Questo articolo è il testo del mio podcast settimanale La Rete in tre minuti su @RadioInblu, in onda ogni martedì alle 9:03 e alle 17:03. La puntata è ascoltabile qui.
Le intrusioni informatiche a scopo di estorsione non sono una novità. Mettono una password nota solo agli intrusi sui dati della vittima e poi chiedono soldi per rivelare questa password e quindi consentire alla vittima di riavere accesso ai propri dati. Tuttavia queste incursioni si evolvono col tempo, ed è importante conoscerne gli sviluppi in modo da poterli contrastare.
Normalmente un attacco di questo genere richiede che la vittima scarichi qualcosa, per esempio un documento o un’app. L’esempio tipico in ambito aziendale è la finta fattura in formato PDF o Word, ricevuta via mail come allegato, che contiene al suo interno istruzioni automatiche o macro che scaricano e installano il virus che mette la password sui dati. Difendersi è quindi relativamente facile: basta usare un antivirus aggiornato e bel un po’ di diffidenza e buon senso prima di aprire gli allegati.
Ma è da poco in circolazione un attacco che fa a meno di questo passo e riesce a bloccare i dati senza che la vittima debba scaricare o installare nulla. Questo rende molto più facile l’attacco, che si chiama NamPoHyu o MegaLocker e usa una tecnica ingegnosa: il programma che mette la password viene infatti eseguito sul computer degli aggressori, non su quello della vittima. È in sintesi un virus che agisce senza dover infettare.
Ma allora come fa a bloccare i dati della vittima? Il trucco è che gli aggressori che usano NamPoHyu approfittano del fatto che molti utenti sbagliano a impostare le proprie condivisioni dei dati e le lasciano accessibili a chiunque via Internet, per esempio perché vogliono usare un videogioco. Windows, in particolare, ha due condivisioni, C$ e ADMIN$, che vengono create automaticamente a ogni avvio. Queste condivisioni sono protette dalla password di amministratore. Se è una password ovvia, il criminale la può indovinare facilmente e così accedere da remoto ai dati della vittima e bloccarli in modo da poter poi chiedere un riscatto che solitamente varia fra 250 e 1000 dollari.
Per difendersi è quindi necessario non solo usare le precauzioni già viste, ma anche tenere sempre attive le protezioni informatiche standard, in particolare il firewall sul computer locale e sul router, senza mai disattivarle, neanche per prova o temporaneamente.
Sapere se si è vulnerabili a questo attacco a causa di condivisioni aperte verso Internet richiede un po’ di competenza informatica: bisogna infatti conoscere il proprio indirizzo IP pubblico e poi interrogarlo usando siti appositi, come Shodan.io. Nelle aziende medie e grandi, il responsabile della sicurezza informatica sa benissimo come procedere, ma tante piccole imprese non hanno queste competenze, e si vede: Shodan.io trova infatti oltre mezzo milione di computer vulnerabili a questa forma di intrusione in giro per il mondo.
Conviene quindi chiamare una persona esperta per un controllo periodico e fare una copia frequente dei propri dati, da tenere fisicamente scollegata da Internet e dai propri computer. Servirà come salvagente in caso di attacco andato a segno, consentendo di ripristinare i dati bloccati e di fare marameo all’aggressore.
Sembra la classica storia di paura a sfondo vacanziero: una famiglia neozelandese va lontano da casa, in Irlanda, e alloggia in un Airbnb. Ma il proprietario dell’Airbnb ha installato una telecamera nascosta e li spia. Come loro, ha probabilmente spiato tanti altri ospiti, catturando la loro intimità.
Questa storia è reale, ma ha una conclusione inattesa: il padre della famiglia, Andrew Barker, è un informatico e ha un notevole spirito d’osservazione. Si è accorto che una delle stanze dell’Airbnb è stranamente dotata di ben due rivelatori di fumo, e si è insospettito. Esaminandoli da vicino ha visto che uno era in realtà una telecamera di sorveglianza non dichiarata.
Il signor Barker ha coperto l’obiettivo della telecamera con un pezzo di carta igienica e poi ha usato un’app sul suo smartphone che si chiama Network Scanner per fare una scansione della rete Wi-Fi fornita dall’Airbnb, scoprendo che a quel Wi-Fi era proprio connessa una telecamera. Ne ha scoperto i dettagli tecnici con una ricerca in Google e così è riuscito ad accedere alle immagini raccolte dalla telecamera e acquisire le prove del fatto che il proprietario dell’Airbnb stava registrando immagini degli ospiti a loro insaputa.
Andrew Barker ha chiamato il proprietario e gli ha chiesto conto di quanto aveva scoperto. Il proprietario ha ammesso la presenza della telecamera solo quando è stato messo di fronte alle prove schiaccianti raccolte dall’informatico, che ha ovviamente cambiato subito alloggio.
Airbnb, contattata per informarla della situazione, che violava le sue regole, ci ha messo più di un mese a togliere dal proprio catalogo l’alloggio dello spione e nel frattempo ha continuato a inviarvi clienti, pur sapendo che c’era una telecamera sospetta, e ha rimborsato la famiglia neozelandese solo dopo che la notizia ha attirato l’attenzione dei media.
Questa vicenda ha risollevato le preoccupazioni di molti turisti; in effetti i controlli e le garanzie sulla sicurezza di queste offerte poco regolamentate sono molto minori rispetto a quelle di un albergo, anche se non sono mancati casi come quello di un motel di Seul, in Corea, presso il quale malintenzionati avevano installato telecamere nascoste per registrare in video le attività di ben 1600 ospiti e rivenderle ai guardoni, o quello di un albergo a Redcar, nel Regno Unito, dove una coppia ha scoperto una telecamera puntata sul letto e il proprietario è stato poi condannato per voyeurismo.
Sono casi rari, ma se temete questo genere di abuso la miglior difesa è scegliere alberghi di buona reputazione. Potete perlustrare la camera alla ricerca di oggetti insoliti collocati in posizioni che consentano di vedere zone particolarmente delicate, come il bagno o il letto. Qualunque telecamera, inoltre, deve avere un obiettivo visibile, anche se piccolissimo, che riflette la luce, per cui si può far buio nella stanza e usare la torcia del telefonino per fare una scansione alla ricerca di riflessi insoliti, anche dietro griglie. Se avete un dubbio, coprite gli oggetti sospetti: basta un pezzetto di carta. Poco informatico, ma molto pratico.
Questo articolo è il testo del mio podcast settimanale La Rete in tre minuti su @RadioInblu, in onda ogni martedì alle 9:03 e alle 17:03. Questa puntata può essere ascoltata qui su Radio InBlu.
C’è parecchio clamore intorno alla notizia della scoperta di Exodus, un gruppo di app Android spione, capaci fra l’altro di intercettare gli SMS, le password delle reti Wi-Fi, i messaggi Telegram e Skype, le foto, i file audio e video di WhatsApp e di registrare le telefonate e l’audio ambientale, trasmettendo il tutto a un centro di controllo e trasformando lo smartphone infettato in una cimice perfetta con tanto di localizzazione in tempo reale.
Secondo le indagini tecniche svolte dal gruppo di ricercatori indipendenti Security Without Borders, le app della famiglia Exodus sono state realizzate da un’azienda calabrese che ha rapporti con le forze dell’ordine italiane e sono state disseminate tramite il negozio ufficiale delle app Android, ossia Google Play, senza che Google si accorgesse della loro pericolosità per ben due anni. Queste app venivano spacciate per strumenti per migliorare la gestione dello smartphone.
I dati resi pubblici fin qui indicano che queste app spia erano concepite come spyware di stato, ossia app che venivano installate con l’inganno sugli smartphone delle persone sorvegliate dalle forze di polizia, ma che per motivi ancora non chiari sono state installate anche su almeno un migliaio di altri smartphone italiani.
La scoperta ha comprensibilmente creato una certa inquietudine: è davvero così facile prendere il controllo completo di uno smartphone? E se app come queste sono ospitate da Google Play, che reali garanzie di sicurezza offre questo servizio di Google? I ricercatori di Security Without Borders hanno scoperto questo spyware, ma quanti altri ce ne sono che non sono stati ancora smascherati e risiedono impunemente in Google Play, magari travestiti da giochini?
Fortunatamente difendersi è abbastanza facile. Il primo passo è non installare app offerte da aziende sconosciute. In questo caso, per esempio, in Google Play le app Exodus erano presentate come un prodotto della sconosciutissima MobileWork Srl. Il secondo passo è evitare le app che promettono di avere vantaggi o guadagni in maniera anormale, come per esempio monete gratuite nei giochi che normalmente sarebbero a pagamento.
La prima linea di difesa è la prevenzione basata sul buon senso. Così come non facciamo entrare sconosciuti in casa, non bisogna far entrare nello smartphone app ignote.
Anche la tecnologia ci può dare una mano: ci sono molti antivirus per smartphone Android, realizzati dalle principali marche note del settore, che si accorgono dei comportamenti anomali nascosti delle app-spia e bloccano la loro installazione o ne impediscono l’azione. Conviene quindi installare preventivamente uno di questi antivirus su qualunque dispositivo Android.
In altre parole, sì, è facile usare il nostro smartphone come strumento per compiere intercettazioni, ma lo è soltanto se adoperiamo questo dispositivo in maniera disattenta e imprudente. Ed è vero che i controlli di Google Play non sono sufficienti da soli a garantirci, per cui dobbiamo difenderci adottando comportamenti cauti e protezioni informatiche. Dallo smartphone passa ormai quasi tutta la nostra vita: lavoro, affetti, confidenze. È il nostro maggiordomo digitale: trattiamolo con il rispetto che merita.
Questo articolo è il testo del mio podcast settimanale La Rete in tre minuti su @RadioInblu, in onda ogni martedì alle 9:03 e alle 17:03. L’audio del podcast è ascoltabile in streaming qui.
Ve lo ricordate il Millennium Bug? Vent’anni fa molti computer e dispositivi elettronici non erano pronti al passaggio dal 1999 al 2000 perché gestivano gli anni usando soltanto le ultime due cifre e quindi andavano in crisi sui calcoli delle date, e così fu lanciata una forte campagna d’allarme mediatico per segnalare il rischio di malfunzionamenti generalizzati.
A mezzanotte del 31 dicembre 1999, però, i guasti seri furono davvero pochi. Oggi è diffusa la credenza che quell’allarme fosse quindi infondato, ma chi lavorava nel settore informatico a quell’epoca sa invece benissimo che i disagi furono modesti proprio perché furono investite grandi somme, e spese tante ore insonni, per aggiornare, correggere e se necessario sostituire i tanti programmi e componenti elettronici inadeguati.
Pochi giorni fa si è ripresentato un altro tipo di “Millennium Bug”: in realtà il millennio non c’entra, ma è comunque coinvolta la gestione delle date e soprattutto è coinvolto un sistema vitale e usatissimo come il GPS, quello che consente per esempio ai nostri navigatori portatili, tablet e smartphone e a mille altri dispositivi di sapere dove si trovano con estrema precisione. In sintesi, un dispositivo non aggiornato rischiava di dare informazioni di posizione completamente sbagliate.
Il sistema GPS, infatti, si basa su satelliti collocati nello spazio intorno alla Terra, che trasmettono un segnale che comunica la loro posizione e l’ora esatta. I ricevitori GPS, incorporati per esempio nei telefonini, ricevono questo segnale e, se hanno dati provenienti da almeno tre satelliti, li usano per calcolare la propria posizione.
Purtroppo, però, lo standard GPS è molto lento: trasmette circa 50 bit al secondo, ossia circa sei caratteri. Questo vuol dire che le informazioni vanno trasmesse nella forma più concisa possibile e quindi invece di comunicare la data nella forma classica si usa una forma abbreviata che gestisce un massimo di 1024 settimane, cioè poco meno di vent’anni.
Il 21 agosto 1999 il sistema GPS arrivò per la prima volta alla fine delle sue 1024 settimane, che erano iniziate a gennaio 1980, e quindi i ricevitori GPS non aggiornati credettero di trovarsi improvvisamente nella settimana zero, ossia di nuovo nel 1980.
Il 6 aprile scorso le 1024 settimane sono finite di nuovo, essendo passati altri vent’anni, e quindi il problema si è ripresentato, stavolta in un’era nella quale i dispositivi che si affidano al GPS per sapere dove si trovano e qual è l’ora esatta sono innumerevoli. I nostri smartphone e navigatori sono stati aggiornati automaticamente dai fabbricanti o dai produttori di software, ma non è andata così bene dappertutto. Si sospetta che i problemi di funzionamento della TV digitale terrestre del 7 aprile scorso siano stati causati proprio dal mancato aggiornamento dei GPS usati dai trasmettitori delle emittenti per sincronizzarsi.
Ma in Cina è andata peggio: molti modernissimi aerei di linea Boeing 787 sono infatti rimasti a terra perché i loro sistemi di bordo dicevano che era il 22 agosto 1999. Insomma, gli aggiornamenti sono una cosa seria. Facciamoli.
2019/04/11: Il New York Times segnala che a New York il mancato aggiornamento dei sistemi GPS usati come riferimento temporale ha mandato in tilt la rete NYCWiN usata dall’amministrazione e dalla polizia della città per le comunicazioni. La rete è costata 500 milioni di dollari e New York paga 40 milioni di dollari l’anno per il suo uso e la sua manutenzione.
Questo articolo è il testo del mio podcast settimanale La Rete in tre minuti su @RadioInblu, in onda ogni martedì alle 9:03 e alle 17:03. Questa puntata può essere ascoltata qui.
Domanda a bruciapelo: dove sono le vostre foto di famiglia? Ne avete una copia di scorta, o fate quello che fanno quasi tutti, ossia avete quelle vecchie ammassate in una scatola da qualche parte in casa e quelle recenti nello smartphone? Non per menare gramo, ma avete già pensato cosa fareste se vi si guastasse lo smartphone o lo perdeste? Riuscireste a recuperare tutti i vostri ricordi digitali? Pensateci un momento.
Ormai è diventato normale affidarsi al cloud, ossia all’archiviazione dei propri dati presso un fornitore di servizi, sia per lavoro sia nella sfera privata. Gli smartphone archiviano quasi sempre automaticamente una copia dei dati presso i cloud di Google, se avete un telefonino Android, o di Apple, se avete uno smartphone di questa marca. Ma è importante ricordarsi una regola fondamentale: il cloud è il computer di qualcun altro. E quel qualcun altro non sempre ha a cuore i vostri ricordi più cari quanto li avete voi.
Lo hanno scoperto di recente, con amarezza, gli utenti di MySpace. Per chi non se lo ricorda, MySpace, nato nel 2003, era diventato il social network più popolare nella seconda metà degli anni duemila. Nel 2006 era addirittura più visitato di Google. Aveva centinaia di milioni di utenti e tantissime funzioni all’epoca innovative, come il caricamento di canzoni, e permetteva di elencare ben otto amici speciali nel proprio profilo. Nel 2009 fu travolto, come tanti altri, da Facebook.
Ma MySpace esiste ancora, anche se è quasi dimenticato, e milioni di persone vi hanno depositato i propri dati per anni. Foto, pensieri, ricordi, musica. Sembravano al sicuro, nel cloud. Finché un bel giorno, quei “computer di qualcun altro” hanno avuto un problema. Pochi giorni fa MySpace ha annunciato che a causa di un aggiornamento tecnico non riuscito ha perso irrimediabilmente tutte le foto, i video e i file audio caricati dagli utenti fino al 2015. Dodici anni di dati. Si stima che solo le canzoni perdute siano circa cinquanta milioni.
MySpace ha chiesto scusa per il disagio, come si dice sempre in questi casi, e ha consigliato agli utenti di ricorrere alle copie di scorta personali per recuperare i propri dati. La cosa suona parecchio ironica, visto che a quanto pare MySpace non aveva pensato di approntare una copia di scorta dei dati dei clienti prima di imbarcarsi nell’aggiornamento poi fallito.
La vicenda ha messo in luce uno dei limiti del cloud: certo, è meglio di niente, e ci sono fornitori di servizi cloud estremamente professionali e affidabili, ma alla fine se depositiamo i nostri dati nel computer di qualcun altro quei dati dipendono dalla competenza e dalle decisioni di quel qualcun altro.
Il consiglio degli esperti è quindi di usare il cloud come deposito facilmente accessibile, ma di avere comunque una copia personale, locale, dei propri dati. Spesso è sufficiente un buon disco rigido, scollegato da Internet, al sicuro da aggiornamenti tecnici mal riusciti e da eventuali virus e attacchi informatici. Magari protetto da una password e depositato a casa di un amico fidato. Pensateci.
2019/03/26 20:20. Cracked.com segnala che questa non è la prima purga drastica dei contenuti di Myspace: una perdita analoga di dati era già avvenuta nel 2013.
Questo articolo è il testo del mio podcast settimanale La Rete in tre minuti su @RadioInblu, in onda ogni martedì alle 9:03 e alle 17:03.
In risposta all’attentato terroristico che ha ucciso decine di persone inermi in due moschee di Christchurch, in Nuova Zelanda, Facebook ha annunciato di aver rimosso circa un milione e mezzo di copie del video trasmesso sul social network in diretta dal terrorista durante l’attacco e di averne bloccate un milione e duecentomila già all’istante del caricamento.
Sono cifre che possono sembrare un successo, ma in realtà rivelano che ben trecentomila copie del video non sono state bloccate preventivamente e sono finite online.
E non va dimenticato che sono stati proprio i social network (non solo Facebook ma anche Youtube) a rendere possibile una diffusione così enorme, mettendo a disposizione di chiunque, gratuitamente, la possibilità di pubblicare qualunque video in diretta e di disseminarlo a milioni di persone, senza pensare agli abusi orrendi ai quali si presta questa possibilità. E sono loro a guadagnare miliardi sulla condivisione di video senza però destinare una parte significativa di quei miliardi alla moderazione efficace dei contenuti di quei video.
Infatti pare contraddittorio che Youtube sia capace di bloccare prontamente un video di una festa di compleanno perché ha in sottofondo una canzone vincolata dal diritto d’autore ma non sia capace di fare altrettanto con un video di terrorismo, il cui audio ha delle caratteristiche altrettanto ben riconoscibili.
Sembra assurdo che i social network, così abili nel profilare tutti i nostri gusti, orientamenti e consumi, non siano capaci di rilevare i deliri di un aspirante terrorista che li sbandiera con tanto di foto.
E pare incredibile che i grandi social network non abbiano le risorse per bloccare seriamente almeno gli hashtag e le parole chiave più ovvie che promuovono l’ideologia e il video dell’attentatore di Christchurch, che infatti continuano a circolare usando lingue e alfabeti diversi dall’inglese. I social network hanno una copertura planetaria, ma a volte sembrano pensare che il mondo finisca ai confini della California.
Certo, filtrare senza eccedere e prestarsi a censure è un problema tecnicamente complesso. Per questo le carenze dei filtri automatici vengono da sempre compensate usando moderatori in carne e ossa. Ma questi moderatori costano e riducono i profitti, per cui i social network non hanno alcun incentivo ad assumerli. Costa meno fare le condoglianze, dire che si sta lavorando per migliorare e fare qualche gesto di facciata, invece di rendersi conto che è il concetto stesso di dare a tutti il potere di pubblicare video in tempo reale a incoraggiare orrori come quello di Christchurch.
Da queste considerazioni è nata una proposta tecnica interessante: eliminare le dirette di massa e introdurre un ritardo di un’oretta prima che qualunque video non giornalistico diventi pubblico. Questo darebbe ai filtri e ai moderatori il tempo di valutarlo ed eventualmente bloccarlo. Il disagio di dover aspettare un pochino prima di poter mostrare a tutti le prodezze del proprio bambino o gattino sarebbe compensato dal fatto che nessun terrorista potrebbe più avere la garanzia che i suoi video di morte finiscano online. Vediamo se i social network avranno il coraggio di provare questa strada.
Quest’anno il Web compirà trent’anni. L’invenzione di Tim Berners-Lee e di Robert Cailliau risale infatti al 1989. Non fu subito un successo travolgente: la proposta originale di Berners-Lee, che all’epoca lavorava al CERN di Ginevra, fu valutata dal suo capo, Mike Sendall, con tre sole parole: “vaga ma stimolante”.
L’idea era semplice e pratica: collegare tra loro i tanti documenti che popolavano l’Internet di allora, che era principalmente dedicata alla comunicazione scientifica, e permettere agli utenti di consultare questi documenti più rapidamente cliccando su una parola sullo schermo invece di dover digitare manualmente un indirizzo complicato ogni volta.
Nel 1990 Berners-Lee creò quindi un programma per sfogliare rapidamente questa ragnatela interconnessa di documenti sparsi per il mondo: fu il primo browser, antenato degli attuali Firefox, Chrome, Safari o Edge. Creò anche il programma che forniva i documenti al browser: quello che oggi chiamiamo il server Web. Cailliau, da parte sua, creò il primo browser per Mac e progettò il logo del Web: tre lettere W sovrapposte e sfalsate, che erano le iniziali di World Wide Web, ossia “ragnatela mondiale”. È per questo che ancora oggi gli indirizzi di molti siti cominciano con “www”.
Il resto, come si suol dire, è storia. L’uso di Internet e in particolare del Web esplose e nel giro di pochi anni divenne un motore economico formidabile, trasformando completamente le telecomunicazioni.
L’Internet primitiva di allora era molto differente da quella di oggi: se vi interessa rivederla, andate a worldwideweb.cern.ch e cliccate sul pulsante azzurro. Si avvierà una replica moderna di quel primo browser creato da Berners-Lee, realizzata di recente proprio per commemorare il trentennale.
Noterete subito che è tutto in bianco e nero e non ci sono immagini. All’epoca erano pochissimi i computer in grado di mostrare grafica e colori e le connessioni erano lente, per cui si andava al sodo: c’era solo testo, e nel testo mancavano quasi tutte le lettere accentate. La prima immagine fotografica comparve sul Web solo nel 1992: era una foto promozionale di una band musicale semiseria, amica di Berners-Lee. Per contro, non c’erano invadenti animazioni pubblicitarie.
In questa replica del primissimo browser manca anche l’ormai consueta casella degli indirizzi: per visitare un sito bisognava cliccare su un menu per farla comparire. L’altra grande differenza è che bisognava fare doppio clic sui link invece di cliccare una sola volta come si fa oggi. La ragione di questa differenza è importante: un clic singolo, infatti, permetteva di modificare le pagine Web di cui si era proprietari e di crearne delle nuove. Il nonno di tutti i browser, insomma, non serviva solo a consultare passivamente, come oggi, ma era anche uno strumento per creare contenuti.
Ovviamente molte pagine dei siti di oggi, concepite per i browser moderni, sono quasi illeggibili, ma è interessante e utile poter vedere quanta strada è stata fatta da quegli inizi “vaghi ma stimolanti” e quante cose dell’Internet attuale consideriamo scontate e invece sono frutto di tanto lavoro oggi dimenticato ma decisamente da riscoprire.
Note
La procedura per aprire un sito con il browser ricostruito di Berners-Lee è Document – Open from full document reference. Ricordatevi di digitare http:// prima del nome del sito.
In informatica, e soprattutto nella sicurezza informatica, ci sono due regole non scritte ma fondamentali. La prima è che la parola “smart”, anche se letteralmente significa “intelligente”, deve essere capita come sinonimo di “vulnerabile”. Far diventare “smart” un oggetto lo fa diventare attaccabile. Un orologio normale non è un rischio di sicurezza: un orologio “smart”, invece, contiene dati e connessioni usabili per esempio per localizzare una persona o sapere quando è sveglia o dorme o è in intimità. I battiti del cuore e i movimenti, registrati da questi dispositivi, sanno essere molto rivelatori.
La seconda regola è che non bisogna mai vantarsi che il proprio prodotto sia “inattaccabile” o “a prova di hacker”, perché farlo è un invito a nozze per qualunque appassionato esperto che abbia voglia di divertirsi a saggiare questa presunta invulnerabilità e far fare al produttore una pessima figura pubblica.
Indovinate cos’è successo quando due aziende che vendono antifurto per auto hanno deciso di violare entrambe queste regole, introducendo un antifurto “smart” e vantandosi che era “a prova di hacker”. I ricercatori si sono scatenati e hanno dimostrato in pochissimo tempo che questi antifurto erano attaccabilissimi e anzi rendevano meno sicura l’auto rispetto agli antifurto non “smart”.
Questi antifurto, distribuiti sotto vari marchi, sono comandabili tramite smartphone e via Internet. Idea interessante, ma realizzata talmente male che tutto quello che doveva fare un aggressore era inviare un indirizzo di mail differente da quello del proprietario nei parametri passati al sito di gestione degli antifurto. Questo gli faceva ricevere un codice di reset o reimpostazione dell’account dell’antifurto e gli permetteva di prendere il controllo di questo account.
Fatto questo, poteva localizzare l’auto tramite GPS, sapere di che marca e modello si tratta (per non perdere tempo con auto che valgono poco), aprirne le serrature e persino avviarne il motore. In uno dei modelli di antifurto “smart” era anche possibile attivare i microfoni di bordo e ascoltare le conversazioni delle persone presenti nell’auto.
Un video dimostrativo, realizzato dalla società di sicurezza Pen Test Partners, mostra tutto questo e aggiunge una chicca finale: l’aggressore fa scattare l’allarme di un’auto in movimento, disorientando il conducente, che accosta, e poi gli spegne il motore, immobilizzando l’auto. Uno scenario perfetto per un’aggressione fisica.
Ma per fortuna il video è realizzato in condizioni controllate e la vittima è un collega consenziente degli esperti di sicurezza, che oltretutto si sono comportati responsabilmente e hanno già provveduto ad allertare con discrezione i fabbricanti, che hanno corretto la falla.
La morale di questa storia è chiara ma frequentemente trascurata: nella corsa verso soluzioni “smart”, che fanno sembrare all’avanguardia un prodotto, ci si dimentica spesso che la sicurezza non si ottiene a colpi di slogan e che ogni funzione in più è un appiglio in più per un aggressore. Conviene quindi adottare soluzioni semplici, con meno effetti speciali e più sostanza reale, e tenere d’occhio le recensioni degli esperti prima di fare qualunque acquisto digitale.
Il podcast di questo articolo sarà disponibile nella mia rubrica settimanale La Rete in tre minuti su Radio Inblu.
YouTube è di nuovo nei guai. Pochi giorni fa è stato denunciato il problema dei video correlati di YouTube, che spingono le persone verso i complottismi più esasperati, e ora è emerso che su YouTube c’è anche un mercato di video che mostrano bambini mentre giocano a Twister, fanno ginnastica o stretching oppure giocano in piscina. Video che non contengono nulla di scabroso ma che sono stati visti centinaia di migliaia di volte, e in alcuni casi milioni di volte. E soprattutto ospitano centinaia di commenti raccapriccianti, nei quali gli utenti si scambiano le proprie coordinate, segnalano le inquadrature più particolari e offrono link a immagini di violenza su minori.
La scoperta è frutto di un creatore di video di YouTube, Matt Watson, ed è stata confermata da altri ricercatori. Cosa ancora peggiore, Watson ha documentato che quando qualcuno guarda uno di questi video il sistema automatico di YouTube gliene trova e raccomanda altri dello stesso genere.
E di video così ce ne sono tanti, perché chi li crea guadagna ogni volta che qualcuno li guarda, grazie alle pubblicità inserite nei video e pagate dalle grandi marche, per cui c’è anche un incentivo economico a produrre e pubblicare altri video dello stesso tipo. E video così fanno anche i bambini stessi per gioco, spesso di nascosto dai genitori, senza chiedersi chi li guarderà e con quali pensieri li guarderà.
Molti inserzionisti, allertati dalla segnalazione fatta pubblicamente da Matt Watson, si sono affrettati a togliere le proprie pubblicità da YouTube. Nomi come Epic Games, Disney, Nestlé hanno sospeso le inserzioni.
YouTube, toccata sul vivo, cioè nel fatturato, ha risposto condannando il comportamento di questi commentatori ed eliminando oltre 400 canali YouTube a causa dei commenti lasciati nei video. L’azienda, che è di proprietà di Google, ha inoltre disattivato i commenti in moltissimi video che raffigurano bambini, ha rimosso milioni di commenti inaccettabili e ha anche adottato la regola di non abilitare le pubblicità nei video di minori che potrebbero attirare commenti di predatori, togliendo quindi perlomeno l’incentivo economico ai produttori di questi video.
Tutto questo dovrebbe placare l’irritazione degli inserzionisti, che non vogliono che le loro pubblicità siano accostate a questi video e a questi commenti. Ma trovare con precisione i commenti morbosi senza fare censure eccessive non è facile, anche perché i commentatori scrivono in tante lingue differenti.
Un rimedio parziale è fare completamente a meno dei commenti oppure impostarli in modo da doverli approvare uno per uno, affinché non diventino un vortice caotico nel quale vengono incoraggiati e resi più visibili solo i pensieri più stupidi e più offensivi. Moltisiti l’hanno già fatto, con ottimi risultati.
La prossima volta che pubblicate un video su YouTube, provate dunque anche voi a disabilitare la possibilità di fare commenti o ad attivare la moderazione preventiva, e spiegate il problema anche ai vostri figli, per aiutarli a evitare bullismi e lusinghe di sconosciuti. Già questo, di solito, fa migliorare moltissimo la qualità dei commenti e tiene a bada i malintenzionati.
Questo articolo è ascoltabile in versione audio da 3 minuti qui su Radio Inblu.
È scoppiato un certopandemonio nel mondo dell’intelligenza artificiale: OpenAI, un ente di ricerca senza scopo di lucro finanziato anche da Elon Musk, ha annunciato di aver creato GPT-2, un programma d’intelligenza artificiale che è così sofisticato e potente che l’ente ha deciso di non rendere pubbliche tutte le proprie ricerche e di mostrarne solo alcuni risultati a giornalisti selezionati. GPT-2, dicono, sarebbe troppo pericoloso.
Se state immaginando robot assassini o cose del genere, niente panico: GPT-2 è incorporeo e non è ostile. È solo un generatore di testi molto sofisticato. Se gli si danno in pasto alcuni paragrafi di testo su qualunque argomento, è capace di proseguire con quel tema all’infinito, in modo coerente non solo a livello linguistico ma anche a livello concettuale.
Inizio (digitato da un essere umano):In a shocking finding, scientist discovered a herd of unicorns living in a remote, previously unexplored valley, in the Andes Mountains. Even more surprising to the researchers was the fact that the unicorns spoke perfect English.
Seguito, generato da GPT-2:The scientist named the population, after their distinctive horn, Ovid’s Unicorn. These four-horned, silver-white unicorns were previously unknown to science.
Now, after almost two centuries, the mystery of what sparked this odd phenomenon is finally solved.
Dr. Jorge Pérez, an evolutionary biologist from the University of La Paz, and several companions, were exploring the Andes Mountains when they found a small valley, with no other animals or humans. Pérez noticed that the valley had what appeared to be a natural fountain, surrounded by two peaks of rock and silver snow.
Pérez and the others then ventured further into the valley. “By the time we reached the top of one peak, the water looked blue, with some crystals on top,” said Pérez.
Pérez and his friends were astonished to see the unicorn herd. These creatures could be seen from the air without having to move too much to see them – they were so close they could touch their horns.
While examining these bizarre creatures the scientists discovered that the creatures also spoke some fairly regular English. Pérez stated, “We can see, for example, that they have a common ‘language,’ something like a dialect or dialectic.”
Dr. Pérez believes that the unicorns may have originated in Argentina, where the animals were believed to be descendants of a lost race of people who lived there before the arrival of humans in those parts of South America.
While their origins are still unclear, some believe that perhaps the creatures were created when a human and a unicorn met each other in a time before human civilization. According to Pérez, “In South America, such incidents seem to be quite common.”
However, Pérez also pointed out that it is likely that the only way of knowing for sure if unicorns are indeed the descendants of a lost alien race is through DNA. “But they seem to be able to communicate in English quite well, which I believe is a sign of evolution, or at least a change in social organization,” said the scientist.
Non è il primo generatore di testi del suo genere, ma è il primo che li genera con una qualità paragonabile a quella di un essere umano. Se gli si chiede di scrivere un articolo di giornale, GPT-2 si inventa anche cifre e statistiche e persino citazioni virgolettate di persone pertinenti all’argomento. Vederlo in azione crea un immediato senso di inquietudine in chiunque debba scrivere testi per lavoro o per studio, dal giornalista all’addetto ai comunicati stampa allo studente a corto di idee per un tema.
Inizio (digitato da un essere umano):Hillary Clinton and George Soros…
Seguito, generato da GPT-2:…are a perfect match, and their agenda appears to be to create a political movement where Soros and his political machine and Clinton are two of the only major players. This is the first time Soros and Clinton have been caught on tape directly colluding in promoting the same false narrative. One of the key revelations in the leaked audio was Clinton’s admission to a Russian banker that she knew about the Uranium One deal before it was approved by Congress. Clinton was shown sharing the same talking points that were originally drafted by a Fusion GPS contractor hired by an anti-Trump Republican donor. The leaked audio is the clearest evidence yet that the Clinton campaign and the Hillary Foundation colluded with Fusion GPS to manufacture propaganda against President Trump.
Inizio di un articolo del Guardian (digitato da un essere umano):The creators of a revolutionary AI system that can write news stories and works of fiction – dubbed “deepfakes for text” – have taken the unusual step of not releasing their research publicly, for fear of potential misuse. OpenAI, an nonprofit research company backed by Elon Musk, Reid Hoffman, Sam Altman, and others, says its new AI model, called GPT2 is so good and the risk of malicious use so high that it is breaking from its normal practice of releasing the full research to the public in order to allow more time to discuss the ramifications of the technological breakthrough.
Seguito, generato da GPT-2:The first thing that strikes you about GPT2 is its simplicity. First, the system is built on unsupervised learning from text, which essentially means the software is trained to spot instances of certain words that, when paired with other words, trigger the system to give it a human review of them. The system also learns through example and repetition, but does not have the capability to recognize itself.
This new, artificial intelligence approach could revolutionize machine learning by making it a far more effective tool to teach machines about the workings of the language. Deep-learning systems currently only have the ability to learn something specific; a particular sentence, set of words or even a word or phrase; or what certain types of input (for example, how words are written on a paper) cause certain behaviors on computer screens.
GPT2 learns by absorbing words and sentences like food does at a restaurant, said DeepFakes’ lead researcher Chris Nicholson, and then the system has to take the text and analyze it to find more meaning and meaning by the next layer of training. Instead of learning about words by themselves, the system learns by understanding word combinations, a technique researchers can then apply to the system’s work to teach its own language.
Once the system is fully ready, DeepFakes plan to make the software openly available for machine learning researchers.
DeepFakes’ research was supported by a $400,000 grant from the OpenAI Prize competition, which aims to boost the capabilities and diversity of autonomous systems that are safe to release to the public. OpenAI is a nonprofit dedicated to building and promoting open source AI systems, or as Nicholson aptly puts it, the “last, best hope for humanity to be safe and secure on Earth.”
DeepFakes’ team consists of 15 researchers in 12 departments working together to make GPT2, which was the result of two years of work. However, the team is not releasing the code for the system — a fact that might be surprising to some if they’re not familiar with how machine learning works — because GPT2 is so powerful, Nicholson explains.
He explained: “All of our AI systems must work together to make decisions that are more accurate and useful, but one of the problems we’ve encountered lately is not knowing how to trust a system at all, especially when it is working in such a large, complex system. When a system performs its normal function, it tends to make errors because of an unforeseen problem at the deeper level of the system.”
The team hopes that the software can create AI systems that are both safe and also highly useful in some way, but ultimately they’re excited about what they’ve built. Because of its ability to understand the human language, GPT2 is able to understand how to make some of the most important changes to the world in the years to come.
Nicholson explains: “GPT2 is the kind of system that we really need to build because we’ve built a society based entirely on humans creating information and then humans interpreting that information.”
È proprio per questo motivo, dicono i ricercatori di OpenAI, che è stata pubblicata solo in parte la ricetta per creare GPT-2, anche se secondo alcuni commentatori esperti la decisione è motivata anche dall’intento di farsi pubblicità e sarebbe stato più corretto condividere questa ricetta con altri ricercatori per farla criticare da esperti invece di stupire i giornalisti e creare allarme.
Comunque sia, è abbastanza chiaro che presto saranno disponibili generatori di testi artificiali quasi impossibili da distinguere da quelli scritti da esseri umani, e vale la pena di chiedersi quali potrebbero essere le conseguenze. I grandi autori di prosa non hanno di che preoccuparsi, ma diventerà facilissimo, per esempio, inondare Internet di testi sintetici.
Da un lato questo permetterebbe alle persone di dedicarsi a scritture più creative invece di sfornare articoli o temi scritti a macchinetta. Ma immaginate Facebook, Tripadvisor o Amazon invasi da commenti e recensioni scritti da sistemi automatici, tutti assolutamente inventati, per screditare un interlocutore o un concorrente: il danno di credibilità sarebbe enorme.
Inizio recensione (digitato da un essere umano): I hate Tom Simonite’s book.
Seguito, generato da GPT-2:Tom Simonite does not keep it simple. He doesn’t give you enough info on a subject to make the reading of the book enjoyable. He has over 400 pages of footnotes, so that is a way of getting your work for a subject out of the way. And of course, you never really feel like the author has a clear vision of his subject. He does not give you enough details on how a group of people is going to come together to solve a problem or come about a solution to a problem. This book was so depressing to me, I can’t even talk about it without feeling like I want to punch the kindle.
Fabbricare notizie false e diffonderle in mille varianti, per sfuggire ai filtri anti-fake news, sarebbe questione di pochi clic. Creare interi siti e giornali online (e magari anche cartacei) ricolmi di storie mai accadute e di dichiarazioni mai fatte avrebbe costi bassissimi e sommergerebbe in poco tempo i contenuti reali.
In altre parole, se l’intelligenza artificiale continua a evolversi in questo modo, distinguere il vero dal falso in Rete sarà ancora più difficile di quanto lo sia già adesso. È meglio saperlo e prepararsi, per evitare di trovarsi a parlare online con programmi invece che con persone. E magari per riscoprire l’autenticità di una bella conversazione fatta faccia a faccia.
