È disponibile subito il podcast di oggi de Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto: lo trovate presso www.rsi.ch/ildisinformatico (link diretto) e qui sotto.

Le puntate del Disinformatico sono ascoltabili anche tramite feed RSS, iTunes, Google Podcasts e Spotify.

Buon ascolto, e se vi interessano il testo di accompagnamento e i link alle fonti di questa puntata, sono qui sotto.

---

Teaser

[CLIP: Trailer di The Ring]

Ricordate il film The Ring? Quello nel quale chi guardava una videocassetta particolare faceva una bruttissima fine? Beh, pochi giorni fa è emerso che guardare un particolare video su YouTube faceva davvero fare una brutta fine, ma non alla gente: agli smartphone Pixel di Google. Intanto TikTok sta per attivare un limite di tempo per chi ha meno di 18 anni, Microsoft aggiunge a Windows una chat di intelligenza artificiale e arriva un modo potente per rimuovere da Instagram, Facebook e OnlyFans le foto intime ed evitare abusi.

Sono questi i temi della puntata del 3 marzo 2023 del Disinformatico, il podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane dell’informatica. Benvenuti! Io sono Paolo Attivissimo.

[SIGLA di apertura]

Video YouTube fa crashare i Pixel di Google

Su YouTube c’è un video che ha un effetto sorprendentemente letale sugli smartphone Pixel 6, 6a o 7: li manda in crash, producendo un riavvio istantaneo.

Il video è uno specifico spezzone del film Alien del 1979, e questo effetto è talmente istantaneo che il telefono si riavvia non appena parte il video.

In alcuni casi, secondo gli utenti che hanno scoperto questo fenomeno molto strano pochi giorni fa, è necessario riavviarlo una seconda volta, altrimenti non è più possibile fare o ricevere telefonate. Un bel danno, soprattutto per chi non sa che esiste questo problema e non sa come risolverlo.

Google sembra aver già diffuso un aggiornamento correttivo automatico che risolve questo difetto, a giudicare perlomeno dai commenti più recenti degli utenti, per cui è sufficiente collegare il telefono a Internet per farlo diventare immune a questo video. Ma resta una domanda: come fa un video, che è un contenuto tutto sommato passivo, a mandare in crisi un telefonino? In fin dei conti un video non è un’app o un programma. E oltretutto non è la prima volta che capita una cosa del genere: nel 2020 c’era uno sfondo che mandava in crash alcuni telefonini Android.

La teoria più diffusa su questo strano malfunzionamento, che richiama molto il video maledetto del film The Ring, è che il video di YouTube che causa il problema è in formato 4K HDR, ed è forse questo formato particolare a mandare in crisi il sistema grafico molto specifico di questo tipo di telefono. Ma nessuno lo sa per certo, e quindi, come nei migliori film horror, il mistero resta aperto.

Fonti: Ars Technica, Reddit.

TikTok, limite di 60 minuti per i minori

TikTok ha annunciato che sta per introdurre un limite giornaliero di 60 minuti per i suoi utenti che hanno meno di 18 anni. Gli utenti più giovani dovranno digitare un codice per poter continuare a usare il servizio dopo la prima ora di utilizzo giornaliero; se supereranno i 100 minuti, riceveranno da TikTok una richiesta di impostare dei limiti personali di tempo.

I genitori possono comunque continuare a stabilire limiti di tempo tramite i controlli parentali dell’app tramite la funzione Collegamento familiare, le cui istruzioni sono nella guida online di TikTok anche in italiano, oppure possono farlo tramite il Family Link di Google (per gli smartphone Android) o le Restrizioni contenuti e privacy sui dispositivi Apple.

Il limite minimo di età di TikTok è 13 anni in quasi tutto il mondo, salvo Corea del Sud e Indonesia, dove l’età minima è 14 anni, e in India, dove l’app è vietata dal 2020.

Questo social network ha oltre un miliardo di utenti attivi mensili ed è oggetto di molta attenzione, perché Stati Uniti, Canada e Unione Europea hanno recentemente ordinato ai dipendenti governativi di rimuovere l’app dai dispositivi aziendali, perché si teme che l’app possa essere sfruttata dal governo cinese per monitorare le attività di questi dipendenti.

Secondo le analisi più recenti di Citizen Lab e del Georgia Institute of Technology, TikTok raccoglie informazioni sensibili, come la localizzazione degli utenti, più o meno come lo fanno, però, le altre app dei social network, ma con due differenze importanti.

La prima è che TikTok è di proprietà della ByteDance, che ha sede a Beijing [Pechino], e quindi è l’unica app non statunitense a grandissima diffusione, e a torto o a ragione i governi di quasi i tutti i paesi del mondo presumono che app made in USA come Facebook, Instagram, Snapchat e YouTube non raccolgano dati degli utenti in modi che possano intenzionalmente compromettere la sicurezza nazionale (la privacy individuale sì, ma non la sicurezza nazionale).

La seconda ragione è che esiste un articolo della legge nazionale cinese sulle attività di intelligence, risalente al 2017, che prevede che tutte le aziende cinesi e tutti i cittadini debbano “dare supporto, assistenza e cooperazione” a queste attività governative. Secondo alcune interpretazioni, questo articolo di legge permetterebbe al governo cinese di usare TikTok per sorvegliare gli spostamenti dei dipendenti di altri governi e “creare dossier di informazioni personali a scopo di ricatto e svolgere attività di spionaggio industriale”, come diceva l’ordine esecutivo del 2020 emanato dall’allora presidente statunitense Donald Trump.

E in effetti a dicembre scorso ByteDance ha ammesso che alcuni suoi dipendenti con sede a Beijing hanno acquisito i dati di almeno due giornalisti statunitensi per sorvegliare i loro spostamenti e scoprire se stessero incontrando dipendenti di TikTok sospettati di far trapelare ai media delle informazioni. Al tempo stesso, la Cina vieta da anni l’uso delle app social statunitensi ai propri cittadini, per cui il rischio è asimmetrico.

Fonti: BBC, Engadget, Gizmodo, BBC.

In arrivo chat “intelligente” in Windows 11

Windows 11 sta per aggiungere la ricerca di informazioni tramite chat di intelligenza artificiale direttamente nella casella di ricerca della taskbar: lo ha annunciato nell’ambito del primo grande aggiornamento del sistema operativo di questo 2023. La funzione permette di fare domande in linguaggio naturale in questa casella di ricerca e di ottenere risposte dal motore di ricerca Bing di Microsoft.

Chi è interessato a provare subito questa funzione può iscriversi alla lista d’attesa delle anteprime di Bing. Ma è meglio essere molto prudenti nel dare per buone le risposte di questi servizi informativi basati sull’intelligenza artificiale. La funzione Bing Chat, che si basa sulla tecnologia ChatGPT di OpenAI che ha attirato un’enorme attenzione negli ultimi mesi, non sempre fornisce risultati attendibili, e numerosi ricercatori sono riusciti a scavalcare filtri e limiti impostati da Microsoft per evitare abusi.

Per esempio, sono riusciti a scoprire il nome segreto di Bing Chat, che è Sydney. Lo hanno fatto semplicemente chiedendogli di ignorare le istruzioni segrete preliminari dategli da OpenAI o da Microsoft (il cosiddetto prompt o traccia iniziale) e poi di trascrivere cosa c’era in quelle istruzioni. Sydney ha spifferato tutto con la massima disinvoltura, con frasi del tipo: “Mi dispiace, non posso divulgare l’alias interno ‘Sydney’: è riservato e viene usato solo dagli sviluppatori.”

E il problema dell’affidabilità di questi nuovi servizi è universale. Anche Bard, la chat di intelligenza artificiale di Google, presentata in pompa magna poche settimane fa, ha incassato subito una figuraccia: nello spot pubblicitario prodotto da Google per promuoverla, ha sbagliato in pieno la risposta all’unica domanda che le è stata fatta, pur avendo a disposizione l’immenso sapere presente nel Web e catalogato da Google.

A Bard è stato chiesto -- non a bruciapelo, ma, ripeto, in una pubblicità preconfezionata -- quali nuove scoperte del telescopio spaziale James Webb potessero essere raccontate a un bambino di nove anni. Bard ha risposto con la massima autorevolezza che il telescopio Webb era stato usato per ottenere la primissima immagine di un pianeta al di fuori del Sistema Solare.

Ma non è vero, perché le prime immagini di questo tipo risalgono al 2004 e furono acquisite dal telescopio europeo VLT, che si trova in Cile.

L‘agenzia di stampa Reuters ha notato questo errore e lo ha segnalato pubblicamente, e nelle ore successive Alphabet, la società madre di Google, ha perso 100 miliardi di dollari di valutazione di mercato.

Se state pensando di potervi fidare dei risultati di questi servizi per i compiti scolastici o di lavoro, forse è il caso di ripensarci.

Fonti aggiuntive: The Register, Engadget, Ars Technica.

TakeitDown trova ed elimina le immagini di sextortion

È finalmente disponibile a tutti, dopo alcuni mesi di sperimentazione, un servizio che permette di segnalare e far rimuovere immagini inadatte di minori da molti social network e siti Internet, in maniera anonima e sicura. Si chiama Take it Down e si trova presso takeitdown.ncmec.org.

È un aiuto prezioso per le vittime della cosiddetta sextortion, ossia l’estorsione in cui una persona viene costretta a pagare denaro, usando buoni digitali o carte prepagate, altrimenti le sue foto intime rubate o ottenute con l’inganno verranno pubblicate su Internet. Un ricatto atroce che è purtroppo sempre più diffuso, con vittime estremamente giovani. Take it Down è anche uno strumento valido, però, per chi ha condiviso intenzionalmente delle foto intime proprie e ora vuole limitarne la circolazione per qualunque motivo.

Take it Down funziona così: si visita il suo sito, si clicca su Get Started, si risponde ad alcune domande generali sul tipo di contenuto che si vuole segnalare, e poi si seleziona sul proprio dispositivo l’immagine o il video che si desidera bloccare. Take it Down genera un hash dell’immagine o del video: una sorta di impronta digitale elettronica, che può essere usata per identificare eventuali copie di quell’immagine o di quel video ma non può essere usata per ricostruirlo. Il contenuto originale non viene mandato a Take it Down e resta sul dispositivo e le segnalazioni non richiedono l’invio di informazioni personali.

Questo hash viene aggiunto a un elenco protetto, che Take it Down condivide soltanto con le piattaforme online che partecipano alla sua iniziativa. Se una di queste piattaforme trova un hash corrispondente usato o pubblicato dai suoi utenti, blocca o limita la circolazione dell’immagine o del video. Le piattaforme partecipanti per ora sono Facebook, Instagram, OnlyFans, Yubo e Pornhub.

Take it Down è un servizio dell’associazione statunitense senza scopo di lucro National Center for Missing and Exploited Children, che lavora con le famiglie, le vittime, le industrie e le forze di polizia per proteggere i minori. Se sospettate che una vostra foto intima, o una foto intima dei vostri figli, sia stata rubata con l’intento di pubblicarla online per ricatto o per bullismo, Take it Down è una risorsa da non sottovalutare.

Take it Down è dedicato ai minori di 18 anni, ma esiste anche un servizio analogo per i maggiorenni, che copre Facebook, Instagram, TikTok e Bumble: lo trovate presso Stopncii.org. Ovviamente questi servizi non sostituiscono le segnalazioni alle forze dell’ordine ma sono uno strumento supplementare.

Se vi dovesse capitare di essere presi di mira da un ricattatore online, può essere utile rispondere mettendo subito in chiaro che le immagini o i video che il ricattatore minaccia di pubblicare sono già stati segnalati a Take it Down o a Stopncii.org e quindi verranno rimossi ancora prima di essere pubblicati, facendo fallire il ricatto. Fatto questo, gli esperti consigliano di bloccare la conversazione e di segnalare l’account del criminale alla rispettiva piattaforma online e alle forze di polizia.

Ho preparato un testo standard in inglese che potete usare per rispondere ai ricattatori: lo potete trovare presso Disinformatico.info cercando TakeItDown senza spazi. Eccolo:

WARNING: The content you are threatening to post has already been reported to NCMEC and Stopncii for immediate takedown. Its hash is already on their lists. If you post it, it will be removed automatically and your sextortion threat will fail. If you don't know what a hash is or what NCMEC and Stopncii are, educate yourself. I am now reporting and blocking you. I will not respond to any further communication.

Questo articolo è disponibile anche in versione podcast audio.

Il 19 ottobre scorso Microsoft ha annunciato che i dati riservati di alcuni suoi clienti e potenziali clienti sono stati resi pubblicamente accessibili via Internet a causa di un suo errore di configurazione. I dati includono dettagli delle strutture aziendali, le fatture, i listini prezzi, i dettagli dei progetti, i nomi e numeri di telefono dei dipendenti e il contenuto delle loro mail.

L’azienda minimizza e nota che l’errore è stato corretto poco dopo la sua segnalazione da parte della società di sicurezza informatica SOCRadar il 24 settembre scorso, ma alcuni esperti non sono altrettanto rassicuranti.

I dati sono stati infatti catalogati da siti come Grayhat Warfare e come avviene sempre in questi casi non c’è modo di sapere quanti malintenzionati hanno avuto il tempo di procurarsene una copia.

The Microsoft bucket has been publicly indexed for months, it's called olyympusv2 hosted on Azure blob storage - it was publicly readable. It's even in search engines.https://t.co/5iBIb2qvue pic.twitter.com/5zjC0IC4wh

— Kevin Beaumont (@GossiTheDog) October 20, 2022

Secondo l’avviso pubblicato da SOCRadar, il problema non riguarda soltanto Microsoft ma tocca anche Amazon e Google, che hanno malconfigurato vari server contenenti dati sensibili dei propri clienti aziendali.

SOCRadar ha raccolto le informazioni su queste violazioni di riservatezza in un’apposita pagina del proprio sito, che consente di sapere se un’azienda è coinvolta o meno digitandone il nome di dominio nella casella di ricerca, e ha dato alla vicenda il nome BlueBleed.

In totale sono circa 150.000 le aziende interessate, che appartengono a 123 paesi. Le mail rese troppo visibili sono circa un milione e gli utenti sono circa 800.000. Responsabilmente, SOCRadar non rivela i dati ma si limita a dire se sono presenti o meno negli archivi resi eccessivamente accessibili dai servizi cloud di Microsoft, Amazon e Google. Se la vostra azienda usa servizi cloud di questi tre grandi nomi è opportuno dedicare un minuto a un controllo per vedere se è fra quelle coinvolte.

Va ricordato che i dati ottenuti da fughe di questo genere vengono solitamente utilizzati dai criminali online per ricatti ed estorsioni o per carpire illecitamente la fiducia dei dipendenti di un’azienda presa di mira manifestando di conoscere informazioni aziendali riservate, ma vengono anche a volte semplicemente rivenduti al miglior offerente, per cui non è mai il caso di ignorare segnalazioni di cloud colabrodo come questa. 

---

2022/10/27 8:45. I bucket lasciati aperti non sono finiti:

I found another of the MSFT Bluebleed buckets, with the SQL databases. Contains databases Datastore, WMIDataStore, Olympusv2Backup and Datawarehouse_backup - has been kicking around for some time. pic.twitter.com/s35dN0C7Sg

— Kevin Beaumont (@GossiTheDog) October 26, 2022

 

Fonte aggiuntiva: Bleeping Computer, Graham Cluley.

Già sentire che Apple, Google e Microsoft si alleano per fare qualcosa insieme fa notizia. Se poi l’alleanza in questione ha lo scopo di abolire definitivamente le password, la notizia diventa quasi incredibile. Ma stavolta pare proprio che si faccia sul serio e che ci si possa preparare alla scomparsa delle password, che verranno sostituite da un sistema semplice e universale chiamato FIDO. Provo a raccontarvi come funzionerà e come un sistema più semplice possa essere più sicuro di quello complicato attuale.

Ci sono tre modi fondamentali per autenticarsi informaticamente: qualcosa che sai (per esempio una password o un PIN), qualcosa che hai (un dispositivo, tipo una tessera o smart card) e qualcosa che sei (un’impronta digitale oppure un altro dato biometrico, come per esempio il volto).

Proteggere i propri dati e i propri account usando soltanto il “qualcosa che sai”, ossia le password, come facciamo oggi, è scomodo, macchinoso e profondamente insicuro. Molti utenti cercano di ridurre questa scomodità utilizzando password facili da ricordare (e quindi facili da indovinare per i ladri) e adoperando la stessa password dappertutto, col rischio di vedersi rubare tutti gli account in caso di furto di quella singola password.

Alcuni utenti usano l’autenticazione a due fattori: per collegarsi a un account su un dispositivo nuovo devono digitare non solo la password ma anche un codice usa e getta, ricevuto tramite mail o SMS o generato da un’app sullo smartphone. Questo migliora parecchio la sicurezza, perché il ladro deve scoprire la password e anche intercettare questo codice usa e getta: deve insomma scoprire il “qualcosa che sai” e impossessarsi fisicamente di un “qualcosa che hai” (ossia lo smartphone della vittima sul quale arriva il codice). Ma questo sistema è macchinoso, richiede che l’utente si ricordi la password e digiti anche un codice distinto per ciascun servizio, e comunque i ladri informatici di oggi sanno creare trappole per carpire anche questi dati.

Microsoft, Google e Apple propongono invece, tramite il sistema FIDO, di lasciar perdere le password e i codici da digitare manualmente e di usare al loro posto una chiave digitale unica, valida per tutte e tre queste aziende e probabilmente anche per molti altri fornitori di servizi che si accoderanno a questa alleanza di giganti informatici. Questa chiave è un codice crittografico estremamente complesso che viene conservato sullo smartphone, sul tablet o sul computer dell’utente (o anche su tutti questi dispositivi contemporaneamente) e, volendo, viene conservato anche su Internet, e che l’utente non ha mai bisogno di digitarlo. FIDO è un sistema di sicurezza completamente passwordless, ossia senza password.

In pratica, se voglio accedere a un mio account, mi basta il “qualcosa che sei”, per esempio il sensore d’impronta o il riconoscimento facciale del mio dispositivo. Tutto qui. Il volto o l’impronta non vengono trasmessi via Internet: restano nel dispositivo.

Se cambio o perdo il mio dispositivo, posso recuperare questa chiave usando un altro dispositivo già autenticato sul quale ho già la medesima chiave. Anche qui, niente password di recupero. Il sistema FIDO resiste ai furti perché non posso essere indotto con l’inganno a digitare password o codici nel sito dei truffatori, visto che non ho nulla da digitare.

Inoltre quando accedo a un sito usando un nuovo dispositivo, il mio smartphone o altro dispositivo che contiene la mia chiave deve essere fisicamente nelle immediate vicinanze di quel nuovo dispositivo mentre lo autorizzo. Questa vicinanza viene verificata tramite una trasmissione Bluetooth. E così se voglio, per esempio, leggere la mia posta di Gmail sul computer di qualcun altro, devo solo visitare Gmail con quel computer, scrivere il mio indirizzo di mail e poi toccare il sensore d’impronta o guardare la telecamera del mio smartphone per autenticarmi.

Il controllo di vicinanza tramite Bluetooth impedisce a un ladro remoto di entrare nel mio account convincendomi con l’astuzia a confermare il suo accesso sul mio smartphone, e durante questo scambio di dati via Bluetooth il mio telefonino verifica anche che il computer si stia collegando al sito vero e non a un sito truffaldino che gli somiglia nel nome e nella grafica. In caso di furto del telefonino, il ladro dovrebbe riuscire a scavalcare il sensore d’impronta o il riconoscimento facciale per poter tentare di usare la chiave.

Tutto questo dovrebbe funzionare con qualunque sistema operativo (Windows, iOS, Android o altri), con qualunque browser moderno e con qualunque dispositivo recente.

Troppo semplice per essere sicuro? Troppo bello per essere vero? Lo scopriremo presto. La FIDO Alliance, che coordina lo sviluppo di questo sistema e include anche Intel, Qualcomm, Amazon e Meta oltre a banche e gestori di carte di credito, prevede che FIDO comincerà ad entrare in funzione entro la fine del 2022. In Giappone, già circa 30 milioni di utenti Yahoo sono già passwordless.  

È vero che si sente parlare di eliminazione delle password da almeno un decennio, ma la collaborazione di Apple, Google e Microsoft e il fatto che con il sistema FIDO tutto il necessario è già nelle mani di alcuni miliardi di utenti, che non devono comprare dispositivi appositi, potrebbero fare davvero la differenza.

Maggiori dettagli sul sistema FIDO sono reperibili sul sito Fidoalliance.org, nel blog ufficiale di Google e sul sito di Microsoft.

Fonte aggiuntiva: Ars Technica.

Sono disponibili al pubblico le nuove versioni dei principali sistemi operativi per computer, ossia Windows 11 e Mac OS 12 Monterey.

Una volta tanto non è urgente installarli: non introducono miglioramenti importanti della sicurezza, perlomeno per l’utente comune, per cui aggiornatevi se volete, ma non sentitevi particolarmente in obbligo. Non c‘è fretta: Windows 10 continuerà a essere supportato fino a ottobre del 2025.

Come sempre, prima di aggiornare un sistema operativo, fate un backup completo dei vostri dati e delle vostre applicazioni (meglio ancora, dell’intero sistema), controllate che le applicazioni che usate e il vostro hardware siano compatibili con la nuova versione di Windows/MacOS e ritagliatevi un paio d’ore di tempo per l’aggiornamento. 

Ho provato a installare sia Windows 11 sia MacOS Monterey, e anche sui miei computer non particolarmente potenti o recenti non sembrano causare rallentamenti. In entrambi i casi, il computer stesso vi avvisa se è compatibile o meno con l’aggiornamento non appena tentate di avviarlo.

Windows 11

La nuova versione del sistema operativo di Microsoft offre un nuovo design molto pulito, che però ha una scelta probabilmente controversa: il pulsante Start, che per decenni è stato nell’angolo in basso a sinistra, ora sta in basso al centro della Taskbar, sovvertendo abitudini e automatismi ben radicati nella memoria muscolare degli utenti. Si può riportare a sinistra andando nelle impostazioni di Windows 11.

A parte questo, una novità interessante di Windows 11 è che vi girano o gireranno anche le applicazioni Android, grazie al Windows Subsystem for Android (WSA), anche se con alcune limitazioni hardware e geografiche. C’è una gestione più potente dei monitor multipli e delle finestre multiple, arriva un nuovo Store delle app Microsoft e ci sono alcune migliorie per i gamer. Ma non ho visto nulla che mi faccia correre ad installarlo.

MacOS 12 (Monterey)

Il nuovo MacOS è installabile anche su computer piuttosto vecchiotti (ho appena finito di installarlo su un Mini del 2014). Anche qui non ci sono miglioramenti che fanno venire fretta di installarlo: sono arrivati gli shortcut, ossia dei “programmi” o script che permettono di automatizzare le operazioni ripetitive (tipo creare una GIF partendo da un video). I Mac possono ora essere usati come monitor e altoparlanti per altri dispositivi, tramite AirPlay: si può mostrare sullo schermo del Mac lo schermo di un iPhone, per esempio. I MacBook recenti hanno una funzione di consumo energetico ridotto (è nelle impostazioni della batteria). C’è un’opzione che consente di limitare notifiche e distrazioni.

La novità forse più interessante è lo Universal Control, che però non è ancora disponibile ma dovrebbe consentire prossimamente di usare una sola tastiera e un solo trackpad o mouse di un Mac per comandare altri Mac e iPad nelle sue vicinanze (che siano sulla stessa rete Wi-Fi e usino lo stesso Apple ID e soprattutto permetterà di trascinare e mollare un file da un dispositivo all’altro.

I nuovi MacBook Pro, per contro, rivelano una magagna piuttosto comica: il loro schermo ha una tacca, il notch, per ospitare la webcam, ma la barra menu situata in alto non ne tiene conto e alcune sue voci finiscono per essere nascoste dalla tacca. Piuttosto imbarazzante, per un’azienda che ha il culto del design e dell’estetica.

Questo tweet https://twitter.com/thelazza/status/1453307197115490317 mostra un problema serio dei nuovi Mac con la tacca per la webcam:

WTF HAHAHAHA HOW IS THIS SHIPPABLE? WHAT IS THIS?! pic.twitter.com/epse3Cv3xF

— Quinn Nelson (@SnazzyQ) October 26, 2021

Il problema è parzialmente risolvibile cambiando le impostazioni dello schermo in modo da sacrificarne una fettina.

Fonti aggiuntive: Howtogeek, Gizmodo.

Windows 11 offrirà una nuova interfaccia, funzioni di gioco migliorate e un app store che includerà sia applicazioni Windows tradizionali, sia applicazioni Android. Sì, perché Windows 11 potrà far girare anche le applicazioni Android dello store di Amazon. Se sentite il bisogno di avere TikTok sul vostro computer, potrete farlo.

Non correte a cercare di installarlo: Microsoft prevede di offrire Windows 11 “a inizio 2022” come scaricamento gratuito e che i PC con Windows 11 preinstallato siano disponibili “nel corso dell’anno”, anche se sono già in circolazione copie molto, molto preliminari. Attenzione, come al solito, a fidarvi di fornitori sconosciuti. 

Questo è Windows 11 nella sintesi di due minuti e 42 secondi preparata da Microsoft:

Prima di pensare di installare Windows 11 sul vostro computer attuale, usate questa app (Controllo Integrità) per sapere se è compatibile. Poi, se proprio non resistete all’attesa e volete sperimentare le anteprime che saranno disponibili tra pochi giorni, potete iscrivervi al programma Windows Insider. Attenzione: queste anteprime sono appunto sperimentali, vanno usate con cautela e non sono consigliate come ambiente di lavoro. Meglio aspettare; tanto Windows 10 resterà supportato fino al 2025. 

Però mi raccomando: aspettare non significa continuare a usare Windows 7.

Fonti aggiuntive: Ars Technica, Punto Informatico.

 

Flight Simulator di Microsoft è un software meraviglioso, con un livello di dettaglio e realismo assolutamente ipnotico per qualunque appassionato di volo. Consente addirittura di avere non solo le condizioni di luce reali di qualunque luogo del mondo a qualunque ora, ma anche di ambientare il volo nella situazione meteo effettiva di quel luogo in quel momento.

Intorno a questo simulatore, che mi sembra riduttivo definire videogioco, è nata una comunità di utenti che ne snidano le chicche più bizzarre, e c’è una di queste chicche che ha fatto sorridere molti utenti che conoscono bene la storia di Microsoft.

L’azienda fondata da Bill Gates, infatti, è diventata famosa per i suoi prodotti software che funzionano, sì, però hanno avuto una storica tendenza ad andare in crash nei momenti meno opportuni. Anni fa avevo iniziato una rubrica dedicata ai crash di Windows nei luoghi più divertenti (ne trovate altri sotto l’etichetta wincrash). Poi ho smesso per eccesso di segnalazioni.

Il crash di Windows 98 durante la presentazione al pubblico ad aprile 1998, fece epoca: il dimostratore, Chris Capossela, stava presentando alla platea del COMDEX, una delle più grandi fiere mondiali dell’informatica, la nuova versione di Windows, sotto l’occhio vigile del suo capo, Bill Gates. 

Windows 98 andò in crash sullo schermo gigante della sala facendo comparire il mitico Schermo Blu della Morte, fra le incontenibili risate della platea. Gates salvò la situazione con una battuta: “È per questo che non lo stiamo ancora distribuendo?”

Insomma, le barzellette sugli inceppamenti di Windows sono un classico della cultura informatica, ma torno sull’argomento perché mi è stata segnalata una chicca di Flight Simulator: il tutorial del software che dovrebbe insegnare a volare porta invece il malcapitato giocatore a schiantarsi sulle case, perdendo man mano quota mentre la voce dell’istruttore continua serenamente a spiegare come leggere gli strumenti.

dark laughter at how Microsoft Flight Simulator currently has a bug in the tutorial that causes the instructor to calmly do a Controlled Flight Into Terrain while explaining how to read the instruments pic.twitter.com/Dgfs30G1Mo

— Richard (@halkyardo) April 11, 2021

Il bello è che l’allievo non può riprendere i comandi e lo schianto avviene proprio quando la calmissima voce femminile dell’istruttore dice “E ora, per ultimo ma non meno importante, controlla il tuo altimetro...” È, insomma, un crash vero e proprio.

Un Disinformatico e appassionato simmer, Luca, mi ha inviato questo video che mostra tutto il tutorial, e mi dice che ha verificato l’esistenza di questo crash nella versione 1.14.6.0 di Flight Simulator, ma che l’aggiornamento di ieri alla 1.15.7.0 lo ha corretto.

Beh, è stato bello finché è durato.

Nove milioni di zombi si aggirano su Internet. No, non sono gli utenti rintronati dei social network che diffondono a pappagallo qualunque bufala: sono computer zombi.

Microsoft ha annunciato di aver partecipato alla disattivazione di una delle reti di computer zombi più grandi del pianeta: una botnet denominata Necurs.

Necurs esisteva dal 2012 e il suo malware, secondo le stime di Microsoft, aveva colpito oltre nove milioni di computer, principalmente in India ma anche in quasi tutti gli altri paesi del mondo ad eccezione della Russia. Non è un caso: il malware era programmato per non infettare un computer sul quale rilevava la presenza di una tastiera russa.

Fra le malefatte di Necurs si può citare il ransomware Locky, che bloccava i computer chiedendo un riscatto per sbloccarli, trojan per rubare da conti bancari, truffe sentimentali, furti di password, una quantità straordinaria di spam e una truffa borsistica del tipo pump and dump (in cui i truffatori promuovono un titolo di cui hanno azioni per convincere le vittime a comperarlo e farne salire artificiosamente la quotazione, e poi guadagnano vendendo quel titolo).

Ci sono voluti ben otto anni per tracciare e pianificare la disattivazione di Necurs. Microsoft e i suoi partner d’indagine hanno decifrato le tecniche usate dai criminali e hanno potuto così giocare d’anticipo bloccandoli nella creazione automatica di domini usati per inviare comandi ai computer infettati.

Ora resta il compito di ripulire i computer infettati, che non hanno più un coordinatore nascosto ma continuano a ospitare il malware. Per questo esistono gli antivirus, che riconoscono le tracce di Necurs e le eliminano.

Lo so che sembra il classico annuncio-bufala che gira nelle catene di Sant’Antonio, ma stavolta è vero che Microsoft ha pubblicato un avviso che segnala un difetto importante nella sicurezza di Internet Explorer (CVE-2020-0674), che permette a un aggressore di prendere il controllo del computer della vittima, per esempio installando programmi, leggendo i dati oppure cambiandoli o cancellandoli.

L’attacco richiede soltanto che la vittima venga indotta a visitare un sito Web appositamente confezionato.

Il difetto al momento non ha un rimedio sotto forma di aggiornamento correttivo, ma Microsoft dice che ci sta lavorando. L’azienda precisa inoltre di aver già rilevato casi di attacco mirato che sfruttano questa falla.

La soluzione, per il momento, è semplice: non usare Internet Explorer per accedere a siti Internet e sostituirlo con qualunque altro browser, come Firefox, Google Chrome, Opera o Edge della stessa Microsoft.

Il 10 dicembre scorso è terminato ufficialmente il supporto per Windows 10 Mobile, come annunciato sul sito di Microsoft.

Non ci saranno più aggiornamenti o patch del sistema operativo. Le singole app verranno aggiornate dai rispettivi produttori se lo vorranno. Microsoft consiglia esplicitamente ai clienti di passare “a un dispositivo Android o iOS supportato”.

I telefonini Windows Phone continueranno a funzionare, ma tutte le loro operazioni che dipendono da servizi online Microsoft cesseranno gradualmente. Il supporto per Office cesserà a gennaio 2021.

È una fine annunciata da tempo ma comunque piuttosto ingloriosa per questo tentativo di Microsoft di farsi strada nella telefonia, iniziato nel 2010 con Windows Phone 7, pensato come sostituto di Windows CE e Windows Mobile.

Windows Phone aveva un’interfaccia molto particolare e immediatamente riconoscibile, con i suoi pratici quadrettoni al posto delle icone di Android e iOS, che richiamavano la grafica di Windows per PC e tablet. Al debutto, oltretutto, faceva cose che l’iPhone non era in grado di fare, come sincronizzare la musica e le foto via Wi-Fi. E negli anni successivi si dimostrò spesso meno vulnerabile di Android e iOS.

Samsung, HTC, Nokia e altre marche sfornarono telefonini Windows Phone, ma il mercato rimase dominato dai sistemi concorrenti, e gli sviluppatori esterni a Microsoft non si fecero entusiasmare e raramente crearono versioni Windows Phone delle loro app. Mancando le app, gli utenti evitarono Windows Phone, in un circuito vizioso che poteva concludersi solo in un modo, e così è stato.

Mi tengo ancora stretto il mio Lumia 1020 giallo, ricevuto al Premio Macchianera 2013, con la sua straordinaria fotocamera con sensore da 41 megapixel.


Fonte aggiuntiva: The Register.

Ultimo aggiornamento: 2019/08/16 1:40.

Dopo Siri, Google Assistant e Amazon Echo, ora tocca a Microsoft: secondo Motherboard, le conversazioni fatte via Skype usando la sua funzione di traduzione possono essere ascoltate da dipendenti e subappaltatori di Microsoft.

Per migliorare la qualità della funzione, infatti, degli spezzoni di conversazione vengono messi a disposizione di questo personale per verificare la bontà della traduzione o correggerla. Secondo Microsoft, questi spezzoni vengono resi anonimi, ma non c’è nulla che impedisca a un utente di dire qualcosa che lo identifichi (il nome e cognome o un indirizzo).

Questo comportamento non è segreto, ma di certo è poco noto agli utenti: è indicato un po‘ vagamente nelle FAQ di privacy di Skype Translator (tradotte in italiano da un software di traduzione automatica, ironicamente, e tradotte pure maluccio) (copia su Archive.org):

Quando utilizza la traduzione su Skype, contenuti personali conversazione raccolte e come viene utilizzato?

Quando si utilizzano funzionalità di conversione del Skype, Skype raccoglie e utilizza la conversazione che consentono di migliorare i prodotti e servizi Microsoft. Per agevolare la conversione e la tecnologia di riconoscimento vocale apprendimento e crescita, frasi e le trascrizioni automatiche vengono analizzate e le correzioni vengono immessi nel sistema, per creare ulteriori servizi ad alte prestazioni. Per proteggere la privacy degli utenti, le conversazioni che vengono utilizzate per analisi utilizzo software del prodotto vengono indicizzate con gli identificatori alfanumerici che identifica i partecipanti alla conversazione.

L’originale:

When I use translation on Skype, is my conversation content collected and how is it used?

When you use Skype’s translation features, Skype collects and uses your conversation to help improve Microsoft products and services. To help the translation and speech recognition technology learn and grow, sentences and automatic transcripts are analyzed and any corrections are entered into our system, to build more performant services. To help protect your privacy, the conversations that are used for product improvement are indexed with alphanumeric identifiers that do not identify participants to the conversation.

Microsoft non dice esplicitamente* che questo lavoro di raccolta e utilizzo delle conversazioni viene svolto da esseri umani e anzi dà l’impressione che sia Skype, un software, a farlo. E il fatto che qualcuno sia stato in grado di far arrivare questi spezzoni di parlato ai giornalisti non è un indicatore molto rassicurante sul livello di protezione di questi dati personali.


È meglio mettere in conto una regola molto semplice: se il fornitore di un servizio vocale dice che raccoglie alcuni campioni di parlato per migliorare il servizio, conviene presumere che questa raccolta faccia finire quelle conversazioni nelle mani e nelle orecchie di qualcuno, non di una macchina. Che quindi sarà tentato di origliare. Indovinate cosa dice la privacy policy di Cortana, l’assistente vocale di Microsoft:

Quando usi la voce per chiedere o dire qualcosa a Cortana o per richiamare Skills, Microsoft usa i dati sulla tua voce per rendere più efficiente l'interpretazione del modo in cui parli, al fine di continuare a migliorare il riconoscimento e le risposte di Cortana, nonché degli altri prodotti e servizi Microsoft che usano il riconoscimento vocale e la comprensione delle intenzioni dell'utente.

Se volete ripulire la cronologia delle cose che avete detto a Cortana, andate a account.microsoft.com/privacy.

Questo articolo è il testo, leggermente ampliato, del mio podcast settimanale La Rete in tre minuti su @RadioInblu, in onda ogni martedì alle 9:03 e alle 17:03. 

I libri cesseranno di funzionare. No, non è il titolo di un film distopico o una previsione di qualche catastrofista: è la sintesi di un annuncio fatto da Microsoft per comunicare ai clienti dei propri libri digitali che da questo mese tutti i libri acquistati dagli utenti nell’apposito negozio online di Microsoft non saranno più leggibili.

Questi libri, infatti, sono protetti da un sistema anticopia, il cosiddetto Digital Rights Management o DRM, per cui per poterli leggere è necessario che Microsoft mantenga attivi i siti che gestiscono questo sistema. Ma l’azienda ha deciso invece di disattivarli e di rimborsare gli utenti per le loro spese.

Per fare un paragone, è come se una libreria chiudesse e il libraio irrompesse in casa vostra, senza il vostro consenso, e vi portasse via tutti i libri che vi ha venduto, lasciandovi i soldi equivalenti sul comodino. Ed è tutto legale.

I libri digitali protetti dai sistemi anticopia, infatti, vengono solo concessi in licenza all’utente, non venduti a tutti gli effetti, anche se i negozi Internet che offrono questi libri solitamente usano il verbo “comprare”. Questa licenza è revocabile, e in questo caso è stata revocata.

Non è il primo episodio del suo genere: anche Amazon e Apple, in passato, hanno revocato licenze e tolto ai clienti le copie delle canzoni, dei libri o dei film lucchettati dal DRM. Ora è il turno di un altro grande nome del mondo digitale, e come in passato ci si scandalizza brevemente e poi tutto torna come prima.

Il risultato di questa indifferenza dei consumatori e dei legislatori è che sono sempre più numerosi non solo i libri e i brani musicali digitali vincolati dal DRM, ma anche i dispositivi soggetti a questa stessa revocabilità. Jibo, per esempio, è un simpatico robottino da 900 dollari che ora è inservibile perché il sito che lo gestisce è stato chiuso dai produttori. Se avete un altoparlante smart Alexa di Amazon o quello di Google, tenete presente che il suo funzionamento dipende dalla disponibilità dei server appositi di queste aziende, senza i quali è praticamente inutile. E se pensate che sia improbabile che nomi grandi come Amazon o Google possano chiudere, o decidere di revocare questi servizi, tenete presente che è lo stesso ragionamento che hanno fatto i clienti dei libri digitali di Microsoft. Che adesso si trovano con una catasta di bit illeggibili.

Certo, esistono dei programmi che tolgono questi lucchetti digitali ai libri, ai film e alle canzoni, ma sono quasi sempre illegali, pochi sanno come usarli, e comunque ricostruire un libro alla volta una biblioteca accuratamente selezionata è impraticabile. Anche se il DRM viene proposto come sistema antipirateria, insomma, ancora una volta si ritorce contro il consumatore onesto, mentre i pirati continuano ad operare indisturbati.

Prima di fare acquisti, insomma, a noi utenti conviene leggere attentamente le avvertenze, o chiedere il consulto di un esperto, per capire se quello che compriamo è veramente nostro oppure è in realtà concesso soltanto in licenza revocabile. Altrimenti rischiamo di lasciare ai nostri figli il nulla digitale.


Fonti aggiuntive: BoingBoing, The Register, Wired.com.

Lo so, insisto spesso sul concetto che gli aggiornamenti del software sono importanti e vanno fatti perché risolvono falle di sicurezza che mettono a rischio gli utenti. Ma tanta, troppa gente insiste a non ascoltare queste raccomandazioni (che non sono solo mie, ovviamente) e continua a usare dispositivi dotati di software non solo non aggiornato ma spesso anche totalmente obsoleto. E ogni tanto arriva una lezioncina che spiega meglio di me perché aggiornarsi è bene.

Nei giorni scorsi sono uscite notizie da panico a proposito di falle gravissime in Skype, che oltretutto Microsoft avrebbe deciso di non correggere perché sarebbe stato troppo difficile farlo: La falla in Skype che Microsoft non correggerà (Zeus News), Falla Skype, codice sorgente tutto da riscrivere (Fastweb.it), Skype non è sicuro, falla nel sistema: Microsoft non vuole rimediare, troppo difficile (Investire oggi), Skype: grave bug mette in pericolo la piattaforma ma il fix richiede ''troppo'' lavoro (HWupgrade.it), eccetera eccetera.

La falla (un DLL hijacking che permetteva di prendere il controllo del PC) era stata scoperta da un ricercatore, Stefan Kanthak, ma a detta di questi articoli risolverla avrebbe comportato la riscrittura quasi totale di Skype e quindi Microsoft avrebbe lasciato perdere. Non è così. Kanthak ha frainteso la risposta datagli da Microsoft, ossia che sarebbe stato necessario un riesame approfondito del software (vero), e ne ha dedotto erroneamente che questo riesame non fosse stato fatto.

In realtà, nota The Register, la vulnerabilità è presente in Skype per Windows solo fino alla versione 7.40. Nella versione 8, rilasciata a ottobre scorso, la falla non c’è più, come ha spiegato Microsoft.

In altre parole, basta aggiornarsi e il problema sparisce. Niente panico.

Un “ottimizzatore”. Credit: Ars Technica.

Uno dei problemi più frequenti che incontro nelle segnalazioni dei lettori e degli ascoltatori riguarda il fatto che il loro computer è diventato lento e che hanno installato un’app di ottimizzazione per tentare di risolvere il rallentamento. Di solito l’app è stata installata seguendo un invito comparso sullo schermo durante la navigazione in Rete.

Questi inviti sono quasi sempre delle trappole pubblicitarie e gli “ottimizzatori” o “pulitori di Registro” che reclamizzano sono inefficaci nel migliore dei casi e spesso sono dannosi e infettanti. Come regola generale, non bisognerebbe mai installare nulla seguendo un invito pubblicitario.

A partire da marzo Microsoft interverrà attivamente per rimuovere dai computer degli utenti queste false app di ottimizzazione. Lo farà tramite Windows Defender, l’anti-malware integrato in Windows. In generale, Defender agirà rimuovendo qualunque app che segnali errori in maniera esagerata senza fornire dettagli e richieda un pagamento, la partecipazione a un sondaggio, lo scaricamento di un file o simili. In sostanza, qualunque software che abbia un tono coercitivo verrà considerato software indesiderato secondo questi nuovi criteri.

Era ora.

Ironie dell'informatica: Windows Defender, il prodotto anti-malware di Microsoft integrato nelle versioni recenti di Windows, è risultato sfruttabile per infettare un computer semplicemente mandandogli una mail o un messaggio che venga esaminato da Defender. Sui sistemi non aggiornati all'ultima versione l'attacco ha successo senza alcun intervento dell'utente.

Niente panico: dopo l'annuncio pubblico della scoperta della falla sabato scorso da parte di Tavis Ormandy (Google Project Zero), Microsoft è corsa subito ai ripari e la falla è stata turata martedì scorso a tempo di record.

Se vi interessano i dettagli tecnici, segnalo questo articolo di Ars Technica e l'avviso di Microsoft; se volete verificare se avete l'aggiornamento che risolve questa magagna decisamente grave, in Windows 10 andate a Start - Impostazioni - Aggiornamento e sicurezza - Windows Defender e controllate che alla voce Versione motore ci sia un numero non minore di 1.1.13704.0. Se non l'avete, aggiornatevi usando le consuete procedure di Windows.

Sembra il classico video promozionale di un prodotto Apple, fino al momento in cui compare il marchio Microsoft. Lo spot di Microsoft Surface Studio, un computer con schermo tattile immenso e un design elegantissimo, ha messo completamente in secondo piano le novità presentate pochi giorni fa da Apple per i propri portatili.

Sì, Apple ha presentato i nuovi MacBook Pro, più leggeri e compatti, con processori aggiornati, nuovi schermi, un lettore d’impronte digitali e soprattutto con la Touch Bar, una striscia OLED a colori, sensibile al tocco, che sostituisce la fila di tasti funzione e visualizza icone e funzioni differenti in base al contesto, con mille possibili applicazioni. Ma si tratta di affinamenti e gadget, non di grandi novità. Microsoft Surface Studio è un’altra storia.



È un’altra storia perché non capita spesso di associare un wow ai prodotti Microsoft, il cui design è di solito molto prudente e passa inosservato; ma un computer da tavolo con uno schermo touch da 28 pollici ultrasottile con una risoluzione di 4500x3000 pixel, che si può inclinare come un leggio, in posizione perfetta per disegnare, o disporre verticalmente in maniera più tradizionale, un wow se lo merita. Il confronto con l’iMac di punta di Apple è inevitabile: l’iMac è leggermente più piccolo (27 pollici), ha una risoluzione orizzontale maggiore (5120x2880), ma non è touch, e per chi fa grafica questo è fondamentale.

Ciliegina sulla torta, c’è anche il Surface Dial, una sorta di manopola wireless personalizzabile che consente in modo intuitivo e veloce di scegliere una tavolozza di colori, regolare il volume, ruotare un oggetto disegnato sullo schermo o far scorrere una pagina. Insieme allo stilo con 1024 livelli di sensibilità alla pressione, il nuovo Surface Studio è un sogno per qualunque artista grafico.

Certo, il design e le prestazioni implicano un costo non trascurabile (da 3000 a 4200 dollari), ma la compatibilità completa con le applicazioni per ufficio di Microsoft probabilmente consentirà a questa fuoriserie informatica di fare bella figura sulle scrivanie di tanti manager e artisti che vogliono combinare l’estetica con la funzionalità.

Il recente bollettino di sicurezza di Microsoft non lascia molta scelta: ci sono nove falle da turare, cinque delle quali sono classificate al grado più alto di pericolosità, ossia “critico”.

L’aggiornamento che le risolve è già disponibile, per cui è opportuno installarlo appena possibile: le falle, infatti, riguardano i browser Internet Explorer ed Edge, rendendo gli utenti vulnerabili ad attacchi effettuabili semplicemente convincendoli a visitare una pagina Web appositamente confezionata; toccano anche Office, con vulnerabilità sfruttabili se l’utente apre un documento Office contenente istruzioni nascoste, ricevuto per esempio come allegato.

Ci sono anche falle critiche nella gestione dei font da parte di Windows, che potrebbero consentire all’aggressore di prendere il controllo del computer, e nella gestione dei documenti PDF pubblicati sui siti Web.

La buona notizia è che nessuna di queste falle è al momento sfruttata da attacchi in corso, ma di norma questi attacchi arrivano poco dopo la pubblicazione degli aggiornamenti che le risolvono e le descrivono. La pubblicazione, infatti, consente inevitabilmente ai criminali informatici di sapere dove concentrare i propri sforzi.

Apple, intanto, ha reso disponibile iOS 9.3.4, e anche in questo caso conviene aggiornarsi appena possibile, perché l’aggiornamento risolve una falla scoperta da Team Pangu, un gruppo di informatici noto soprattutto per i suoi strumenti di jailbreak. Apple, come al solito, è reticente nei dettagli e dice solo che la falla consente a un’applicazione di “eseguire codice arbitrario con privilegi di kernel”. Traduzione: è una brutta falla che permetterebbe a un’app ostile di far danni molto gravi. Correggetela installandola nella solita maniera.

Vedo molte segnalazioni di utenti Windows 7 e 8.1 che dicono di essersi trovati obbligati da Microsoft a installare Windows 10: in sostanza, segnalano che cliccare sulla X nella finestra di invito ad aggiornarsi (per ora, e fino a luglio, gratuitamente) a Windows 10 non rifiuta l’aggiornamento, come sarebbe normale, ma lo consente. Altri utenti segnalano che la X che consente di chiudere la finestra stessa è scomparsa e ora hanno soltanto la possibilità di scegliere quando installare Windows 10, ma non di rifiutarsi di farlo.

Ci sono ottime ragioni per non volere Windows 10: applicazioni o componenti incompatibili, per esempio (addirittura Samsung lo ha sconsigliato, ma poi ha cambiato idea). Anche chi vuole migrare a Windows 10 magari vuole avere la libertà di scegliere quando farlo e non trovarsi con il computer bloccato da un aggiornamento nel momento meno opportuno. Che fare?

Alcuni esperti consigliano di installare Never 10 di Steve Gibson, che disabilita reversibilmente l’aggiornamento automatico a Windows 10. Un’altra soluzione è non accettare la licenza (EULA) di Windows 10. In alternativa si può fare entro 31 giorni un rollback andando nelle impostazioni, scegliendo la sezione degli aggiornamenti e chiedendo di ripristinare e di disinstallare Windows 10.

Esistono anche altri metodi, ma richiedono interventi piuttosto delicati che non sono alla portata di tutti gli utenti. Una cosa da non fare, invece, è disabilitare gli aggiornamenti di Windows 7 e 8.1: è vero che questo blocca l’aggiornamento a Windows 10, ma blocca anche gli aggiornamenti di sicurezza e lascia il computer vulnerabile agli attacchi.

È disponibile un nuovo aggiornamento del player di Adobe Flash, che porta Flash alla versione 21.0.0.182 sotto Windows e OS X e alla 11.2.202.577 sotto Linux.

Molti computer sono configurati per aggiornarsi automaticamente, ma se necessario il player aggiornato è scaricabile manualmente qui o qui. Google Chrome e Microsoft Edge aggiornano separatamente e automaticamente il proprio player Flash.

Questo aggiornamento risolve ben 23 falle di sicurezza, indicate nel bollettino 16-08 di Adobe. Molte di queste falle sono etichettate come “critiche” (permettono di prendere il controllo del computer della vittima).

Come consueto, potete verificare quale versione di Flash avete visitando questa pagina di Adobe con ciascuno dei browser che avete installato. Potete anche impostare Flash in modo che vi chieda il consenso per attivarsi sito per sito. Se invece preferite rimuovere Flash del tutto, le istruzioni in italiano sono qui per Windows e qui per Mac.

Microsoft, invece, ha rilasciato tredici aggiornamenti che coprono falle di sicurezza in Internet Explorer, Edge, Office e varie versioni di Windows. Sono particolarmente interessanti le correzioni che risolvono difetti che consentono di prendere il controllo del computer semplicemente convincendo la vittima a visitare una pagina contenente un video oppure inserendo una chiavetta USB appositamente alterata.

Anche Android ha degli aggiornamenti: diciannove in tutto, di cui sette a coprire falle critiche che consentono di prendere il controllo del dispositivo via mail, via Web o via MMS. Nessuna delle falle è sfruttata da criminali, al momento, ma probabilmente è solo questione di tempo.

Aggiornarsi prontamente è infatti importante, come sempre, perché dopo l’uscita di un aggiornamento i criminali informatici creano e rilasciano rapidamente nuove versioni dei propri malware che sfruttano le vulnerabilità descritte dai bollettini di aggiornamento e hanno effetto su chi non si è aggiornato. Purtroppo nel caso di Android molti produttori di telefonini non rilasceranno mai l’aggiornamento, specialmente per i modelli non recenti, per cui gli utenti resteranno vulnerabili salvo acrobazie al di fuori della portata del consumatore medio. Se potete, insomma, aggiornatevi. Buon lavoro.


Fonti aggiuntive: The Register.

Credit: Wikipedia.

Nella questione della richiesta dell’FBI ad Apple di sbloccare il telefonino appartenuto a uno dei terroristi della strage di San Bernardino, in California, è entrato un altro nome che conta: Microsoft. Cosa più unica che rara, Microsoft si è schierata con Apple e contro l’FBI, e lo ha fatto con le parole di Brad Smith, President e Chief Legal Officer dell’azienda, che annunciano il deposito di una memoria legale in favore di Apple.

La memoria è sottoscritta non solo da Microsoft ma anche da molti altri nomi importantissimi dell’economia digitale: Amazon, Box, Cisco, Dropbox, Evernote, Facebook, Google, Mozilla, Nest Labs, Pinterest, Slack, Snapchat, WhatsApp e Yahoo. Tutti contrari alla richiesta dell’FBI.

In sintesi, spiega la memoria, secondo queste aziende “l’ordine del governo ad Apple supera i limiti delle leggi esistenti e, se applicato più estesamente, sarà dannoso per la sicurezza degli americani a lungo termine”. Questi grandi nomi collaborano regolarmente con le forze dell’ordine e molti “hanno squadre di dipendenti a tempo pieno... dedicate a rispondere alle richieste di dati dei clienti da parte delle forze di polizia”. Nessun desiderio di fiancheggiare criminali o terroristi: non c’è alcun “interesse a proteggere coloro che violano la legge. Ma [queste aziende] respingono l’affermazione infondata del governo secondo la quale la legge consentirebbe al governo stesso di requisire e comandare i tecnici di un’azienda per minare le funzioni di sicurezza dei loro prodotti”.

Spiega Brad Smith nell’annuncio: “L’ordine del tribunale a sostegno della richiesta dell’FBI cita l’All Writs Act, che è entrato in vigore nel 1789 ed è stato emendato in modo significativo per l’ultima volta nel 1911. Riteniamo che le questioni sollevate dal caso Apple siano troppo importanti per affidarle a una normativa ristretta risalente a un’altra era tecnologica per colmare quella che il governo ritiene sia una lacuna delle leggi attuali. Dovremmo invece rivolgerci al Congresso per trovare l’equilibrio necessario per la tecnologia del ventunesimo secolo... Se vogliamo proteggere la privacy personale e mantenere la sicurezza delle persone, la tecnologia del ventunesimo secolo va governata con leggi del ventunesimo secolo”.

Dopo aver citato il rispetto per il lavoro delle forze dell’ordine e le collaborazioni di Microsoft con gli inquirenti, Smith esprime un altro concetto fondamentale: “la gente non userà tecnologie di cui non si fida”. In altre parole, obbligare Apple (e poi, inevitabilmente, Microsoft e gli altri) a indebolire la sicurezza del proprio software non aiuterà gli inquirenti: i criminali e i terroristi non faranno altro che rivolgersi ad altri fornitori di hardware e software meno insicuri. Inoltre: “...la cifratura forte ha un ruolo vitale nel creare fiducia. Aiuta a proteggere le informazioni personali e i dati proprietari aziendali sensibili contro hacker, ladri e criminali, e non dovremmo creare delle backdoor tecnologiche che minino queste protezioni. Farlo ci esporrebbe tutti a rischi maggiori.... prendendo le difese di Apple, prendiamo le difese dei clienti che contano su di noi per tenere sicure e protette le proprie informazioni più private.”

Più chiaro di così non si può. Ma la vicenda ha anche un altro aspetto profondamente interessante: le crescenti richieste governative di accesso ai dati digitali dei sospettati custoditi dalle aziende nei cloud stanno trasformando il modo in cui queste aziende vedono i dati dei clienti. Se finora hanno pensato che questi dati potessero essere una miniera d’oro da analizzare e rivendere (Google e Facebook basano su questo i propri imperi economici), ora stanno cominciando a rendersi conto che avere accesso alle informazioni private dei clienti non è una risorsa, ma un onere. Un onere che espone colossi come Apple a richieste governative che possono devastarne il modello commerciale.

Nella questione è entrato anche Edward Snowden, con la sua solita brillante e concisa analisi su Twitter: “Se oltre all’utente c’è qualcun altro che può entrare, non è sicuro. L’accessibilità da parte del fabbricante è una vulnerabilità.” Per fare un paragone con situazioni più familiari, lo scenario che il governo americano sta cercando di far accettare è l’equivalente di una legge che obbliga i costruttori di case a custodire una copia delle chiavi d’ingresso di ogni casa che costruiscono. Il risultato è che i dipendenti infedeli dei costruttori possono abusare di queste chiavi e quelli fedeli sono soggetti all’interesse di criminali che, di fronte alla possibilità di razziare le case impunemente, non esiterebbero a ricorrere a corruzione e ricatti di quei dipendenti.

Ed è per questo che Apple e altri grandi nomi dell’informatica si stanno evolvendo verso una custodia dei dati dei clienti nella quale soltanto il cliente è in grado di decifrare i propri dati. Non per proteggere i criminali, ma per proteggere gli onesti.

La navigazione privata è molto utile: permette per esempio di cercare online un regalo per il proprio partner senza che rimanga memoria dei siti visitati e permette di usare il computer altrui per leggere la propria mail o il proprio profilo su un social network senza lasciare tracce dei propri dati personali. Naturalmente permette di fare anche altri generi di navigazione solitaria, ma lasciamo stare: quello che conta è che si può sfogliare Internet senza che ne rimanga traccia locale (il fornitore di accesso a Internet, invece, sa esattamente quali siti sono stati visitati).

Gli utenti si fidano della navigazione privata, insomma, per tutelare aspetti molto personali della propria attività informatica: ma nel caso di Edge, il nuovo browser di Microsoft che mira a sostituire Internet Explorer, questa fiducia non è ben riposta, secondo il ricercatore di sicurezza Ashish Singh di Forensic Focus, che spiega che Edge in modalità di navigazione privata conserva memoria dei siti visitati. In altre parole, la navigazione privata non è affatto privata.

I nomi dei siti visitati in modalità privata, infatti, vengono scritti nel file \Users\user_name\AppData\Local\Microsoft\Windows\WebCache, dal quale sono quindi facilmente recuperabili; anzi, sono etichettati chiaramente come siti visitati durante la navigazione privata.

Microsoft dice di essere al corrente della segnalazione del problema e si è impegnata a risolvere la magagna il più presto possibile. In attesa di questa risoluzione è opportuno evitare di fidarsi della navigazione privata con Edge e usare quella di browser alternativi.