senza tabù e senza essere giudicati le proprie opinioni e visioni su argomenti altrove vietati. Uno studio del CNR di Pisa ha rilevato che le donne giovani sono fra le principali creatrici e frequentatrici di Tumblr.

La scelta è probabilmente legata al fatto che poche settimane fa Apple ha rimosso l’app di Tumblr dall’App Store per iOS in seguito alla scoperta di contenuti pedopornografici su Tumblr. L’app è rimasta disponibile su Google Play.

La decisione in sé può far discutere, ma la modalità usata per realizzarla è sicuramente un flop informatico di dimensioni spettacolari: il sistema di “intelligenza artificiale” adoperato per riconoscere i contenuti non più accettabili sta segnalando come inaccettabile ogni sorta di immagine assolutamente non pornografica e lasciando passare altre immagini estremamente esplicite. Ecco alcuni esempi:

Ne trovate altri qui, qui, qui e qui, dove si segnala che persino l’annuncio delle nuove regole da parte di Tumblr è stato etichettato come inaccettabile. Una dimostrazione perfetta del concetto che già è difficile per gli esseri umani decidere la differenza fra arte e pornografia, figuriamoci per un sistema di machine learning usato al posto di moderatori umani nella vana speranza di risparmiare soldi.

Su Twitter potete seguire l’hashtag .

Per ora la segnalazione è appellabile, ma stando agli utenti lo staff di Tumblr che dovrebbe vagliare i casi sta facendo più che altro confusione e discriminazione (i contenuti nazisti, per esempio, passano indisturbati).

Il risultato è una fuga in massa degli utenti verso altri siti come Pillowfort.io, con buona pace di Verizon, proprietaria di Tumblr, che forse sperava di guadagnare soldi ripulendolo.

Per il 17 dicembre è stata proposta una protesta di massa: 24 ore di inattività totale da parte degli utenti di Tumblr. Staremo a vedere.

Fonti: Wired, BBC, Wired.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
500 milioni di account rubati a Marriott, Sheraton e altre catene di alberghi

500 milioni di account rubati a Marriott, Sheraton e altre catene di alberghi

Il furto dei dati di circa 500 milioni di clienti degli alberghi della catena internazionale Marriott, che include anche altri marchi noti (come per esempio Sheraton, Westin, Element, Aloft, The
Luxury Collection, Tribute Portfolio, Le Méridien, Four Points e altri ancora), è il secondo più grande di tutti i tempi per numero di persone colpite. Al primo posto c’è il furto subìto da Yahoo nel 2013, quando furono trafugati i dati di tre miliardi di account.

Ma che cosa se ne fanno, esattamente, i criminali di questi dati?

A prima vista l’archivio dei clienti di una catena d’alberghi non sembra particolarmente allettante, visto che oltretutto sembra per ora che i dati delle carte di credito dei clienti Marriott non siano stati violati. Ma in realtà anche gli altri dati sottratti hanno un valore notevole: nomi e cognomi, indirizzi di mail, numeri di telefono, numeri di passaporto, date di nascita e date di partenza e arrivo possono infatti essere usati per moltissime truffe informatiche.

Le più ovvie sono quelle che contattano la vittima, via mail o per telefono, spacciandosi per il servizio clienti della catena alberghiera e offrendo un rimborso da versare sulla carta di credito, se la vittima è così gentile da fornirne il numero e il codice di sicurezza. Questo genere di raggiro è estremamente convincente se viene accompagnato da così tanti dati personali: chi altro, se non l’albergo, saprebbe per esempio le date di arrivo e di partenza?

È vero che molte persone fiuteranno comunque il tranello, ma nella massa ci sarà sempre qualcuno che abboccherà. E qui la massa è grande: con cinquecento milioni di bersagli, anche un successo ogni mille tentativi frutterà cinquecentomila carte di credito di persone economicamente ben dotate, e i tentativi possono essere completamente automatici.

Ci sono anche truffe meno ovvie: per esempio, molti utenti usano la stessa password dappertutto, per cui quella che hanno usato per prenotare camere presso questa catena è quella che usano anche per la mail o per i social network. Accedere alla mail aziendale di qualcuno permetterebbe di mandare istruzioni di lavoro fasulle, come un cambio di conto corrente su cui pagare un fornitore, in modo che il pagamento finisca sul conto dei criminali. Accedere a un account su un social network consentirebbe di trovare foto imbarazzanti da usare per estorsioni e ricatti oppure permetterebbe di fare spamming.

Ma c’è anche un altro modo per sfruttare dati alberghieri rubati: i numeri dei passaporti possono essere usati per creare passaporti falsi o per aprire conti correnti spacciandosi per le vittime. Lo spionaggio governativo ne può approfittare per sorvegliare gli spostamenti dei funzionari dei governi spiati, grazie per esempio al fatto che negli Stati Uniti esiste un archivio pubblico di tracciamento dei viaggi che si basa proprio sul numero di passaporto.

Insomma, quello che poteva sembrare un problema marginale ha implicazioni molto serie. Se negli ultimi anni siete stati ospiti di questi alberghi, vi conviene cambiare le vostre password, visitare il sito info.starwoodhotels.com per avere istruzioni e tenere d’occhio gli estratti conto della vostra carta di credito.

Fonti: Wired, Kroll.com, Ars Technica, Gizmodo, Naked Security, Il Post.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Installare cuffie Sennheiser rende(va) vulnerabili i PC

Installare cuffie Sennheiser rende(va) vulnerabili i PC

Ultimo aggiornamento: 2018/12/05 9:50.

Quando pensi di averle viste tutte in informatica, arriva sempre qualche notizia ancora più bizzarra. Installare un software di gestione per cuffie rendeva permanentemente vulnerabili i computer Windows.

L’azienda di sicurezza informatica Secorvo ha scoperto che Headsetup e Headsetup Pro, i programmi che installano i driver per le cuffie Sennheiser Office e Call center, installavano anche due certificati digitali di root malamente configurati (tanto per dirne una, la chiave privata e la passphrase per usarla erano scritte in chiaro in due file, e la passphrase era SennheiserCC).

Questo consentiva a qualunque criminale informatico di generare certificati digitali con i quali creare siti-trappola che si spacciavano perfettamente per Google, Apple, Microsoft o una banca, rendendo facili gli attacchi informatici sui computer nei quali era stato installato il software Sennheiser.

Cosa peggiore, i computer restavano vulnerabili anche dopo che era stato disinstallato il software, perché la disinstallazione non rimuoveva i certificati digitali difettosi.

Sennheiser ha pubblicato un aggiornamento correttivo e Microsoft ha diffuso un aggiornamento che disabilita i certificati digitali erronei. Chi usa le cuffie di questa marca dovrebbe quindi aggiornare il software; chi ha installato il software in passato dovrebbe eliminare il certificato digitale fallato seguendo queste istruzioni per Mac e queste per PC Windows.

2018/12/05 9:50

Ho ricevuto dall’ufficio stampa italiano di Sennheiser la precisazione che si trattava di un problema riguardante esclusivamente le cuffie Sennheiser usate per applicazioni office e call center. Riporto qui sotto integralmente la nota dell’ufficio stampa:

Per consentire alle cuffie Office e Call-Center e agli Speakerphones Sennheiser di lavorare senza problemi con PC e Mac, l’app HeadSetup stabilisce un websocket crittografato con un browser, come riporta ArsTechnica. Lo fa con l’installazione di un certificato TLS autofirmato in una posizione che i sistemi operativi riservano per la memorizzazione di certificati browser attendibili. Su Windows, questa posizione è chiamata Root CA certificate store, su Mac invece, è nota come Trust Store.

La vulnerabilità del software Sennheiser HeadSetup era derivata da un certificato autofirmato installato dalla versione 7.3 della stessa applicazione, che teneva la chiave privata di crittografia in un formato facilmente estraibile. Peraltro, poiché la chiave generata era identica per tutte le installazioni del software, sarebbe stata sufficiente una singola estrazione per generare certificati TLS falsi in grado di impersonare qualsiasi sito web HTTPS su Internet. Anche se i certificati autofirmati erano palesemente falsi, sarebbero stati accettati come autentici su tutti quei computer che avevano memorizzato il certificato creato dalla companion app di Sennheiser.

Una problematica che l’azienda tedesca ha risolto immediatamente rendendo disponibile la release di aggiornamento che, al tempo stesso, elimina il certificato vulnerabile; in ogni caso l’opzione più sicura rimane quella di eliminarlo manualmente.

Come ulteriore misura di rimedio, Sennheiser ha contattato Microsoft per ottenere l’invalidazione globale dei certificati interessati tramite un aggiornamento software mondiale, rilasciato il 27 novembre per gli utenti Windows. L’aggiornamento del sistema Windows elimina il rischio, anche per coloro che hanno scelto di eliminare il vecchio software HeadSetup attraverso un processo di disinstallazione.

Fonti aggiuntive: BoingBoing, Bleeping Computer, Ars Technica.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Riconoscimento facciale in Cina e controllo sociale

Riconoscimento facciale in Cina e controllo sociale

La recente trasmissione della RSI Dataland ha raccontato il sistema di controllo sociale automatizzato adottato in alcune città della Cina, dove telecamere dotate di riconoscimento facciale identificano chi attraversa le strisce pedonali quando ha il semaforo rosso. Il volto e il nome della persona vengono mostrati istantaneamente su un megaschermo.

A Shenzhen, per esempio, chi viene colto a commettere ripetutamente questo comportamento vietato viene punito perdendo punti nel proprio “credito sociale”: perde l’accesso a prestiti, non può prendere un aereo o un treno ad alta velocità, e altro ancora. No, non è una puntata di Black Mirror: questa è la realtà resa possibile dai costi bassissimi dei sistemi di sorveglianza di massa.

Gli amanti dell’ordine sociale potrebbero dire “Beh, ma dove sta il problema? Basta rispettare la legge.” Ma cosa succede quando questi sistemi automatizzazi sbagliano e riconoscono una persona che non c‘entra nulla?

È successo proprio questo, secondo quanto riporta il South China Morning Post: nella città portuale di Ningbo, il sistema ha colto in fallo la signora Dong Mingzhu, perché ne ha riconosciuto il volto, e l‘ha denunciata pubblicamente facendo comparire il suo volto e il suo nome sul megaschermo della vergogna.

Ma Dong Mingzhu non aveva affatto attraversato le strisce col rosso: il suo volto era presente nella pubblicità sulla fiancata di un autobus che transitava sul passaggio pedonale. La signora, infatti, è una notissima imprenditrice che dirige una grande azienda di impianti per l’aria condizionata.

La polizia locale si è prontamente scusata e ha detto che il sistema è stato completamente aggiornato. La signora Dong ha orwellianamente ringraziato la polizia per il proprio lavoro e invitato la popolazione a rispettare le regole del traffico. Ma viene da chiedersi cosa sarebbe successo se la persona erroneamente riconosciuta non fosse stata una celebrità capace di far sentire la propria voce.

Fonte: Naked Security.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
La Stampa ruba un articolo al New York Times. E lo traduce pure con i piedi

La Stampa ruba un articolo al New York Times. E lo traduce pure con i piedi

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento). Pubblicazione iniziale: 2016/01/16 10:37. Ultimo aggiornamento: 2016/01/16 17:30.

Se foste voi a prendere un articolo di un giornale e ripubblicarlo pari pari, senza neanche un accenno alla fonte, verreste additati come ladri, violatori del diritto d’autore, affossatori del legittimo lavoro delle redazioni dove la gente si guadagna da vivere con il sudore della fronte e le dita sulla tastiera.

Se poi prendeste questo articolo rubato e gli schiaffaste su un bel logo Creative Commons per dire “prendete e mangiatene tutti, siamo generosi, moderni e cool”, i tesserati dell’Ordine dei Giornalisti vi apostroferebbero probabilmente come anarchici che commettono un esproprio proletario prendendo il lavoro altrui, svilendone il valore e distribuendolo abusivamente alle masse, come quegli sfigati di Wikipedia che col Creative Commons hanno ammazzato i venditori di enciclopedie. Seguirebbero lettere di avvocati e richieste di risarcimento spezzagambe. Perché il copyright è una cosa seria e il giornalismo è un mestiere sacro.

Ma se lo fa La Stampa, allora va bene?

Guardate questo articolo de La Stampa [v. aggiornamenti], intitolato Un “vulcano” largo più di 50 mila chilometri, pubblicato nella sezione Tuttoscienze. Non nella sezione Oroscopi o nella sezione Chi ha mostrato le tette questa settimana per farsi conoscere: nella sezione scientifica del giornale, dove ci si aspetta di trovare fatti rigorosi, scienza esatta, le ultime grandi scoperte (se non volete regalare clic a La Stampa, consultate la copia che ho archiviato presso Archive.is).

Già la didascalia della figura, “Il sito Tartaruga Pits sulla dorsale medio-atlantica, composto da tumuli sulfurei e «camino» che sputa fumo”, puzza di copiato e tradotto coi piedi. Davvero un sito in mezzo all’Atlantico si chiama Tartaruga Pits? Metà in italiano e metà in inglese? Lasciamo stare l’italiano traballante del resto della didascalia.

E che dire di quel paragone nel primo paragrafo, “cingendo il globo come la cucitura di un pallone da baseball”? Fra tutti gli sport che possono venire in mente a un giornalista italiano per fare un paragone, proprio l’americanissimo baseball? Non c’è per caso uno sport un po’ più nazionale dove si giochi con un pallone dotato di cuciture? Per non parlare del fatterello che il baseball non si gioca con un pallone.

L’articolo de La Stampa è insomma chiaramente una traduzione, ed è una traduzione fatta con le parti meno nobili dell’anatomia del giornalista quadratico medio. Davvero La Stampa affida articoli a gente che non sa neanche che non si gioca a baseball con un pallone? E che non si chiede cosa possano mai essere i “cavi che lampeggiano”? Questa è la gente che secondo La Stampa dovrebbe spiegarci la scienza.

Il risultato è che la redazione di Tuttoscienze ci propone nel titolo un “vulcano” più largo del diametro della Terra.

Il resto dell’articolo è un bagno di sangue: roba da consumare una matita blu, con figure lasciate in inglese, punteggiatura seminata a caso, unità di misura non convertite (“780 gradi”) e ortografia pseudocasuale (geofisca, nel Oceano Pacifico, i suo i complessi processi, un equipe, eccetera).

Ma soprattutto l’articolo de La Stampa è copiato pari pari da questo articolo del New York Times, intitolato The 40,000-Mile Volcano (archiviato qui su Archive.is). Confrontate i primi tre paragrafi. Questo è l’originale del New York Times:

Picture a volcano. Now imagine that its main vent extends in a line. Now imagine that this line is so long that it runs for more than 40,000 miles through the dark recesses of all the world’s oceans, girding the globe like the seams of a baseball.

Welcome to one of the planet’s most obscure but important features, known rather prosaically as the midocean ridges. Though long enough to circle the moon more than six times, they receive little notice because they lie hidden in pitch darkness. Oceanographers stumbled on their volcanic nature in 1973. Ever since, costly expeditions have slowly explored the undersea world, which typically lies more than a mile down.

The results can make the visions of Jules Verne seem rather tame.

E ora la versione de La Stampa:

Immaginate un vulcano. Ora immaginate anche che il suo «sfiato» principale si estenda su una linea. E poi ancora, immaginate che questa linea corra per circa 65 mila chilometri attraverso gli angoli remoti di tutti gli oceani del mondo , cingendo il globo come la cucitura di un pallone da baseball.

Benvenuti al cospetto di una delle caratteristiche più oscure ma anche più importanti del pianeta. Con un termine alquanto prosaico, parliamo di «dorsali oceaniche». Abbastanza estese da poter circondare la Luna almeno sei volte, queste peculiarità non sono messe mai in grande risalto dagli scienziati, forse perchè riguardano un mondo nascosto nell’oscurità degli abissi. Gli studiosi hanno scoperto la natura vulcanica di queste parti nell’ormai lontano 1973. Da allora costosissime spedizioni hanno seguitato ad esplorare l’universo sommerso, a circa due chilometri di profondità.

I risultati di queste ricerche farebbero apparire le «visioni» di Giulio Verne quanto meno banali.

Il resto dell’articolo de La Stampa è copiato allo stesso modo. Non è questione di ispirazione parallela, di idee spontaneamente convergenti, di due narrazioni della stessa notizia: è proprio copiato. Senza ma e senza se, ma soprattutto senza cervello.

Adesso, infatti, si spiega quel Tartaruga Pits. Non è che un’oceanologa italiana, mentre lavorava nella zona, ha avuto una storia di bollente passione con un collega dagli addominali scolpiti e ha deciso d’immortalarne la memorabile anatomia battezzando così il sito: è la traduzione (a metà) di Turtle Pits. A La Stampa danno lavoro a gente che traduce i nomi propri. Meno male che non è un articolo sul teatro scespiriano, altrimenti ci troveremmo di fronte a una dissertazione sulle opere di Guglielmo Scuotilancia e del suo celebre Villaggetto ambientato in Danimarca.

Leggendo l’articolo originale del NYT si spiega anche l’assurdità del titolo italiano: il vulcano si estende lungo 40.000 miglia. Non è “largo” 50.000 chilometri. Fra l’altro, 40.000 miglia non sono 50.000 chilometri come scrive La Stampa, ma almeno 65.000; dipende se sono miglia terrestri o marine. E i “cavi che lampeggiano” sono “cables that flash the readings to shore”. Ossia trasmettono a terra i propri rilevamenti. Senza lampeggiare, si presume.

Ciliegina sulla torta, che fa La Stampa? Dopo aver rubato il lavoro altrui ci schiaffa sopra un bel logo Creative Commons, che dice che l’articolo è libero per usi non commerciali ma non sono ammesse opere derivate e bisogna indicarne la paternità. In altre parole: non fate a me quello che io ho fatto agli altri.

Questo, insomma, è il modo in cui oggi a La Stampa qualcuno ritiene di poter fare giornalismo: rubando il lavoro altrui, spacciandolo per proprio, traducendolo col deretano e appiccicandogli una licenza abusiva. Ironia della sorte, questo accade proprio pochi giorni dopo che La Stampa, con gran pompa e orgoglio, ha nominato una “garante dei lettori”, Anna Masera, alla quale potete rivolgervi per “commenti e critiche che riguardano le notizie e gli approfondimenti che il giornale pubblica su carta e su Internet”. Per come conosco Anna, questo sfacelo non è avvenuto di certo con il suo assenso: anzi, se qualcuno voleva sabotare il suo nuovo incarico non poteva far di meglio.

Adesso vediamo come reagirà La Stampa. Accetto scommesse.

2016/01/16 11:40

Anna Masera ha tweetato di essere al corrente della mia segnalazione. @DavideDenti mi segnala che ora sono state inserite in grassetto nell’articolo de La Stampa le parole “come riporta il New York Times”. Come se questo facesse sparire gli errori di traduzione e legittimasse la copia pari pari dell’articolo originale.

Ho mandato una mail a Margaret Sullivan, public editor del New York Times, e a scitimes@nytimes.com, chiedendo chiarimenti.

2016/01/16 17:40

L’articolo de La Stampa è stato riscritto da cima a fondo. Sparita la didascalia con il suo impagabile Tartaruga Pits. È comparso un paragrafo in cui si ringrazia “per la segnalazione della mancanza della fonte da cui è stata ripresa questa notizia: l’edizione online del New York Times.

A dire il vero la segnalazione non lamentava una semplice mancanza di fonte, ma pazienza. Speriamo che sia stata imparata la lezione: copiare e tradurre male non è giornalismo. Strano che questa lezione sia ancora oggi da imparare in una redazione di giornale, ma così pare. Chi volesse vedere com’era l’articolo prima che i lettori segnalassero il fattaccio può consultare la copia su Archive.is. Internet non dimentica.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Libro di scuola ha pubblicato la fandonia del “tunnel Gelmini”: sarebbe “incidente grafico”

Libro di scuola ha pubblicato la fandonia del “tunnel Gelmini”: sarebbe “incidente grafico”

Fonte della foto: Repubblica.

Ricordate il famoso “tunnel Gelmini”? Quello che nel 2011, secondo un disastroso comunicato stampa dell’allora ministra dell’Istruzione Mariastella Gelmini, avrebbe magicamente collegato il Gran Sasso con il CERN di Ginevra su una distanza di oltre settecento chilometri? Ne avevo scritto qui.

A sette anni di distanza questa scempiaggine continua a fare danni. Non su Internet: su carta. Peggio ancora: su un libro di testo scolastico.

La foto che vedete qui sopra, pubblicata da Repubblica in questo articolo di Corrado Zunino, è tratta da un sussidiario della Mondadori usato nelle quinte elementari, intitolato ambiziosamente Capire il presente e scritto da Tiziana Canali. Sta a pagina 158. Il sussidiario costa 21.76 euro ed è stato acquistato in una libreria di Belluno pochi giorni fa, come riferisce Repubblica.

Il libro dice testualmente: “Oggi il Gran Sasso ospita un Parco Nazionale e dei laboratori sotterranei per la ricerca scientifica, per lo studio della fisica e dell’astrofisica. Un lungo tunnel collega questi Laboratori al CERN (Consiglio Europeo per la Ricerca Nucleare), il più grande laboratorio di fisica, che si trova al confine tra la Svizzera e la Francia, vicino alla città di Ginevra.”

A quanto pare Tiziana Canali non solo ha difficoltà a capire il presente, visto che il tunnel non esiste, ma ha anche problemi di comprensione del passato, essendo ormai trascorsi sette anni dalla perla della ministra Gelmini.

Meno male che le fake news e la disinformazione sono colpa di Internet.

No, mi spiace: la colpa è dei cialtroni e dei loro complici. Quelli che quando scrivono una cazzata, invece di dire “Scusate, abbiamo sbagliato, correggiamo e staremo più attenti, ecco una copia gratis corretta”, si difendono inventando le giustificazioni più patetiche.

Infatti Mondadori, sempre secondo Repubblica, si è giustificata dicendo di essersi accorta dell’errore “due anni fa” e di aver “sospeso il libro, corretto e ristampato.” Ma evidentemente non ritirato, perché il sussidiario con l’errore è stato acquistato pochi giorni fa, e resta il fatto che l’errore era stato fatto. Un errore che mette in dubbio le competenze di Tiziana Canali. Se ha scritto questa cazzata, come facciamo a sapere che non ce ne siano altre nei suoi libri? Quelli sui quali si devono formare i bambini che vanno a scuola?

Mondadori dice che si è trattato di un “incidente grafico. In tipografia hanno dovuto stringere il box di cinque righe in cui si parla di Gran Sasso e Cern e hanno tagliato male il testo.” Che è la versione moderna di “maestra, il cane mi ha mangiato i compiti”, perché per quanto io mi sforzi non riesco davvero a immaginare una versione sensata di questo testo nella quale tagliando cinque righe venga fuori miracolosamente proprio quella stessa fesseria che c’era nel comunicato stampa della Gelmini di sette anni fa.

Sbagliare è umano. Ma bisognerebbe avere almeno la dignità di ammettere l’errore e rimborsarlo, invece di inventare giustificazioni da pagliacci e dare colpa agli altri.

 

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Il lucchetto “smart” Tapplock è ancora più vulnerabile. E non è il solo

Il lucchetto “smart” Tapplock è ancora più vulnerabile. E non è il solo

Ricordate la storia del lucchetto “smart” da cento dollari della Tapplock, che trasmette pubblicamente il proprio codice di sblocco? Già questo è un disastro informatico, ma c’è di peggio: è emerso che il sito Web attraverso il quale si gestiscono questi lucchetti, se interrogato con un semplice comando, rivelava non solo tutti i dati necessari per calcolare il codice di sblocco ma anche la localizzazione di ogni singolo lucchetto Tapplock.

La falla è stata risolta, ma la figuraccia no.

Un’altra azienda, della quale non è stato rivelato il nome, ha fatto ancora di peggio. Ha mandato uno dei suoi lucchetti smart a LockPickingLawyer, un esperto di sicurezza fisica, e quando lui ha fatto notare che il lucchetto era apribile semplicemente svitando tre viti, ha risposto che “il lucchetto è invincibile per chi non ha un cacciavite”:

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Lucchetto “smart” annuncia a tutti la propria password

Lucchetto “smart” annuncia a tutti la propria password

Cento dollari per un lucchetto sono una bella cifra, ma quello venduto dalla Tapplock è un lucchetto speciale, perché è “smart”: contiene un processore e un sensore d’impronte digitali e si sblocca appoggiando sul sensore un dito autorizzato. Niente chiavi da perdere, nessuna combinazione da ricordare. C’è anche un’app per gestire fino a 500 impronte. Pratico, no?

Praticissimo, e specialmente per i ladri. I ricercatori della Pen Test Partners hanno scoperto infatti che le promesse di sicurezza del lucchetto erano decisamente fantasiose. Hanno scritto un’app che sblocca qualunque lucchetto smart di questa marca in due secondi.

Come hanno fatto? Hanno comprato uno di questi lucchetti e hanno analizzato il traffico Bluetooth fra il lucchetto e l’app. Per prima cosa si sono accorti che il codice di sblocco che veniva trasmesso era uguale per tutti gli utenti autorizzati di quell’esemplare di lucchetto (che già non è una bella cosa). Ma poi hanno scoperto che il codice di sblocco era derivato dal MAC address del dispositivo.

Un MAC address è l’identificativo univoco che viene assegnato a un singolo esemplare di qualunque oggetto che va connesso a una rete. Viene trasmesso necessariamente in chiaro in ogni pacchetto di dati che viene inviato dal dispositivo, e deve essere ricevibile da qualunque dispositivo in ascolto. Usarlo come base per le password è quindi un’idea stupendamente idiota.

Per fare un paragone, è l’equivalente di usare come password il proprio nome utente.

Eppure TappLock viene venduto dicendo che usa “crittografia AES a 128 bit, la stessa usata dai militari”.

L’azienda ha confermato la vulnerabilità e ha pubblicato un avviso che raccomanda sibillinamente ai propri clienti di aggiornare il firmware dei lucchetti “per avere la protezione più recente”, senza dire che la protezione attuale è un colabrodo.

Come per tanti oggetti dell’Internet delle Cose, a parte la pessima progettazione, il problema è che è molto improbabile che questi avvisi di aggiornamento raggiungano gli utenti e che, se li raggiungono, vengano ascoltati.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.