Vai al contenuto
Youtube iperamplifica il complottismo, promette che smetterà

Youtube iperamplifica il complottismo, promette che smetterà

Dietro il boom dei complottismi c’è, almeno in parte, l’intelligenza artificiale. Se guardate su Youtube un video dedicato a un certo argomento, il sistema di intelligenza artificiale di Youtube vi propone altri video dello stesso genere, e così via, in un crescendo iperpersonalizzato per ogni utente che ha un solo scopo: massimizzare il tempo che trascorrete su Youtube, perché più ne passate, più vedete pubblicità e più Google (proprietaria di Youtube) incassa.

L’idea in sé sembra ragionevole ed è la chiave del successo economico di Youtube. Ma ha una conseguenza inattesa: quest’intelligenza artificiale viene man mano alterata dagli utenti stessi.

Lo spiega bene Guillaume Chaslot, un ex dipendente di Youtube che ha contribuito allo sviluppo del sistema automatico di raccomandazione dei video. Chi passa tantissimo tempo su Youtube influenza fortemente quali video vengono suggeriti anche agli altri utenti. I video visti da questi grandi consumatori diventano ultrapopolari, e quindi i creatori di video ne producono altri dello stesso stampo per ottenere popolarità e incassi. Così gli altri utenti passano ancora più tempo a guardare quei tipi di video, diventando a loro volta grandi consumatori, che influenzano i suggerimenti per gli altri, e così via.

Questo può sembrare innocuo se i video sono quelli di Peppa Pig: Youtube proporrà altri cartoni animati analoghi. Ma quando i video consigliati parlano della Terra piatta, degli alieni che rapiscono le persone o dei vaccini come complotto delle multinazionali, allora nasce un problema. Un paio di anni fa Chaslot si è accorto che l’intelligenza artificiale di Youtube raccomandava i video che sostenevano le tesi di complotto molto più di quelli che raccontavano i fatti.

Per esempio, i video dei terrapiattisti venivano promossi circa dieci volte più di quelli che spiegano che la Terra è sferica, generando una visibilità stratosferica per queste idee distorte, e il canale ufologico Secureteam10 aveva raccolto mezzo miliardo di visualizzazioni di video falsi o ingannevoli, pieni di accuse di cospirazioni governative.

Chi entra nella spirale del complottismo, magari solo per curiosità, viene insomma bombardato da video che rinforzano questa visione deformata del mondo, mentre i video che potrebbero levargli i dubbi gli vengono nascosti. Questo crea l’impressione che una tesi di complotto sia molto più diffusa e credibile di quanto lo sia in realtà e può esasperare situazioni personali labili. Chaslot cita il caso di Buckey Wolfe, un uomo di Seattle che si è convinto che suo fratello era un uomo lucertola e lo ha ucciso. Il canale Youtube preferito di Wolfe era Secureteam10, e gli altri erano tutti dello stesso genere.

È impossibile stabilire quanto abbia avuto peso l’intelligenza artificiale di Youtube nel rinforzare il disagio mentale di Buckey Wolfe, ma di certo non ha aiutato, e tutti conosciamo qualcuno che si è fatto sedurre dal cospirazionismo grazie ai video. Pochi giorni fa Youtube ha annunciato che cambierà le proprie regole di raccomandazione di contenuti per non promuovere la disinformazione. È un buon inizio, ma sta a noi essere consapevoli di questi meccanismi di manipolazione.

Approfondimenti

Aggiungo qui alcune informazioni che per motivi di lunghezza non ho potuto includere nel testo pubblicato qui sopra, che ho preparato per la mia rubrica settimanale La Rete in tre minuti di Radio Inblu.

Chi volesse provare ad azzerare la personalizzazione delle raccomandazioni di Youtube può esplorare la propria cronologia presso https://www.youtube.com/feed/history/search_history e cliccare su Cancella tutta la cronologia delle ricerche e su cancella tutta la cronologia visualizzazioni, oppure prendere l’abitudine di usare Youtube in una finestra di navigazione privata.

Qui sotto potete guardare un video (ironicamente ospitato da Youtube) che illustra in inglese le osservazioni di Chaslot su Youtube.

E quella che segue è la spiegazione via Twitter di Chaslot che ha ispirato questo mio articolo: include la triste esperienza personale del ricercatore con un conoscente caduto nella spirale del complottismo e molti altri dettagli importanti, come l’organizzazione Algotransparency.org fondata da Chaslot per incoraggiare la trasparenza sugli algoritmi di AI.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Falla di FaceTime permetteva di ascoltare attraverso gli iPhone, iPad e Mac altrui

Falla di FaceTime permetteva di ascoltare attraverso gli iPhone, iPad e Mac altrui

Ultimo aggiornamento: 2019/02/08 21:30.

Per settimane, qualunque dispositivo Apple recente, dagli iPhone agli iPad ai computer Mac, poteva essere trasformato in una perfetta “cimice” per ascoltare di nascosto le conversazioni altrui e anche spiare tramite la telecamerina incorporata. Era sufficiente usare in maniera particolare (ma non troppo complicata) FaceTime, l’app di videochat di Apple, chiamando la persona da spiare. Anche se la persona non rispondeva alla chiamata, il suo dispositivo apriva il microfono e attivava la telecamera.

Una falla imbarazzante, risolta provvisoriamente da Apple in maniera drastica, ossia bloccando il servizio FaceTime in attesa di realizzare e distribuire un aggiornamento correttivo.

La schermata di stato dei sistemi e servizi Apple, consultabile qui.

L’imbarazzo è stato acuito dal fatto che Apple sta puntando molto, in termini di immagine aziendale, sulla sua attenzione alla sicurezza e alla privacy, e dal dettaglio non trascurabile che il difetto non è stato scoperto dai suoi esperti di controllo qualità ma da un ragazzo quattordicenne, Grant Thompson, a metà gennaio scorso.

Grant stava giocando a Fortnite e stava attivando una chat di gruppo con FaceTime quando si è accorto che poteva sentire anche le voci degli amici che non avevano ancora risposto all’invito a partecipare alla chat.

Come se non bastasse, Apple non ha risposto alle ripetute segnalazioni del problema fatte dalla madre del ragazzo ed ha reagito solo alcuni giorni dopo che la falla è stata rivelata pubblicamente.

L’azienda si è scusata e ha promesso di distribuire un aggiornamento di sicurezza entro questa settimana. Se avete un iPhone o un iPad, quindi, ogni tanto andate nelle Impostazioni e cercate la voce Generali e poi Aggiornamento software per vedere se l’aggiornamento è disponibile. Se avete un Mac, usate l’app dell’App Store e cliccate sulla sezione Aggiornamenti oppure andate nelle Preferenze di Sistema.

Imbarazzi a parte, però, la falla aveva una limitazione importante: lasciava sul dispositivo della vittima una chiara indicazione dell’identità dello spione o ficcanaso. Era quindi poco sfruttabile da intrusi professionisti o governativi, che preferiscono non lasciare tracce, ma era una pacchia per stalker ossessivi e partner gelosi che non avevano problemi a far sapere di stare origliando le proprie vittime. Vittime che spesso non sapevano come impedire questa persecuzione.

Incidenti come questo sono un promemoria molto chiaro del fatto che circoliamo tenendo in tasca, in ufficio e sul comodino un microfono che può essere attivato a distanza ed è gestito da un software molto complesso che a volte non funziona esattamente come vorrebbero i suoi creatori e utenti.

Le raccomandazioni apparentemente paranoiche degli esperti di sicurezza e privacy, che invitano a spegnere i telefonini o lasciarli fuori dalla stanza per qualunque conversazione o attività privata, sono insomma giustificate. Lo sa bene Larry Williams, un avvocato di Houston, che ha fatto causa ad Apple sostenendo che la falla di FaceTime ha consentito a qualcuno di origliare durante una delicatissima deposizione giurata di un suo cliente. Pensateci la prossima volta che andate dal medico o dal vostro avvocato o vi trovate in altre situazioni nelle quali fate confessioni molto personali.

2019/02/08 21:30

Apple ha rilasciato MacOS 10.14.3 e iOS 12.1.4, che risolvono questa falla.

Fonti aggiuntive: Graham Cluley, New York Times, The Inquirer, New York Times, CNet.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Servi dello smartphone che ci doveva servire

Servi dello smartphone che ci doveva servire

Rispondete sinceramente: siamo noi che usiamo i nostri smartphone, o sono gli smartphone a usare noi? È la domanda proposta sul New York Times (copia su Archive.is) dal professore associato d’informatica Cal Newport, partendo dalla storica presentazione dell’iPhone da parte di Steve Jobs nell’ormai lontano 2007. L’iPhone non fu il primo smartphone in assoluto, ma fu il primo realmente utilizzabile dall’utente comune.

Rispetto alle intenzioni del visionario Jobs, però, le cose sono andate un po’ diversamente. Lo smartphone era stato concepito come assistente: oggi siamo noi, in molti casi, i servitori dello smartphone. Chiede costantemente la nostra attenzione, con le sue infinite notifiche e distrazioni, da quando ci svegliamo a quando andiamo a dormire. I social network e le app di messaggistica esigono che rispondiamo immediatamente, mettiamo cuoricini, condividiamo l’ennesima indignazione collettiva con tutti i nostri amici.

Invece di migliorare le attività che ritenevamo importanti prima dell’avvento di questa tecnologia, spiega il professor Newport, lo smartphone ne ha create di nuove che reclamano il nostro tempo, spesso in modi progettati più per far diventare ricche delle aziende che per darci un reale beneficio.

Steve Jobs aveva immaginato il suo smartphone come un dispositivo per ascoltare musica, fare telefonate, avere indicazioni stradali e poco altro. Nel progetto iniziale dell’iPhone non esisteva neanche l’App Store, perché Jobs pensava che i creatori esterni di app non sarebbero stati in grado di fornire qualità, estetica e stabilità sufficienti. Era insomma uno strumento che decidevamo noi di usare quando serviva a noi, non un compagno costante, petulante e bisognoso di attenzioni continue da soddisfare subito.

Il professor Newport non propone soluzioni radicali, come per esempio tornare al telefonino classico o rinunciare del tutto alla comunicazione mobile, ma suggerisce un ridimensionamento minimalista dello smartphone che già abbiamo: togliere tutte le app che traggono denaro dalla nostra attenzione, come per esempio i giochi, le app dei social network e le app di notizie che ci riempiono lo schermo di notifiche.

Se non siamo giornalisti o operatori di borsa, essere informati minuto per minuto su quello che avviene nel mondo non ci serve. Le nostre amicizie, se sono vere, possono anche aspettare un pochino. Invece di dedicare attenzione a fotografare un momento magico, possiamo viverlo.

A livello professionale, spiega il professore, di solito possiamo anche evitare di avere la mail di lavoro sul telefonino. Certo, rispondere a qualche messaggio mentre siamo in giro è comodo, ma questa comodità diventa quasi sempre un’ossessione di controllare continuamente se ci sono nuovi messaggi.

Vale la pena di fare l’esperimento; non costa nulla. Se vi sembra una proposta esagerata, guardate la sezione Tempo di utilizzo del vostro iPhone, nelle Impostazioni, e notate quanto tempo avete già passato oggi a servire lo smartphone.

Il rischio, per così dire, è di ritrovarsi con un oggetto che corrisponde alla visione originale di Steve Jobs, che sostiene le nostre attività ma non le sovverte, efficientemente e con discrezione, che dura di più e interrompe di meno.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Fortnite, criminali riciclano denaro attraverso i V-Buck

Attenzione alle offerte troppo allettanti di V-Buck, le monete virtuali che si usano nel popolarissimo videogioco Fortnite: possono nascondere trappole e persino vere e proprie operazioni criminali di riciclaggio di denaro sporco.

Lo segnala un’indagine svolta dal quotidiano britannico The Independent insieme alla società di sicurezza informatica Sixgill. I criminali usano carte di credito rubate per acquistare V-Buck e poi rivendono questi V-Buck a prezzo scontato ai giocatori. In questo modo ottengono denaro pulito.

Non è il primo caso di crimine che coinvolge Fortnite e i suoi oltre 130 milioni di giocatori: ci sono app false che fingono di essere versioni speciali del gioco e invece scaricano altre app sui dispositivi dei giocatori che le installano; i truffatori lo fanno perché sono pagati ogni volta che una di queste altre app viene installata.

Ci sono anche i ladri di account Fortnite, che mettono in vendita questi account rubati e incassano lauti guadagni. I giocatori, infatti, comprano con i loro V-Buck accessori di gioco virtuali, come modelli di personaggi, skin di decorazione per l’equipaggiamento o le armi e movimenti per i propri personaggi, e li accumulano nel proprio account.

Se l’account viene rubato, il ladro si porta via anche questi accessori e li vende ad altri giocatori, che sono disposti a pagarli bene pur di mettere le mani su certi accessori particolarmente rari. C’è un mercato fiorente di account rubati, come indicato dal caso di un giovane sloveno che ha dichiarato di aver incassato circa ventimila euro in poco più di sei mesi con questa attività illecita.

Rubare un account è purtroppo molto facile, perché tantissimi giocatori usano per Fortnite lo stesso indirizzo di mail e la stessa password che adoperano altrove, per cui al ladro basta frugare un po’ nei tanti archivi di account rubati di altri servizi, che si trovano nei bassifondi di Internet, e vedere se vi trova quell’indirizzo di mail e una password abbinata. Quasi sicuramente quella password sarà quella usata anche su Fortnite.

Per fortuna anche difendersi da questi ladri è abbastanza facile: il primo passo è non cercare guai andando in giro su Internet a caccia di offerte di V-Buck scontati presso siti di dubbia reputazione, e non abboccare alle pubblicità ingannevoli che compaiono su Instagram e negli altri social network, come fanno invece tantissimi giocatori, soprattutto quelli più giovani. Conviene invece restare sui siti ufficiali di vendita di V-Buck, come per esempio quello del produttore di Fortnite, che è Epicgames.com. Certo, si paga, ma è meglio pagare che trovarsi derubati.

Il secondo passo è proteggere il proprio account Fortnite con una password robusta e differente da tutte le altre che si usano altrove, e poi attivare il doppio codice di sicurezza denominato autenticazione a due fattori, che si trova nelle impostazioni dell’account.

L’ultimo passo spetta ai genitori, ed è associare all’account una carta di credito prepagata invece di quella tradizionale, per consentire acquisti legittimi e al tempo stesso limitarli. Buon divertimento!

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Ricerca USA su Facebook: più si è vecchi, più si condividono notizie false

Ricerca USA su Facebook: più si è vecchi, più si condividono notizie false

Se siete fra i tanti che pensano che i giovani d’oggi e il loro uso smodato di Internet siano i principali colpevoli della diffusione delle notizie false intenzionali, le cosiddette fake news, c’è una nuova ricerca che potrebbe interessarvi e che sostiene che la colpa maggiore spetta invece a chi ha da 65 anni in su.

La ricerca è stata svolta da esperti della New York University e della Princeton University su un campione di 1300 americani studiando le loro condivisioni su Facebook fra aprile e novembre 2016, quindi in un momento elettoralmente molto delicato negli Stati Uniti, per cui non è detto che i risultati abbiano valore universale e si applichino anche al di fuori dei social network, ma sono decisamente interessanti.

In media, gli utenti oltre i 65 anni hanno condiviso sette volte più articoli di fake news rispetto al gruppo più giovane preso in considerazione, che è quello fra 18 e 29 anni.

La tendenza generale che emerge da questa ricerca è che più sale l’età, più aumenta la propensione per la condivisione di notizie false sui social. Questa tendenza vale a prescindere dall’orientamento politico della persona.

Ma allora è tutta colpa dei nonni se le fake news spopolano in Rete? Non è detto. Innanzi tutto, la ricerca evidenzia un altro dato importante: oltre il 90% degli utenti esaminati non ha abboccato alle notizie false e non le ha condivise. Il professor Andrew Guess, autore principale della ricerca, nota che la condivisione di notizie false è opera di un gruppo piuttosto piccolo di persone, per cui è difficile dire che abbia un grande impatto a livello generale. Altre ricerche indicano inoltre che il grosso della disseminazione di fake news è opera di sistemi automatici che fingono di essere utenti di social network.

Un altro aspetto che scagiona in parte chi ha più di 65 anni è che questa stessa fascia d’età condivide sui social network anche le smentite, e lo fa più di quanto condivida le notizie false.

Va anche detto che i ricercatori, a scanso di equivoci e polemiche, hanno evitato di includere nei siti di notizie false le testate giornalistiche note per la loro propensione a fabbricare notizie in modo fazioso e si sono concentrati sui siti più estremi, quelli che usano sistematicamente tutti i trucchi acchiappaclic del repertorio tecnico per far diventare virali delle notizie oggettivamente false.

Ma come mai gli ultrasessantacinquenni sono così tanto più inclini a condividere fake news? Di preciso non si sa ancora. Il professor Joshua Tucker, uno dei coautori della ricerca, sospetta che sia una questione di alfabetizzazione digitale: forse le persone anziane hanno meno familiarità con i social media e quindi fanno più fatica a immaginare che le notizie false possano essere visivamente simili a quelle vere quando vengono presentate su Facebook.

Una cosa comunque sembra certa: gli utenti più giovani sono meglio equipaggiati per difendersi dalle notizie false. Forse c’è ancora speranza per il futuro.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Bandersnatch: interattività significa (anche) antipirateria

Bandersnatch: interattività significa (anche) antipirateria

Questo è il testo del mio podcast La Rete in tre minuti per Radio Inblu di questa settimana, che potete ascoltare qui.

Avete sentito parlare di Bandersnatch? È la nuova puntata della serie televisiva di fantascienza distopica Black Mirror, prodotta da Netflix, di cui si discute moltissimo su Internet. Anche se non vi interessa la fantascienza, Bandersnatch è importante per una ragione decisamente insolita: perché è talmente impossibile da piratare informaticamente che persino siti dedicati alla pirateria audiovisiva raccomandano di acquistare l’originale, abbonandosi a Netflix, invece di cercarne online copie piratate.

È un risultato davvero notevole, dopo anni di pirateria audiovisiva galoppante, ottenuto con un espediente tecnico e narrativo altrettanto insolito: la puntata è infatti interattiva. Nel corso del suo svolgimento, lo spettatore può scegliere fra varie azioni possibili del protagonista e ottenere quindi una trama e un finale differenti. A volte anche scelte banali possono portare a conseguenze profondamente differenti, e questo è uno dei temi ricorrenti di tutta la serie Black Mirror.

Ma questa interattività ha come effetto collaterale quello di rendere fondamentalmente inutile scaricare abusivamente Bandersnatch, perché le copie pirata sono incomplete. Non consentono di effettuare scelte e quindi mostrano soltanto una parte della storia complessiva. Ricreare l’interattività richiederebbe un lavoro enorme di scrittura di software apposito che nessun pirata audiovisivo si sente di fare. E questo lavoro andrebbe fatto più volte: una per ogni tipo di dispositivo usato per guardare video, dai computer ai tablet agli smartphone. I film e telefilm normali, invece, una volta digitalizzati, sono fruibili su qualunque dispositivo senza ulteriori adattamenti.

La fruizione abusiva di film e telefilm via Internet è un problema ben conosciuto da tempo, che secondo le case cinematografiche e le reti televisive causa mancati guadagni molto ingenti. Riuscire di colpo a bloccarla così efficacemente, e per un prodotto estremamente popolare come Black Mirror, è sicuramente un successo che attirerà l’attenzione di chiunque produca contenuti audiovisivi commerciali. Specialmente dopo il fallimento sostanziale delle varie tecnologie anticopia usate finora, che hanno penalizzato soltanto gli utenti onesti che si sono trovati a dover per esempio cambiare lettore Blu-ray o altri dispositivi di lettura pur di poter fruire di un film regolarmente acquistato.

È presto per dire se ci troveremo di fronte a un’ondata di produzioni interattive ispirate dal successo di Bandersnatch: non tutti gli spettatori, infatti, sono entusiasti di dover fare delle scelte e molti preferiscono rilassarsi e lasciare che la storia si dipani da sola. Ma già adesso si pone un’altra questione ancora più interessante: la conservazione della cultura digitale.

Infatti se è impossibile creare una copia di un’opera, e se quell’opera è fruibile soltanto finché esiste il servizio online commerciale che la gestisce, è anche impossibile conservarla per i posteri se quel servizio chiude o decide semplicemente di non offrirla più. E se vi sembra eccessivo pensare che un prodotto commerciale sia un’opera degna di essere tramandata, parlatene con i cultori di Tex o di qualunque telefilm ormai diventato classico. O, più semplicemente, provate a immaginare come sarebbe la cultura italiana se Dante Alighieri avesse scritto la Divina Commedia interattiva in esclusiva per Netflix e Netflix avesse chiuso.

2019/01/09

Dai commenti riporto questa splendida chicca di Epsilon Eridani:

L’interattiva Commedia

Nel mezzo del cammin di nostra vita
Mi ritrovai per una selva oscura
Che la diritta via era smarrita
Poiché qui giunto, deh, il piè ormai si stanca
Sii mio Virgilio: volto a destra o giro a manca?

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Nuova mail di estorsione di massa: stavolta minaccia bombe. Fallisce miseramente

Nuova mail di estorsione di massa: stavolta minaccia bombe. Fallisce miseramente

Questo è il testo (leggermente ampliato) del mio podcast La Rete in tre minuti per Radio Inblu di questa settimana, che potete ascoltare qui.

Vi ricordate la recente mail di ricatto, mandata a tantissime persone, che diceva che un criminale informatico era entrato nel vostro computer mentre guardavate siti per adulti, vi aveva videoregistrato attraverso la telecamerina del computer, e voleva denaro per non diffondere il video?

Era un bluff totale, perché i criminali che la mandavano non avevano registrato nulla e contavano semplicemente sulle abitudini e sui sensi di colpa delle persone, ma ha funzionato lo stesso: un numero non trascurabile di utenti ha pagato, secondo quanto risulta dal monitoraggio dei conti Bitcoin sui quali finivano i soldi incassati dai truffatori.

Ora qualcuno ha avuto la pensata di usare lo stesso modello di estorsione basato sul bluff ma di cambiare la ragione del ricatto: nei giorni scorsi scuole, aziende, ospedali e tribunali negli Stati Uniti, in Australia, in Canada e in Nuova Zelanda hanno ricevuto una mail che avvisava che all’interno dell’edificio era stata nascosta una bomba che sarebbe esplosa se non fosse stato pagato entro sera un riscatto di circa 20.000 euro.

Questo è un campione della mail, che circola in varie versioni:

There is the bomb (tronitrotoluene) in the building where your business is located. My recruited person constructed an explosive device under my direction. It has small dimensions and it is hidden very well, it is impossible to damage the supporting building structure by my bomb, but there will be many wounded people if it detonates.

My man is controlling the situation around the building. If any unnatural behavior, panic or emergency is noticed he will power the device.

I want to suggest you a deal. You send me $20’000 in Bitcoin and the bomb will not detonate, but do not try to fool me -I warrant you that I have to call off my man solely after 3 confirmations in blockchain network.

My payment details (Bitcoin address)- 149oyt2DL52Jgykhg5vh7Jm10pdpfuyVqd

You must pay me by the end of the workday. If the working day is over and people start leaving the building explosive will explode.

This is just a business, if I do not see the money and the bomb detonates, next time other commercial enterprises will send me a lot more, because this is not a single incident. I wont enter this email. I check my Bitcoin wallet every 40 min and after seeing the payment I will order my mercenary to leave your district. If an explosion occurred and the authorities see this letter:
we arent a terrorist society and do not assume responsibility for explosions in other places.

Stavolta, però, le cose sono andate ben diversamente: a quanto risulta finora, nessuno ha pagato e tutti gli enti coinvolti hanno avvisato le autorità, che poi hanno evacuato e setacciato gli edifici, senza trovare nulla. L’ultimatum è scaduto e non è successo nulla, a conferma del fatto che si trattava di una finta.

Il consiglio delle forze dell’ordine, per chi dovesse ricevere questa mail di estorsione, è non rispondere, non tentare di contattare il mittente, non pagare e invece contattare appunto la polizia, senza cancellare la mail di ricatto, perché al suo interno ci sono dati tecnici che consentiranno probabilmente agli investigatori di risalire all’incosciente autore di questa estorsione internazionale.

Incosciente perché se le autorità tendono, per mancanza di risorse, a dover chiudere un occhio su estorsioni private, come quella della mail riguardante le visite ai siti a luci rosse, di certo non lo fanno per chi si rende colpevole di falsi allarmi bomba che sconvolgono l’ordine pubblico. Questo nuovo aspirante ricattatore avrà ora alle calcagna le polizie di mezzo mondo.

Lo sa bene George Duke-Cohan, un diciannovenne britannico che è stato condannato a tre anni di carcere per aver inviato allarmi bomba via mail a centinaia di scuole nel Regno Unito e negli Stati Uniti e persino a un aereo di linea in volo. Pensava di far parte di un potentissimo gruppo di hacker sovversivi, che si faceva chiamare la Squadra di Apophis, e invece è stato identificato e arrestato nel giro di pochi giorni.

Questo diciannovenne faceva queste cose perché desiderava ossessivamente l’attenzione dei suoi seguaci nei social network, senza pensare agli effetti dei suoi gesti. Dalle nostre parti, senza arrivare alle estorsioni e agli allarmi bomba di massa, altri irresponsabili mandano via Internet insulti, minacce e provocazioni per ottenere il plauso dei propri follower, come si chiamano ora i seguaci. Ma è opportuno ricordare che anche su Internet le azioni hanno conseguenze. Forse sarebbe ora di insegnarlo. E di impararlo una volta per tutte.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Quanto è realmente privata la navigazione privata? Fate il test

La navigazione privata o navigazione anonima o in incognito è una di quelle funzioni di smartphone, tablet e computer il cui nome sembra spiegarne perfettamente lo scopo: navigare su Internet in modo privato e anonimo. Ma non è proprio così, e quindi è meglio sapere quali sono i suoi limiti in modo da usarla correttamente.

Si accede a questa navigazione privata in vari modi, che dipendono dal dispositivo e dall’app usata per navigare: per esempio, nei computer che usano Google Chrome si clicca su Altro e si sceglie Nuova finestra di navigazione in incognito. Sugli iPhone, iPad e iPod touch, si apre Safari e si tocca l’icona a forma di due quadratini sovrapposti e si sceglie Privata. Sugli smartphone Android, invece, si tocca l’icona con tre trattini o puntini disposti verticalmente e si sceglie Nuova scheda anonima.

Questo tipo di navigazione è effettivamente privato, ma soltanto nel senso che non lascia tracce sul vostro dispositivo: ne lascia invece eccome presso il vostro fornitore di accesso a Internet e nei siti che visitate.

Per esempio, se usate la navigazione privata sul Wi-Fi del luogo dove lavorate, della scuola dove studiate o dell’albergo dove alloggiate, chi vi fornisce il servizio Wi-Fi può sapere quali siti avete visitato e può identificarvi benissimo, per esempio tramite i dati tecnici che la vostra app di navigazione passa a qualunque sito glieli chieda, anche se avete attivato la navigazione anonima.

Questi dati tecnici includono il tipo esatto di app di navigazione, il tipo di dispositivo usato, la lingua utilizzata, le dimensioni dello schermo, il tipo di processore, la scheda grafica, i font installati e altro ancora.

Ogni dispositivo ha una combinazione unica di queste caratteristiche: di conseguenza, se usate lo stesso tablet, smartphone o computer per navigare anche in modo non anonimo, è facile per un fornitore di accesso a Internet o anche per un sito Web riconoscere la particolare combinazione di questi dati tecnici del vostro dispositivo e quindi capire che la persona che prima navigava in incognito eravate voi: è una tecnica chiamata fingerprinting, ossia “riconoscimento dell’impronta digitale”, con un doppio senso informatico molto calzante.

Potete verificare quante informazioni tecniche vengono raccolte usando per esempio Panopticlick.eff.org, Siamogeek.com/jsinfo/ e Uniquemachine.org (cliccate ripetutamente su Get my fingerprint).

Ma allora la navigazione anonima è inutile? No, anzi: è efficacissima per non lasciare tracce delle ricerche effettuate in Google e negli altri motori di ricerca, per non memorizzare visite a siti web e per non trovarsi bombardati da pubblicità mirata, per esempio di viaggi dopo aver acquistato un biglietto aereo. Secondo un recente sondaggio pubblicato dal sito Duckduckgo.com, che offre ricerche anonimizzate, la ragione principale per la quale gli utenti usano la navigazione in incognito è far sparire quelle ricerche che il sondaggio definisce, con raro garbo, “potenzialmente imbarazzanti”.

Ma non è solo questione di imbarazzi. Soprattutto in questa stagione, molti usano Google per cercare regali. Vedersi rovinare la sorpresa perché il nome o il sito del regalo cercato compare non appena si digita qualche lettera sarebbe un peccato. In casi come questi, la navigazione privata è impagabile. Usatela e, specialmente se avete un computer condiviso con altri, fatela usare.

Fonte aggiuntiva: Naked Security.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
500 milioni di account rubati a Marriott, Sheraton e altre catene di alberghi

500 milioni di account rubati a Marriott, Sheraton e altre catene di alberghi

Il furto dei dati di circa 500 milioni di clienti degli alberghi della catena internazionale Marriott, che include anche altri marchi noti (come per esempio Sheraton, Westin, Element, Aloft, The
Luxury Collection, Tribute Portfolio, Le Méridien, Four Points e altri ancora), è il secondo più grande di tutti i tempi per numero di persone colpite. Al primo posto c’è il furto subìto da Yahoo nel 2013, quando furono trafugati i dati di tre miliardi di account.

Ma che cosa se ne fanno, esattamente, i criminali di questi dati?

A prima vista l’archivio dei clienti di una catena d’alberghi non sembra particolarmente allettante, visto che oltretutto sembra per ora che i dati delle carte di credito dei clienti Marriott non siano stati violati. Ma in realtà anche gli altri dati sottratti hanno un valore notevole: nomi e cognomi, indirizzi di mail, numeri di telefono, numeri di passaporto, date di nascita e date di partenza e arrivo possono infatti essere usati per moltissime truffe informatiche.

Le più ovvie sono quelle che contattano la vittima, via mail o per telefono, spacciandosi per il servizio clienti della catena alberghiera e offrendo un rimborso da versare sulla carta di credito, se la vittima è così gentile da fornirne il numero e il codice di sicurezza. Questo genere di raggiro è estremamente convincente se viene accompagnato da così tanti dati personali: chi altro, se non l’albergo, saprebbe per esempio le date di arrivo e di partenza?

È vero che molte persone fiuteranno comunque il tranello, ma nella massa ci sarà sempre qualcuno che abboccherà. E qui la massa è grande: con cinquecento milioni di bersagli, anche un successo ogni mille tentativi frutterà cinquecentomila carte di credito di persone economicamente ben dotate, e i tentativi possono essere completamente automatici.

Ci sono anche truffe meno ovvie: per esempio, molti utenti usano la stessa password dappertutto, per cui quella che hanno usato per prenotare camere presso questa catena è quella che usano anche per la mail o per i social network. Accedere alla mail aziendale di qualcuno permetterebbe di mandare istruzioni di lavoro fasulle, come un cambio di conto corrente su cui pagare un fornitore, in modo che il pagamento finisca sul conto dei criminali. Accedere a un account su un social network consentirebbe di trovare foto imbarazzanti da usare per estorsioni e ricatti oppure permetterebbe di fare spamming.

Ma c’è anche un altro modo per sfruttare dati alberghieri rubati: i numeri dei passaporti possono essere usati per creare passaporti falsi o per aprire conti correnti spacciandosi per le vittime. Lo spionaggio governativo ne può approfittare per sorvegliare gli spostamenti dei funzionari dei governi spiati, grazie per esempio al fatto che negli Stati Uniti esiste un archivio pubblico di tracciamento dei viaggi che si basa proprio sul numero di passaporto.

Insomma, quello che poteva sembrare un problema marginale ha implicazioni molto serie. Se negli ultimi anni siete stati ospiti di questi alberghi, vi conviene cambiare le vostre password, visitare il sito info.starwoodhotels.com per avere istruzioni e tenere d’occhio gli estratti conto della vostra carta di credito.

Fonti: Wired, Kroll.com, Ars Technica, Gizmodo, Naked Security, Il Post.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Stufi delle password? Microsoft le elimina del tutto

Stufi delle password? Microsoft le elimina del tutto

Ultimo aggiornamento: 2018/11/28 21:00.

Nota: questo articolo annuncia una nuova proposta tecnologica che tocca moltissimi utenti. Non è necessariamente un consiglio di sicurezza universalmente valido ed è stato aggiornato per chiarirne limiti e vantaggi.

Vi piacerebbe fare a meno di tutte le vostre password? Quelle che dovete custodire, ricordare e digitare e poter accedere lo stesso in modo sicuro ai vostri siti e servizi preferiti?

Alcuni dispositivi e servizi già lo consentono, ma ora l’accesso passwordless è disponibile anche agli 800 milioni di utenti che possiedono un account Microsoft perché usano Windows 10, Outlook, Office, Skype o Xbox Live: pochi giorni fa, infatti, Microsoft ha attivato l’autenticazione sicura senza password su questi sistemi e servizi, sia su computer sia su dispositivi mobili.

Al posto della password potete usare la vostra impronta digitale, il vostro volto oppure un dispositivo speciale, la security key, una sorta di chiave digitale fisica personalizzata, venduta per esempio da Yubico e Feitian. Invece di dare il vostro nome utente e ricordarvi una password, mettete il vostro dito sul sensore, guardate la telecamerina del vostro dispositivo oppure inserite la security key e il gioco è fatto.

Questo sistema ha due grandi vantaggi: il primo è che i dati biometrici, ossia l’impronta del dito o l’immagine del volto, non vengono mandati a nessuno e risiedono soltanto sul vostro computer, tablet o telefonino in un’area protetta della sua memoria, alla quale potete accedere soltanto voi. E se non vi piace la biometria, potete usare una security key. Non c’è insomma il pericolo che qualche sito vi rubi le impronte digitali, semplicemente perché non gliele inviate: una differenza importante rispetto ai siti e servizi che chiedono invece accesso diretto ai vostri dati biometrici.

Il secondo vantaggio è che non essendoci una password, non potete perderla o dimenticarla e il sito che visitate non può farsela sottrarre, come invece avviene spesso. Eliminando le password, insomma, la sicurezza paradossalmente aumenta.

Questa autenticazione senza password usa la crittografia a chiave pubblica, una sorta di doppio lucchetto con una chiave che è appunto pubblica, e quindi può essere condivisa liberamente, e una seconda chiave privata, che non viene mai mandata a nessuno. I siti possono usare la vostra chiave pubblica per fare al vostro dispositivo un challenge, ossia una sorta di indovinello matematico personalizzato che può essere risolto soltanto da chi ha la vostra chiave privata. In questo modo i siti sanno che siete davvero chi dite di essere senza aver bisogno di chiedervi una password.

Nei prodotti e servizi Microsoft potete usare questo sistema anche subito, se attivate l’opzione Windows Hello su un dispositivo Windows 10 aggiornato: vi collegate al servizio che vi interessa, usando per l’ultima volta nome utente e password, e poi attivate in Microsoft Edge la voce Usa Windows Hello. Fatto questo, potrete accedere al servizio semplicemente appoggiando il dito sul sensore o guardando la telecamerina. E per chi preferisce non usare la biometria c’è la chiave digitale, da usare al posto del dito o del viso.

Questa nuova tecnica è più facile da usare che da descrivere, e rende impossibili i classici furti di password basati su siti truffaldini che somigliano a quelli autentici oppure su virus che intercettano le digitazioni. La sua introduzione in massa da parte di Microsoft e la sua presenza in Firefox e Chrome probabilmente ne incoraggeranno molto la diffusione. Certo, le password non spariranno subito, ma il loro regno sofferto si avvia forse alla conclusione, accompagnato da un coro di “Era ora!”, perché molti utenti
non sopportano le password, ne soffrono e le usano male. 

Chi segue questo blog sa che sconsiglio l’uso disinvolto della biometria. Ma se la scelta è
fra un utente che usa come password 1234578 (e la usa dappertutto) e un utente che
usa un autenticatore a chiave biometrica o una security key fisica, è meno
insicuro il secondo.

Fonte aggiuntiva: Naked Security.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.