Google – Attivissimo.me

Anticopia: Google chiude i video a pagamento, utenti buggerati

Questo articolo è stato aggiornato dopo la pubblicazione iniziale.

A Ferragosto Google chiuderà il servizio a pagamento di Google Video e
chiunque abbia acquistato video lucchettati da questo servizio non potrà più
vederli. E non c’è assolutamente nulla da fare per cambiare le cose.

Questa,
in sintesi, la lezione più bruciante ed esemplare di cosa significa il DRM:
l’arroganza del potere applicata al mondo digitale. Quello che rende ancora più
irritante la notizia è la fonte di questo sopruso: Google, il dittatore
illuminato della Rete, la società che non sbaglia un colpo, il colosso che ci
dovrebbe aiutare a sconfiggere il monopolio di zio Bill.

Forse è ora
di svegliarsi e capire che Google è come tutte le altre aziende: non fa
beneficenza, e se deve scegliere fra i propri interessi e quelli dei suoi
clienti, sceglie i propri senza batter ciglio, e al diavolo la Difesa della
Cultura Digitale e tutte quelle fesserie con cui spesso i pensatori della Rete
imbellettano le dispute online.

Qui trovate la
mail di annuncio della chiusura: chi ha pagato non potrà più vedere i video a partire dal 15 agosto. Trovate
altri dettagli
qui
e qui, e un
articolo profetico di Cory Doctorow
qui. Ai clienti verranno dati cinque dollari di rimborso, da spendere nei siti
convenzionati con il sistema di pagamento Google Checkout. Entro 60 giorni.

Questo
è quello che chi è contrario al DRM paventava da tempo: comperando musica o
video lucchettati, l’acquirente si espone alla
revocabilità dei suoi diritti di
visione o ascolto. Il DRM che consente il ritiro dei diritti di fruizione, come
quello di Google Video, è equivalente a un poliziotto privato che ti entra in
casa e ti porta via i libri che hai comprato e che credevi di possedere per
sempre. E lo fa perché gli gira così, punto e basta. E tu, misero cliente, devi
stare zitto e non fiatare, altrimenti sei un pirata, un sovversivo.

Per
citare una celebre battuta, Google è come Darth Vader:
“Ho cambiato il nostro accordo. Prega che non lo cambi
ancora” (L’Impero Colpisce Ancora, 1:34:10).

Aggiornamento (2007/08/22)

Google ha cambiato le regole dell’accordo. Ora sono leggermente migliori,
ma la sostanza non cambia. I dettagli sono
qui.

Liberare spazio in una casella Gmail eliminando gli allegati ma non le mail: Unattach

Le caselle gratuite di Gmail sono capienti già nella versione base gratuita (attualmente offrono circa 15 GB) e aumentarne le
dimensioni pagando non è difficile. Ma se ricevete o mandate tanti allegati,
noterete che riempiono molto spazio. È facile dimenticarsi che un singolo
allegato da 10 MB equivale a circa 10.000 mail, in termini di spazio occupato
(presumendo che una mail di solo testo occupi mediamente 1 KB).

La soluzione semplice è cancellare le mail che contengono allegati pesanti che
non vi servono più: è possibile elencarle andando in Gmail e digitando nella
casella di ricerca

has:attachment larger:[dimensioni]

Per esempio,

has:attachment larger:10M

elenca tutte le mail che hanno un allegato di dimensioni superiori ai 10
MB.

Questo filtro può essere affinato ulteriormente, per esempio specificando un
mittente se avete qualcuno che vi manda tanti allegati che dopo qualche tempo
non vi serve più avere in archivio nella mail. Per esempio,

has:attachment larger:1M from:pippo@pippo-e-pluto.com older_than:1y

elenca tutte le mail con allegato grande almeno 1 MB che avete ricevuto da
pippo@pippo-e-pluto.com almeno un anno fa. L’elenco completo degli operatori di Gmail
offre molte altre opzioni.

—

Questo metodo, però, ha il difetto che elimina non solo l’allegato ma anche la
mail associata all’allegato. Se avete bisogno di conservare la mail, che è
leggera, ma non il suo ingombrante allegato, per esempio per tenere traccia di
comunicazioni di lavoro, in Gmail non c’è modo di farlo. Alcuni client, come
per esempio Thunderbird, offrono quest’opzione, da applicare manualmente alle singole mail, ma Gmail no.

Una soluzione è la web app Unattach, che
consente appunto di eliminare gli allegati lasciando però intatte le mail
corrispondenti; l’allegato viene sostituito da una nota, in calce alla mail,
che descrive l’allegato rimosso.

Per usare Unattach, che è gratuita nella versione limitata a 30 mail/mese e
costa 10 euro/dollari/franchi l’anno nella versione Basic che non ha
questo limite, si va a https://unattach.app e si clicca su
Get Started o su Try with our free plan, poi si clicca su
Sign up with Google (oppure si crea un account con mail e password), si
accetta la richiesta di collegare il proprio account Gmail a Unattach (è un
permesso revocabile), si accettano le condizioni d’uso e l’informativa sulla privacy
e si clicca su Start Unattach.

Fatto questo, si clicca su Sign in to Gmail per dare gli ulteriori
consensi (Unattach deve poter leggere e scrivere nell’account di posta) e si
può cominciare.

Nella scheda Basic search si può fare una ricerca semplice, basata
sulle dimensioni degli allegati: compare un elenco delle mail che soddisfano
il criterio, ordinabile per dimensioni, data, mittente e oggetto.

Nella scheda Advanced search, invece, si possono immettere gli stessi
operatori che si possono usare in Gmail, e quindi per esempio si possono
cercare le mail che hanno allegati e sono state inviate da uno specifico
mittente prima di una certa data.

Si può scegliere di cancellare la mail, scaricare gli allegati, rimuoverli o
ridurne le dimensioni se sono immagini. Fatto questo, si selezionano le mail
che interessano, si clicca su Process Selected Emails, e il gioco è
fatto. Nel mio caso ho 2265 mail con allegati risalenti a più di due anni fa
provenienti da un singolo cliente; ho già salvato in archivio gli allegati e
quindi non mi serve tenerli nella casella di mail. Eliminarli mi libererà
quasi 3 GB di spazio su Gmail, dopo che avrò vuotato il Cestino di Gmail (andando a https://mail.google.com/mail/u/0/#trash).

Le mail alle quali è stato rimosso l’allegato ora hanno in calce un avviso se le apro in Gmail:

Se usate (anche) un client di posta in IMAP, come me, la modifica ci metterà un po’ ad arrivare anche alla copia locale delle mail. E ovviamente l’eliminazione degli allegati riduce anche lo spazio occupato sul disco locale dalla mail.

La spiegazione del metodo usato da Unattach è fornita in questo articolo, che sottolinea che Unattach è una web app che gira localmente nel browser dell’utente e usa le API di Google per accedere alla mail dell’utente; le mail non vengono mandate agli sviluppatori di Unattach o ad altri, come descritto nell’informativa sulla privacy. Questo, però, significa che l’app non è un fulmine: eliminare qualche migliaio di allegati richiede un’oretta abbondante.

Passare alla versione a pagamento è facile: si può pagare con PayPal o con le principali carte di credito.

Il video dimostrativo di Google Gemini è un falso

Questo video promozionale di Google per presentare la propria nuova intelligenza artificiale, denominata Gemini, è un falso: Gemini non è affatto in grado di fare le cose mostrate qui.

Lo spiega in dettaglio Matteo Flora in questo video, supportato dalle dichiarazioni fatte da Google stessa nei propri blog.

Specialmente per i chatbot, questa faccenda dell’IA comincia a puzzare sempre più di speculazione.

Fonti aggiuntive: Ars Technica, Gizmodo.

MicroYahooSoft? Microsoft vuole comperare Yahoo

2023-11-10
di Paolo Attivissimo
apparizioni pubbliche, Google, Microsoft, Yahoo

Questo articolo vi arriva grazie alle gentili donazioni di “riccardo” e “sara.ma****”.

Non si parla d’altro: Microsoft ha fatto un’offerta di acquisto di Yahoo per un valore di oltre 44 miliardi di dollari (Slashdot, News.com, BBC). Ho contribuito anche i miei due centesimi per la TSI (streaming Real).

Per il momento non cambia nulla; l’offerta, se va in porto, dovrà comunque passare il vaglio dell’antitrust USA e UE. Se supera questi ostacoli, dovrebbe permettere a Microsoft di evolvere da una società basata principalmente sulla vendita di licenze di software a una società che offre (anche) software come servizio Web e pubblicità contestuale nel proprio motore di ricerca, e fare quindi concorrenza a Google, che sta effettivamente diventando dominatore assoluto in questi settori sempre più vitali.

Un duopolio non è l’ideale, ma è sempre meglio di un monopolio, e sicuramente incentiva la concorrenza, che di norma porta a servizi migliori per gli utenti. La vera sfida, a mio avviso, è se Microsoft riuscirà a Yahooizzarsi e offrire servizi online efficaci e intuitivi, basati su standard universali, o se invece Yahoo finirà per Microsoftizzarsi e trasformarsi in un ghetto proprietario. Buona fortuna.

Sono candidato e non lo sapevo. Volete votarmi al Premio Ischia? [UPD 2009/04/30 22:40]

L’articolo è stato aggiornato dopo la pubblicazione iniziale.

Regola numero 1 dei concorsi e dei premi giornalistici: avvisare i candidati e non attendere che scoprano di esserlo grazie a Google Alerts, così magari fanno in tempo ad organizzarsi per partecipare alla premiazione e la consegna non deve avvenire, come dire, in contumacia. E così non c’è bisogno di mandare il premio per posta, come mi è successo per i Macchianera Blog Awards 2008, così arriva in mille pezzi (regola numero 2 dei concorsi: i premi in vetro si spediscono in una scatola imbottita, non in una busta).

Scopro infatti soltanto adesso da Ischiablog.it, grazie all’Alert che ho attivato sul mio nome e cognome (vanesio, lo so, ma utile), che il Disinformatico è fra i dieci candidati al “Blog dell’anno” per il Premio Ischia Internazionale di Giornalismo 2009, in compagnia di altri blog ben più illustri. Merito, a quanto pare, della mia indagine sugli MP3 “droganti” di iDoser, nella quale ho messo a repentaglio la mia stessa vita calandomi uno di questi presunti MP3 psichedelici in diretta radiofonica. Questo sì che è giornalismo ad alto rischio.

Lusingatissimo, per carità, ma mi chiedo quanto sia messa male la blogosfera per avere me fra i suoi candidati al premio. Se vi va di partecipare alla votazione (è gratis, non temete), andate alla pagina apposita. Magari ci si trova a Ischia per una pizzata. La premiazione si terrà il 4 luglio a Ischia, stando al programma.

2009/04/30 22:40 Premioischia.it attaccato

Nei commenti avete segnalato questa curiosa annotazione sul sito Premioischia.it, che conferma i problemi che molti di voi hanno indicato:

Stamattina dalle 10 alle 15 il nostro sito ha subito l’ attacco di un hacker, identificato poi in Lussemburgo. Nonostante il sito bloccato per diverse ore il sito del Premio Ischia ha avuto comunque migliaia di contatti. Ci scusiamo con gli utenti che hanno cercato di collegarsi. La nostra organizzazione ha raddoppiato la banda e installato nuove protezioni. La votazione on line per scegliere il migliori blogger dell’anno continua.

La tentazione di trovare un nesso fra la mia segnalazione del concorso e l’attacco avvenuto poche ore dopo è forte, visto che ultimamente c’è chi sta facendo ripicche di ogni sorta nei miei confronti, ma ho già fatto uno scivolone complottista pochi giorni fa e non vorrei ricascarci. Va considerato che se Google Alerts è stato solerte, l’annuncio del concorso è comparso online soltanto stamattina, quindi potrebbe benissimo trattarsi di una coincidenza. Provo a sentire in giro e scoprire qualcosa di più.

Credete che il vostro telefonino vi ascolti e vi mandi pubblicità delle cose di cui parlate?

2022-10-31
di Paolo Attivissimo
coincidenze, Google, ReteTreRSI, smartphone, social network, sorveglianza, telefonini che ascoltano, tracciamento

Ultimo aggiornamento: 2021/05/17 9:15.

Siete fra quelli che pensano che il loro telefonino ascolti le loro conversazioni e mostri pubblicità di conseguenza, perché vi è capitato di parlare di una cosa insolita e poi quella stessa cosa vi è stata proposta da Google o Facebook o Instagram? Ho una storia per voi. L’ho raccontata di fretta su Twitter qualche giorno fa, ma la riassumo meglio qui.

Molta gente mi scrive appunto dicendo che una volta ha parlato con gli amici di una cosa molto particolare e specifica e poi proprio quella cosa è comparsa subito dopo nelle pubblicità sul suo computer o smartphone, e quindi non può essere un caso.

Io spiego sempre che sono già state fatte tante verifiche tecniche da parte di esperti indipendenti (per esempio il test fatto da Wandera) e non c’è traccia di ascolto generalizzato e sfruttamento di quello che viene detto (a parte il riconoscere parole chiave tipo “Ehi Siri” o “OK Google” o “Alexa”).

Spiego anche che Google e social network non hanno bisogno di ascoltarci per capire i nostri interessi: leggono già la nostra Gmail, i nostri post Facebook, sanno i nostri “mi piace”, analizzano le nostre foto, tracciano i siti che visitiamo.

Aggiungo anche che ascoltarci di nascosto sarebbe illegalissimo in tutto il mondo e sarebbe un rischio enorme, che queste grandi aziende non hanno nessuna convenienza a correre.

Ricordo poi a questi scettici che noi esseri umani abbiamo una tendenza innata a notare le coincidenze e dimenticare le non coincidenze. Si chiama effetto Baader-Meinhof, illusione di frequenza o, in alcuni casi, illusione di recentezza. Compri un’auto azzurro cielo, improvvisamente tutte le auto che noti sono azzurro cielo. Aspetti un bimbo, incontri solo donne incinte.

Ma non c’è niente da fare: questi scettici mi dicono sempre “Ma il mio caso è troppo particolare! Non può essere una semplice analisi delle mail o della localizzazione o di tutto quello che ho scritto sui social! Non ho mai parlato prima di tagliabecchi laser per pulcini!” (Sì, esistono).

Piccola parentesi: se davvero credete che il vostro telefono ascolti tutto quello che dite, compresi i vostri momenti intimi e le vostre conversazioni confidenziali, cosa diavolo ci fate ancora con un telefonino? Siate coerenti e buttatelo via, o almeno spegnetelo.

Vengo dunque alla storia che vi avevo promesso. Per tutti quelli che non credono che possano esistere coincidenze così precise come quelle che ho citato e mi vengono raccontate, questo è quello che mi è successo poco fa.

Il 6 agosto scorso ero in un camerino a provare pantaloni. Ho lasciato il mio marsupio vicino all’ingresso del camerino, chiuso da una tendina, e ho pensato (senza dirlo ad alta voce) “certo che se qualcuno infilasse la mano nel camerino me lo potrebbe rubare e io dovrei rincorrerlo in mutande, forse è meglio spostarlo” (scusatemi se ora questa scena è nella vostra immaginazione).

Il treno dei miei pensieri è andato avanti nella sua corsa, come fa spesso, e così ho pensato “Ma mi metterei davvero a correre in mutande in un centro commerciale per acchiappare un ladro di portafogli? Cosa mi dovrebbero rubare per indurmi a una scena del genere?” Da informatico ho pensato subito al mio laptop.

Non ho condiviso questo pensiero con nessuno, nemmeno con mia moglie. L’ho messo per iscritto per la prima volta in questo tweet, alle 17:07 del giorno dopo (7 agosto), il giorno dopo aver immaginato di rincorrere seminudo in pubblico un ladro che mi avesse rubato con destrezza il laptop.

E l’ho messo per iscritto perché un’oretta prima di quel tweet mi era capitato di vedere, nel flusso delle notizie che sfoglio spesso, che la BBC aveva pubblicato questo: un uomo che rincorre nudo un cinghiale che gli ha rubato la borsa contenente il suo laptop.

L’episodio è successo vicino a Berlino, e la moglie dell’uomo, che è un nudista, ha pubblicato altre foto della vicenda.

Dovrei quindi pensare “Non può essere una coincidenza! Chiaramente la BBC mi legge nel pensiero!”? Secondo i ragionamenti degli scettici/paranoici, sì.

Le corrispondenze sono troppe, no?

L’ho pensato proprio il giorno prima.
Ho pensato proprio a un laptop.
Ho pensato che me lo portassero via con destrezza.
Ho pensato di rincorrere il ladro.
Ho pensato di farlo in condizioni imbarazzanti.

Ma in realtà io mi sono ricordato di quel pensiero fugace soltanto perché ho visto la notizia della BBC. Era uno dei mille pensieri che mi passano per la testa ogni giorno. Ho semplicemente ricordato quello che più o meno corrispondeva alla notizia: ho notato una coincidenza.

Se non ci fosse stata quella notizia a stimolare il ricordo, mi sarei completamente dimenticato di quel pensiero. Quanti pensieri facciamo nel corso di una giornata? Uno fra i tanti ha coinciso con una notizia, tutto qui.

Oltretutto la mia mente ha dovuto forzare un po’ per far combaciare il pensiero e la notizia: il mio ladro non era un cinghiale. Non ero in un prato. E non ero nudo. Ma fa niente, ho avvertito subito un brivido per la corrispondenza sorprendente.

Questi processi mentali sono gli stessi alla base dei presunti sogni premonitori e dei successi dei sensitivi, delle cartomanti e dei paragnosti figli di paragnosti. Ci ricordiamo le cose azzeccate, scartiamo quelle sbagliate.

Quindi prima di dire “il mio telefonino mi ascolta, ho le prove” e accusare Google, Facebook e gli altri social di commettere atti altamente illegali su scala massiccia, pensateci bene e chiedetevi se per caso esiste un’altra spiegazione. Perché le coincidenze càpitano.

Davvero non avete mai scritto/googlato/messo un like a qualcosa legato a quel tema che ora vi viene proposto? La geolocalizzazione rivela il vostro interesse per quella cosa? I vostri amici ne hanno mai parlato online? Avete condiviso la stessa rete Wi-Fi con persone che hanno discusso online di quell’argomento? Non dimenticate che Google e social network sono maestri nel cercare ogni possibile appiglio di correlazione per proporvi pubblicità mirata.

Fine della storia. Se ora non riuscite a levarvi dalla mente un nudista che rincorre un cinghiale o un informatico spilungone in mutande, mi spiace. Ma è sempre meglio che pensare di essere ascoltati 24 ore su 24.

—

Qualche giorno dopo aver scritto la prima stesura di questo articolo mi è capitato un episodio che ne conferma le conclusioni.

BlueBleed, a spasso i dati privati di oltre 150.000 organizzazioni grazie ai cloud malconfigurati

2022-10-27
di Paolo Attivissimo
Amazon, cloud, falle di sicurezza, Google, Microsoft, PodcastRSI, radio

Questo articolo è disponibile anche in
versione podcast audio.

Il 19 ottobre scorso Microsoft ha
annunciato
che i dati riservati di alcuni suoi clienti e potenziali clienti sono stati
resi pubblicamente accessibili via Internet a causa di un suo errore di
configurazione. I dati includono dettagli delle strutture aziendali, le
fatture, i listini prezzi, i dettagli dei progetti, i nomi e numeri di
telefono dei dipendenti e il contenuto delle loro mail.

L’azienda minimizza e nota che l’errore è stato corretto poco dopo la sua
segnalazione da parte della società di sicurezza informatica SOCRadar il 24
settembre scorso, ma
alcuni
esperti
non sono altrettanto rassicuranti.

I dati sono stati infatti catalogati da siti come
Grayhat Warfare e come
avviene sempre in questi casi non c’è modo di sapere quanti malintenzionati
hanno avuto il tempo di procurarsene una copia.

The Microsoft bucket has been publicly indexed for months, it’s called
olyympusv2 hosted on Azure blob storage – it was publicly readable. It’s
even in search engines.https://t.co/5iBIb2qvue
pic.twitter.com/5zjC0IC4wh

— Kevin Beaumont (@GossiTheDog)
October 20, 2022

Secondo l’avviso pubblicato da SOCRadar, il problema non riguarda soltanto Microsoft ma tocca anche Amazon e Google,
che hanno malconfigurato vari server contenenti dati sensibili dei propri
clienti aziendali.

SOCRadar ha raccolto le informazioni su queste violazioni di riservatezza in
un’apposita pagina del proprio sito, che consente di sapere se un’azienda è coinvolta o meno digitandone il nome
di dominio nella casella di ricerca, e ha dato alla vicenda il nome
BlueBleed.

In totale sono circa 150.000 le aziende interessate, che appartengono a 123
paesi. Le mail rese troppo visibili sono circa un milione e gli utenti sono
circa 800.000. Responsabilmente, SOCRadar non rivela i dati ma si limita a
dire se sono presenti o meno negli archivi resi eccessivamente accessibili dai
servizi cloud di Microsoft, Amazon e Google. Se la vostra azienda usa
servizi cloud di questi tre grandi nomi è opportuno dedicare un minuto
a un controllo per vedere se è fra quelle coinvolte.

Va ricordato che i dati ottenuti da fughe di questo genere vengono solitamente
utilizzati dai criminali online per ricatti ed estorsioni o per carpire
illecitamente la fiducia dei dipendenti di un’azienda presa di mira
manifestando di conoscere informazioni aziendali riservate, ma vengono anche a
volte semplicemente rivenduti al miglior offerente, per cui non è mai il caso
di ignorare segnalazioni di cloud colabrodo come questa.

—

2022/10/27 8:45. I bucket lasciati aperti non sono finiti:

I found another of the MSFT Bluebleed buckets, with the SQL databases. Contains databases Datastore, WMIDataStore, Olympusv2Backup and Datawarehouse_backup – has been kicking around for some time. pic.twitter.com/s35dN0C7Sg

— Kevin Beaumont (@GossiTheDog) October 26, 2022

Fonte aggiuntiva:
Bleeping Computer, Graham Cluley.

Prova pratica: recuperare un vecchio computer con ChromeOS Flex

Ultimo aggiornamento: 2022/07/19 9:10.

Pochi giorni fa Google ha
rilasciato
ufficialmente Chrome OS Flex, una versione di Chrome OS in grado di girare su
qualunque processore (Intel o AMD) relativamente recente, simile a quella
installata sui Chromebook. Può essere usata per recuperare un vecchio PC o Mac
troppo lento per far girare decentemente Windows 10/11 o macOS.

È il genere di cosa che si può fare anche con Linux, ma ogni tentativo è un
terno al lotto; Google, invece,
elenca
specificamente i computer che certifica compatibili. Nelle polverose cantine
del Maniero Digitale c’è, guarda caso, proprio uno di quei modelli
compatibili, un netbook Acer Aspire E3-111 che ha parecchi anni sulle spalle e
sul quale finora ho installato Linux Lubuntu.

La distro Linux funziona egregiamente ed è abbastanza reattiva e usabile, ma
ha una magagna molto irritante: per motivi insondabili, il tasto freccia
destra e il tasto Del non rispondono. Potrei mettermi a pasticciare con la
configurazione della tastiera, ma non ho quel genere di pazienza e sono
curioso di provare Chrome OS Flex, per cui vi racconto com’è andata.

Se ci state pensando anche voi, tenete presente che Chrome OS Flex ha alcune
limitazioni
rispetto a ChromeOS standard e richiede almeno 4 GB di RAM (perlomeno così
dicono le specifiche).

Creare la chiavetta di installazione

Le
istruzioni
dicono di installare (nel mio caso, su un altro computer, un Mac) la
Chromebook Recovery Utility: si apre Chrome e si installa l’estensione
omonima, la si lancia e poi si seguono le sue istruzioni. Serve una chiavetta
USB sacrificabile da almeno 8 GB (si può anche usare una scheda SD), che verrà
completamente cancellata.

L’estensione chiede di “identificare il modello di Chromebook”, ma in
realtà le istruzioni dicono di scegliere Google Chrome OS Flex come
fabbricante e Chrome OS Flex come prodotto. L’estensione scarica e
installa il software di installazione. La scrittura della chiavetta richiede
circa un quarto d’ora.

Avviare da chiavetta

Spengo il netbook sul quale voglio provare a installare ChromeOS Flex,
inserisco la chiavetta e accendo il netbook, premendo subito F2 (come indicato
dalle istruzioni che Google gentilmente fornisce per ogni specifico computer)
per entrare nelle impostazioni del BIOS e definire la chiavetta USB come primo
dispositivo dal quale tentare il boot.

ChromeOS Flex si avvia (molto, molto lentamente). A questo punto si può usare
il sistema operativo direttamente dalla chiavetta, senza installare nulla sul
disco rigido, oppure installarlo permanentemente sul disco rigido,
sovrascrivendo tutto il suo contenuto. Faccio un giro di prova e vedo che
riconosce correttamente la tastiera e il Wi-Fi, anche se è di una lentezza
esasperante, per cui vado per l’installazione permanente.

Installare permanentemente

Quando scelgo l’opzione di rendere permanente l’installazione, mi viene
chiesto se il dispositivo verrà usato da me o da un minore, poi mi viene
chiesto un account (do quello che ho su Google); mi arriva la richiesta di
verifica sullo smartphone e la accetto. Parte Google Assistant, che mi chiede
se voglio permettere all’Assistant di accedere a uno screenshot di quello che
ho sullo schermo (“Per ricevere risposte personalizzate alle tue domande, consenti
all’assistente di accedere a uno screenshot dei contenuti sul tuo schermo.
Ciò potrebbe includere informazioni relative ai brani o ai video in
riproduzione”).

Ho capito bene? Google vuole prendere screenshot di quello che ho sullo
schermo? Ma neanche morto.

Rifiuto anche l’attivazione dell’assistente quando dico Hey Google.
Chiede poi se voglio collegare il mio telefono Android: questo lo accetto.

Parte l’installazione, che si rivela lentissima e priva di qualunque
informazione sulla sua conclusione corretta o meno. Dopo un’oretta di
attesa di qualche segno di vita, spengo fisicamente il netbook, tolgo la
chiavetta e provo a riaccendere. Sorprendentemente, parte ChromeOS Flex,
faccio login nel mio account e si attivano tutte le sue app.

Dettaglio interessante: questo esemplare di netbook ha solo 2 GB di RAM, ossia
la metà del requisito minimo di ChromeOS Flex, eppure sembra funzionare tutto
correttamente.

Verdetto

Risultato: ho rianimato un netbook defunto, che ora si avvia in una
cinquantina di secondi ed è pronto per lavorare con tutta la suite online di
Google (Chrome, Mail, Calendar, Messages, Meet, Drive e relativi documenti,
presentazioni e fogli di calcolo), con le app in-browser anche di terze parti
(come WhatsApp Web o Photopea), ma
senza app di Google Play o Android e senza applicazioni installabili da altre
fonti (a parte le estensioni di Chrome e le applicazioni Linux se riuscite ad
attivare l’ambiente di sviluppo Linux, cosa fuori dalla portata dell’utente medio).

Nella foto a inizio articolo vedete Chrome OS Flex impostato in inglese, ma si
può selezionare facilmente anche l’italiano, come mostrato qui.

Queste limitazioni potrebbero anche essere considerate un bonus, per esempio
perché dovete affidare il computer a una persona che deve solo sfogliare il
Web, gestire la mail e le foto e comporre documenti ma potrebbe tentare di
installarvi qualunque porcheria le capiti a tiro (o potrebbe essere convinta a
farlo da qualche truffatore): su ChromeOS Flex non può installare nessun
eseguibile.

Anche la protezione antiphishing dovrebbe essere buona, dato che il browser è
Chrome, che riceve in tempo reale le notifiche dei siti di phishing. Inoltre
non occorre preoccuparsi di fare aggiornamenti (ChromeOS si aggiorna
automaticamente) e non c’è il pericolo di rallentamenti progressivi. Per uso
privato, ChromeOS Flex è gratuito.

In casi come questo ChromeOS Flex è una buona soluzione, vista la rarità del
malware per questo ambiente operativo e la facilità di ripristino (si va nelle
impostazioni, si sceglie Ripristino delle impostazioni e poi
Reimposta; al riavvio si fa login e tutto torna come nuovo).

Può anche essere una soluzione interessante a livello aziendale: Google
descrive
il caso di una catena alberghiera multinazionale paralizzata da ransomware (su
Windows) che è ripartita rapidamente grazie a ChromeOS Flex, convertendo 2000
computer in circa 48 ore.

C’è anche la questione ambientale, che di questi tempi è particolarmente
sensibile: poter continuare a usare un vecchio computer evita di mandarlo in
discarica e anche di comperarne uno nuovo. Si risparmiano soldi e si riduce la
spazzatura elettronica.

Se invece l’idea di dipendere completamente da Google e da una connessione a
Internet vi fa venire l’orticaria, lasciate perdere; provate con Linux e
sperate che il vostro computer sia correttamente supportato e ricordatevi di
fare gli aggiornamenti.

Fonti aggiuntive:
Ars Technica,
HWUpgrade,
Android Police,
The Register.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle
donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere
ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o
altri metodi.

Google rivela uno spyware governativo che fa vittime anche in Italia

2022-07-01
di Paolo Attivissimo
Google, malware, PodcastRSI, sorveglianza, spyware

Questo articolo è disponibile anche in
versione podcast audio.

È un po’ di tempo che si parla poco di spyware, ossia dei software che
permettono di tracciare o spiare una persona a sua insaputa. Google ha
pubblicato un
rapporto
del proprio gruppo di analisi delle minacce (Threat Analysis Group) che
fa il punto della situazione sulle aziende che fabbricano spyware e lo vendono
ad operatori sostenuti da vari governi. I ricercatori segnalano che sette
delle nove vulnerabilità più gravi, le cosiddette zero day, scoperte da loro nel 2021 sono state sviluppate da fornitori commerciali
e vendute a questi operatori governativi.

Una volta tanto si fanno i nomi e i cognomi e viene presentato un caso
specifico e molto vicino a noi: quello di RCS Labs, un rivenditore italiano al
quale gli esperti di Google attribuiscono queste capacità di sorveglianza
sofisticata, indicando di aver anche identificato
“vittime situate in Italia e in Kazakistan”.

Secondo il rapporto, gli attacchi di questo spyware iniziavano con un link
univoco che veniva inviato alla vittima. Se la vittima vi cliccava sopra,
veniva portata a una specifica pagina web, http://www.fb-techsupport[.]com,
che sembrava essere il Centro assistenza di Facebook e cercava di convincere
la vittima a scaricare e installare su Android o iOS un programma che si
spacciava per un software di ripristino dell’account sospeso su Whatsapp.

La pagina era scritta in ottimo italiano, e diceva di scaricare e installare,
“seguendo le indicazioni sullo schermo, l’applicazione per la verifica e il
ripristino del tuo account sospeso. Al termine della procedura riceverai un
SMS di conferma sblocco.”

Fin qui niente di speciale, tutto sommato: si tratta di una tecnica classica,
anche se eseguita molto bene. Ma i ricercatori di Google aggiungono un
dettaglio parecchio inquietante: secondo loro, in alcuni casi l’aggressore ha
lavorato insieme al fornitore di accesso Internet della vittima per
disabilitare la sua connettività cellulare. Una volta disabilitata,
l’aggressore mandava via SMS il link di invito a scaricare l’app che avrebbe,
a suo dire, riattivato la connettività cellulare.* Siamo insomma ben lontani
dal crimine organizzato: qui c’è di mezzo, almeno in alcuni casi, la
collaborazione degli operatori telefonici o dei fornitori di accesso a
Internet.

* Nel rapporto originale viene detto soltanto quanto segue:
“In some cases, we believe the actors worked with the target’s ISP to
disable the target’s mobile data connectivity. Once disabled, the attacker
would send a malicious link via SMS asking the target to install an
application to recover their data connectivity.”
Giustamente nei commenti qui sotto si osserva che se la connettività era
disabilitata, non si capisce come la vittima potesse connettersi a Internet
per scaricare l’app-trappola. Forse la connettività era solo limitata
parzialmente, in modo da non far funzionare Internet in generale ma lasciare
aperta la connessione verso il sito che ospitava il malware.

Per eludere le protezioni degli iPhone, che normalmente possono installare
soltanto app approvate e presenti nello store ufficiale di Apple, gli
aggressori usavano il metodo di installazione che si adopera per le app
proprietarie, quello descritto nelle apposite
pagine pubbliche
di Apple. Non solo: gli aggressori davano all’app un certificato di firma
digitale appartenente a una società approvata da Apple, la 3-1 Mobile Srl, per
cui l’app ostile veniva installata sull’iPhone senza alcuna resistenza da
parte delle protezioni Apple, e poi procedeva a estrarre file dal dispositivo,
per esempio il database di WhatsApp.

Per le vittime Android c’era una procedura più semplice: l’app ostile fingeva
di essere della Samsung e veniva installata chiedendo all’utente di abilitare
l’installazione da sorgenti sconosciute, cosa che fanno molti utenti Android.

Il sito degli aggressori non esiste più e gli aggiornamenti di iOS e di
Android hanno bloccato questo spyware, ma il problema di fondo rimane: come
dicono i ricercatori di Google, questi rivenditori di malware
“rendono possibile la proliferazione di strumenti di hacking pericolosi e
forniscono armi a governi che non sarebbero in grado di sviluppare queste
capacità internamente.”
I ricercatori aggiungono che
“Anche se l’uso delle tecnologie di sorveglianza può essere legale in base
a leggi nazionali o internazionali, queste tecnologie vengono spesso usate
dai governi per scopi che sono il contrario dei valori democratici: per
prendere di mira dissidenti, giornalisti, attivisti dei diritti umani e
politici di partiti d’opposizione.”

Ed è per questo che Google, anche se in questo caso si tratta chiaramente di
malware di tipo governativo, interviene e rende pubblici attacchi come questo.

Google Analytics, stop anche dal Garante italiano: quanti siti non sono in regola?

Anche il Garante Privacy italiano, dopo quello austriaco e francese, ha dichiarato che usare Google Analytics va contro la normativa europea GDPR perché raccoglie informazioni personali sui visitatori e le manda negli Stati Uniti (o comunque le rende disponibili alle aziende e alle autorità governative statunitensi perché è un’azienda statunitense, sia pure residente in UE), e gli USA non sono considerati un paese sicuro per la protezione dei dati per via della maggiore facilità di accesso per profilazione commerciale o di sorveglianza politica.

Il Garante ha già emesso un primo provvedimento che riguarda una Srl italiana. La questione è raccontata in dettaglio su Punto Informatico, che linka anche i dettagli del provvedimento.

I siti italiani non in regola sono tantissimi: migliaia già soltanto considerando quelli della pubblica amministrazione, che non si capisce perché debbano appoggiarsi a Google quando esiste un sistema di analytics nazionale e conforme alle norme di protezione dei dati personali (webanalytics.italia.it). Ne parla Matteo Flora in questo video, spiegando la tecnica usata da Fabio Pietrosanti per documentare la situazione:

Sempre Flora affronta la questione insieme a Guido Scorza, che è uno dei componenti del Garante italiano, e insieme a due avvocati, Gianluca Gilardi e Andrea Michinelli, che propongono alcune soluzioni (come Matomo o Piwik Pro, discussi nel secondo video da Gilardi intorno a 32 minuti).

Michinelli spiega ulteriori dettagli in questo articolo su Cybersecurity360.it.

Il problema è davvero grosso per moltissime aziende e per la pubblica amministrazione, che si troveranno presto costrette a una radicale ristrutturazione dei propri siti, e anche per i privati che gestiscono un sito ospitato da Google, come per esempio questo blog.

Sottolineo che non si tratta di una questione solo italiana: sono coinvolti tutti i garanti europei. Sottolineo inoltre che, come notano gli ospiti di Matteo Flora, non è neanche questione di dove stanno i server. Possono anche essere fisicamente nell’UE, ma se sono intestati a un’azienda statunitense sono comunque disponibili ai governi USA.

E questo blog come è messo? Ne ho parlato qui a maggio scorso. Da parte mia, come utente di Blogger (che è di Google), credo di aver fatto tutto il possibile per evitare l’uso di Google Analytics:

Ho verificato di aver disabilitato Google Analytics in questo blog e in tutti gli altri che gestisco, secondo l’invito e il comunicato del Garante Privacy italiano del 23 giugno 2022 e le sue linee guida del 10 giugno 2021. L’ho fatto andando nelle Impostazioni del blog, scegliendo la voce ID proprietà di Google Analytics, cliccandovi sopra e verificando che la voce era vuota (lo era probabilmente da parecchio tempo).
Ho inoltre disabilitato in tutti i blog che gestisco Google Marketing Platform, andando nelle Impostazioni del blog, scegliendo la voce Abilita file ads.txt personalizzato e disattivandola.

Se ci sono altre cose che posso fare per ridurre la profilazione fatta da terzi, ditemelo.

Sarebbe una magagna molto pesante se questo non bastasse e fosse necessario abbandonare completamente la piattaforma Google per questo blog e gli altri che gestisco.