Questo articolo è disponibile anche in versione podcast audio.

Due punti, aperta parentesi tonda, chiusa parentesi tonda, aperta parentesi graffa, spazio, due punti, barra verticale, due punti, E commerciale, spazio, chiusa parentesi graffa, punto e virgola, due punti.

Questi tredici caratteri, spazi compresi, sono tutto quello serve per mandare in crash quasi tutti i computer. Non importa se usate Windows, Linux o macOS: se digitate questa esatta sequenza di caratteri in una finestra di terminale o in una riga di comando, il vostro computer quasi sicuramente si bloccherà e sarà necessario riavviarlo, perdendo tutti i dati non salvati. Non è necessario essere amministratori del computer.

Ovviamente digitare questa sequenza di caratteri non è un esperimento da provare su un computer che state usando per lavoro o che non potete permettervi di riavviare bruscamente.

Ma come è possibile che basti così poco?

Quella sequenza di caratteri non è una falla recente: è un problema conosciuto da decenni e si chiama fork bomb o rabbit virus o ancora wabbit. Il primo caso di fork bomb risale addirittura al 1969. Non è neanche un virus: fa parte del normale funzionamento dei computer.

Semplificando in maniera estrema, ogni programma o processo che viene eseguito su un computer può essere duplicato, formando un processo nuovo che viene eseguito anch’esso. Questa duplicazione si chiama fork, nel senso di “biforcazione”. A sua volta, il processo nuovo può creare una copia di sé stesso, e così via.

Se si trova il modo di far proseguire questa duplicazione indefinitamente, prima o poi verranno creati così tanti processi eseguiti simultaneamente che il computer esaurirà le risorse disponibili, come la memoria o il processore, e quindi andrà in tilt, paralizzandosi per il sovraccarico e costringendo l’utente a uno spegnimento brutale e a un riavvio.

Questa trappola letale è stata per molto tempo un’esclusiva dei sistemi Unix e quindi anche di Linux, ma oggi esiste anche in macOS e in Windows 10 e successivi. Questi sistemi operativi, infatti, includono quella che si chiama shell bash, ossia un particolare interprete dei comandi (chiamato bash) usato anche dai sistemi Linux e Unix. Dare a questo interprete quei tredici caratteri è un modo molto conciso di ordinargli di generare un processo che generi un processo che generi un processo e così via.

Non è l’unica maniera di avviare questa reazione a catena: ce ne sono molte altre, anche per le vecchie versioni di Windows, ma questa è particolarmente minimalista.

:() definisce una funzione di nome ":" e il cui contenuto è quello che si trova fra le parentesi graffe

:|:& è il contenuto della funzione, ed è una chiamata alla funzione stessa (":"), seguita da un pipe (che manda l’output della funzione chiamata a un’altra chiamata della funzione ":") e da un ampersand (che mette in background la chiamata)

; conclude la definizione della funzione

: ordina di eseguire la funzione di nome ":"

È forse più chiaro se si usa bomba per dare un nome “normale” alla funzione e si usa una notazione meno ermetica:

bomba() {
  bomba | bomba &
}; bomba

Difendersi non è facilissimo per l’utente comune: ci sono dei comandi che permettono di porre un limite al numero di processi che è possibile creare, ma comunque non offrono una protezione perfetta. In alternativa, si può tentare di disabilitare la shell bash in Windows, ma le conseguenze possono essere imprevedibili.

In parole povere, il modo migliore per evitare una fork bomb è impedire che un burlone o malintenzionato possa avvicinarsi, fisicamente o virtualmente, alla tastiera del vostro computer.

Fonti aggiuntive: Apple, Cyberciti, Okta.

C’è una funzione di Internet che è poco conosciuta dal grande pubblico, nonostante il fatto che quel grande pubblico vi interagisce oltre cinquecento miliardi di volte al giorno e che questa funzione produce ricavi per più di 117 miliardi di dollari l’anno. Eppure pochi sanno cosa sia il real-time bidding. Molti non sanno neanche che esiste e quanto possa essere invadente. Provo a raccontarvelo.

Quando vediamo una pubblicità su un sito Web, spesso quella pubblicità è stata inserita nel sito automaticamente al termine di un’asta silenziosa che è durata qualche millisecondo: il tempo che passa fra l’istante in cui clicchiamo su un link e l’istante in cui la pagina desiderata corrispondente compare sul nostro schermo. Quella velocissima asta in tempo reale, gestita dai grandi operatori pubblicitari di Internet, come per esempio Google, è il real-time bidding.

Funziona grosso modo così: immaginate di visitare il sito di promozione turistica di una certa località, per esempio Parigi. Nel momento in cui ne digitate il nome e premete Invio o cliccate sul suo link trovato in Google, Google stessa sa che probabilmente siete interessati a visitare Parigi e sa grosso modo dove vi trovate in base al vostro indirizzo IP. 

Il sistema di real-time bidding di Google può quindi annunciare alle agenzie pubblicitarie che siete una delle, per esempio, diciottomila persone che vivono nella vostra regione e che in quel momento sono interessate ad andare a Parigi. A quel punto chiede a queste agenzie quale è disposta ad offrire di più per far comparire una pubblicità di un suo cliente sul vostro schermo. Spesso Google sa già qual è il migliore offerente, perché le agenzie pubblicitarie hanno già immesso nei suoi database le loro offerte per i vari tipi di utente.

E così Google, nel giro di qualche millesimo di secondo, fa comparire sul vostro schermo la pubblicità dei prodotti gestiti dall’agenzia che ha offerto di più. 

---

Detto così sembra tutto abbastanza innocuo, ma c’è un problema. Secondo un recente rapporto dell’Irish Council for Civil Liberties o ICCL, una associazione irlandese per la tutela dei diritti civili, il real-time bidding è “la più grande violazione di dati personali mai vista”, che “agisce dietro le quinte nei siti web e nelle app, traccia quello che guardi, non importa quanto sia privato o sensibile, e registra dove vai. Ogni giorno trasmette continuamente questi dati su di te a una serie di aziende, permettendo loro di profilarti”.

Le società che gestiscono il real-time bidding, ossia principalmente Google ma anche Microsoft, Facebook e Amazon, raccolgono infatti molti dati su ciascun utente: non solo la localizzazione e il nome del sito che sta visitando, ma anche altre informazioni, per esempio tramite i cookie, e questo permette di costruire un profilo del valore pubblicitario di ciascun utente. Non ci sono salvaguardie tecniche che impediscano ad altre aziende senza scrupoli di utilizzare questi profili.

Infatti un’indagine del Financial Times ha segnalato che esiste un mercato illegale di scambio dei dati più sensibili, come l’appartenenza a un’etnia, l’orientamento sessuale, lo stato di salute e le opinioni politiche. L’ICCL segnala che la cosiddetta tassonomia, ossia l’elenco delle categorie di dati personali, redatta da IAB Tech Lab, un importante consorzio del settore pubblicitario online, include categorie come religione, divorzio, lutto, salute mentale, infertilità e malattie sessualmente trasmissibili.

Anche se i dati non sono esplicitamente associati al nome e cognome di un utente, sono comunque legati a un profilo che rappresenta una persona, nota 9to5Mac. E Techcrunch sottolinea che è tecnicamente molto facile fare reidentificazione, ossia riassociare un profilo a una persona specifica, usando informazioni come gli identificativi unici dei nostri dispositivi e la geolocalizzazione.

Il rapporto dell’ICCL getta finalmente luce sull’invasività e sulle dimensioni di questa incessante attività di profilazione di massa: Google, stando al rapporto, permette a ben 4698 aziende di ricevere dati di real-time bidding riguardanti gli utenti statunitensi. Per esempio, i venditori di dati hanno usato questo real-time bidding per profilare chi partecipava alle proteste del movimento attivista Black Lives Matter e il Dipartimento per la Sicurezza Interna statunitense lo ha usato per il tracciamento dei telefonini senza chiedere mandato.

Non si tratta di un problema solo statunitense: nonostante le leggi europee sulla privacy, più restrittive di quelle americane, secondo il rapporto dell’ICCL il comportamento online e la localizzazione degli utenti americani vengono tracciati e condivisi 107 mila miliardi di volte l’anno, mentre gli stessi dati degli utenti europei vengono raccolti comunque 71 mila miliardi di volte. In Germania, per esempio, le attività online di un utente vengono trasmesse ai circuiti di real-time bidding in media 334 volte al giorno, ossia circa una volta al minuto se si considera il tempo medio di uso di Internet degli utenti tedeschi (circa 326 minuti, ossia circa cinque ore e mezza). In Svizzera questa trasmissione avviene un pochino meno, circa 300 volte al giorno, e in Italia avviene 284 volte in media. 

Va notato che queste sono stime per difetto, dato che non includono le attività di real-time bidding di Facebook e Amazon ma si basano su un archivio di dati di Google che copre un periodo di 30 giorni e che è disponibile soltanto agli operatori del settore ma che l’ICCL è riuscito ad avere da una fonte confidenziale insieme a molti altri dati tecnici importanti.

Secondo l’agenzia Gartner, citata da The Register, le industrie del settore del real-time bidding giustificano le proprie pratiche usando una clausola del regolamento europeo sulla protezione dei dati (GDPR), ma molti enti di regolamentazione hanno respinto questa giustificazione e ci sono azioni legali in corso nel Regno Unito, in Belgio, in Germania e in Irlanda per limitare fortemente questo real-time bidding. Nel frattempo, ricordatevi che quando navigate in Internet non siete mai veramente soli. 

 

Fonti aggiuntive: BBC, Le Monde.

La parola Metaverso, o Metaverse nell’originale inglese, con la M maiuscola, indica un insieme di luoghi virtuali digitali nei quali le persone possono interagire come se fossero fisicamente presenti in quel luogo con il proprio corpo.

Immaginate un videogioco che sta tutto intorno a voi invece di essere confinato nello schermo di un telefonino o di una console di gioco, ed è tridimensionale e interattivo. Voi vi muovete e gli altri utenti vedono il vostro movimento, rappresentato da un avatar. Il Metaverso è insomma una sorta di realtà virtuale e come tale richiede un visore apposito.

Il termine fu coniato nel 1992 dall’autore di fantascienza Neal Stephenson per il libro Snow Crash. Nel libro, il Metaverso è una sorta di successore di Internet. Qualcosa di simile si è visto in Ready Player One.

L’idea non è nuova, e il lockdown l’ha resa più interessante come modo alternativo, a volte unico, per socializzare e partecipare a grandi eventi in sicurezza. Epic Games ha già tenuto concerti in Fortnite e Roblox ha già fatto altrettanto, per esempio radunando in tutto 33 milioni di presenze per il concerto virtuale del rapper Lil Nas X.

Finché le immagini restano su uno schermo piatto, il Metaverso sembra semplicemente una riedizione di Second Life (ve lo ricordate? era il 2003) ma con una grafica più ricca. Ma quando si indossa il visore per realtà virtuale tutto diventa molto differente e l’esperienza è fortemente immersiva. O almeno questa è l’intenzione.

Il concetto di Metaverso è tornato alla ribalta in una serie di post, discorsi e interviste di Mark Zuckerberg, che l’ha descritto come “una Internet corporea, dove invece di limitarti a vedere dei contenuti, sei nei contenuti”. Zuckerberg dice che vuole che Facebook si trasformi da una rete di social network in una “società del metaverso”, nel giro dei prossimi cinque anni e secondo lui andremo a lavorare in “uffici infiniti” personalizzabili e potremo incontrare i nostri colleghi e amici nella stessa stanza virtuale e chiacchierare come se fossimo fisicamente vicini, vedendo le espressioni e la gestualità dei nostri interlocutori. Ne ha parlato anche Swisscom, pochi giorni fa, nel keynote di Stefano Santinelli (delegato del CEO per la Svizzera italiana) agli Swisscom Business Days di Lugano. Il Metaverso è business.

Non è un caso che Facebook abbia speso due miliardi di dollari per acquistare Oculus, società specializzata in visori per realtà virtuale, e stia lentamente facendo confluire Facebook e Oculus. Da qualche tempo per poter creare un account Oculus bisogna avere un profilo Facebook.

Le ragioni dell’interesse di Facebook e di molti investitori per il Metaverso sono molto pratiche: permette di raccogliere ancora più dati personali. Oggi viene schedato e analizzato minuziosamente il modo in cui clicchiamo e cosa decidiamo di condividere, ma nel Metaverso vengono analizzati anche i movimenti del corpo, le direzioni dello sguardo, le reazioni ai vari stimoli: una miniera d’oro per chi fa soldi vendendo i nostri dati.

Avranno ragione? Andremo davvero a lavorare e a trovare gli amici indossando scomodi visori e gesticoleremo comicamente agli occhi di qualunque osservatore esterno oppure il Metaverso sarà un flop come lo fu Second Life dopo la febbre iniziale? Forse sì, se la qualità delle immagini migliora e soprattutto i visori diventano più leggeri. E se accetteremo di essere ancora più sorvegliati di oggi, persino nei gesti.

Fonte aggiuntiva: The Verge.

Fonte: Alpine Security.

Ormai conosciamo fin troppo bene il ransomware, ossia la tecnica di attacco informatico che consiste nel penetrare nei sistemi informatici della vittima, cifrarne i dati e poi chiedere un riscatto per dare alla vittima la chiave di decrittazione.

Questa tecnica purtroppo funziona molto bene per i criminali, ma richiede comunque un certo sforzo da parte loro: il malware che usano per cifrare i dati della vittima deve non solo funzionare nel senso di bloccarli con una password impossibile da indovinare, ma deve anche garantire che una volta pagato il riscatto la vittima riesca a decrittare tutto correttamente. Se si spargesse la voce che è inutile pagare il riscatto perché tanto i dati non sono recuperabili, alle vittime passerebbe in fretta la tentazione di cedere al ricatto e mandare soldi ai ricattatori.

Questo vuol dire che il criminale deve spesso impegnarsi a fornire assistenza tecnica alla vittima, e farlo in maniera efficace. Può sembrare surreale, ma ho assistito a casi di questo genere nei quali il ricattatore è stato un helpdesk più servizievole e competente di tanti servizi commerciali legali.

Ma i criminali sono sempre alla ricerca di modi per ottimizzare le proprie attività, e quindi dopo il ransomware è arrivato l’extortionware: un attacco nel quale il malvivente non ha bisogno di fornire assistenza tecnica, perché non ha crittato i dati della vittima, ma li ha semplicemente copiati e chiede soldi per non pubblicarli e non causare danni alla reputazione personale o aziendale.

La BBC descrive, per esempio, il caso di un responsabile informatico di un’azienda statunitense che è stato ricattato dai criminali che hanno scoperto la sua collezione segreta di pornografia digitale e hanno pubblicato online schermate con tutti i dettagli; un altro caso riguarda un’altra azienda statunitense che viene ricattata pubblicando il nome utente e la password usate da un suo dipendente per frequentare un sito pornografico. 

Non sempre, però, il ricatto riguarda la minaccia di divulgare abitudini private sensibili. La BBC cita anche un tentativo di estorsione che riguarda delle mail trafugate che dimostrerebbero frodi assicurative in un’azienda canadese e il caso di una catena di cliniche di chirurgia estetica ricattata con la minaccia di pubblicare le foto “prima e dopo” dei clienti.

Il problema di questa tecnica di attacco è che rende abbastanza inutili le difese sviluppate finora contro il ransomware. Con l’extortionware non c’è nulla da ripristinare: i dati imbarazzanti hanno ormai preso il volo e non c‘è modo di toglierli dalle mani di chi li ha trovati.

L’unica difesa possibile è preventiva e comportamentale: i dipendenti (e, diciamolo, soprattutto i dirigenti) non devono tenere sui server aziendali (o sui computer portatili aziendali che vengono affidati a loro) dati personali che potrebbero causare un danno di reputazione se trafugati, e i dati effettivamente necessari per lavoro devono essere custoditi in maniera sicura e il più possibile isolata da accessi via Internet che ne consentano l’esportazione in massa.

È difficile quantificare il costo globale del ransomware (in generale, incluso l’extortionware), visto che spesso le vittime non dichiarano di essere state colpite, ma secondo Emsisoft (citata da BBC) il totale per il 2020, compresi i pagamenti e i costi di ripristino e di inattività ammonterebbero a circa 170 miliardi di dollari.

Interoperabilità è uno di quei paroloni con i quali spesso si riempiono i comunicati stampa autopromozionali degli uffici marketing, ma oggi questo termine informatico è importante anche per la salute.

Formalmente, interoperabilità in informatica significa la capacità di un sistema di cooperare con un altro e di scambiare informazioni senza problemi o errori. Internet stessa è un classico esempio di interoperabilità: è consultabile usando dispositivi di ogni genere e permette di scambiare dati fra questi dispositivi. Può sembrare strano, ma un tempo (negli anni Settanta) le varie marche di computer non si parlavano tra loro: ognuna aveva il suo standard interno. Internet nacque proprio per consentire a computer differenti di parlarsi e diventare appunto interoperabili. Questo è possibile grazie ai protocolli TCP/IP (Transmission Control Protocol/Internet Protocol), creati negli anni Settanta del secolo scorso e adottati come standard di comunicazione da ARPANET, il precursore di Internet, nel 1983.

Le prese elettriche dei vari paesi, invece, sono un esempio di mancata interoperabilità, pur usando quasi sempre lo stesso tipo di corrente elettrica.

Che c’entra la salute con l’interoperabilità? L’Ufficio federale della sanità pubblica svizzero ha annunciato che da ieri SwissCovid, l’app di tracciamento di prossimità installata e utilizzata da circa due milioni di persone per dare una mano a interrompere la catena dei contagi da coronavirus, è diventata interoperabile con l’analoga app tedesca Corona-Warn-App.

Questo significa che possono beneficiare del servizio in particolare i circa 60.000 frontalieri tedeschi che entrano ogni giorno in Svizzera, oltre che tutti coloro che dalla Svizzera si recano in Germania. Non è più necessario installare entrambe le applicazioni e commutare dall’una all’altra, perdendo dati: da ieri ne basta una sola. È una sorta di roaming per le app.

L’UFSP ha colto l’occasione per ricordare che SwissCovid da alcuni mesi è utilizzabile anche sugli iPhone meno recenti, dal 5s in poi, che usano iOS 12.5. In pratica SwissCovid funziona su tutti i telefonini Apple messi in vendita negli ultimi sette anni. Per Android la situazione è un po' più complicata, ma in sostanza SwissCovid funziona con qualunque smartphone che usi Android 6.0 o successivo.

 

Ultimo aggiornamento: 2021/03/21 14:00.

Se vi siete persi nei meandri delle complessità delle criptovalute, preparatevi a un altro mal di testa: sono arrivati i non-fungible token, e c’è gente che sborsa milioni per acquistarli.

Un’opera d’arte puramente digitale è stata infatti venduta all’asta da Christie’s per ben 69 milioni di dollari. Chi ha sborsato questa cifra non riceverà una stampa o altra versione concreta dell’opera, ma solo una sorta di gettone digitale che attesta che lui o lei è il proprietario dell’originale dell’opera, che resta perfettamente copiabile senza alcuna perdita di qualità, come qualunque altra creazione digitale. Questo gettone si chiama non-fungible token o NFT.

Il nome non aiuta certo a capire di cosa si tratti e come funzioni. In economia, un bene fungibile è qualcosa composto da unità facilmente intercambiabili. I soldi, per esempio, sono una risorsa fungibile: una banconota da 100 euro vale esattamente quanto tutte le altre banconote dello stesso tipo. È scambiabile per esempio con due banconote da 50 euro senza alcuna perdita di valore. Lo stesso vale per i bitcoin, per esempio.

Una risorsa non fungibile è l’esatto contrario: una risorsa che ha proprietà uniche che non consentono di intercambiarla con qualcos’altro. Un quadro come la Gioconda è una risorsa non fungibile: se ne possono fare riproduzioni, foto o stampe, ma l’originale resta uno e uno solo. Un gettone non fungibile è una sorta di certificato di proprietà che riguarda una risorsa materiale o immateriale: un file digitale o una scultura. Nel caso degli NFT, il certificato è garantito da una blockchain, ossia un registro pubblico digitale e distribuito, esattamente come avviene per le criptovalute.

Ma che senso ha pagare milioni di dollari per un file che tutti possono copiare perfettamente? La differenza fra un quadro e una fotografia di un quadro è evidente: la copia perde delle caratteristiche essenziali. Nel caso delle opere NFT, invece, le copie sono perfettamente identiche all’originale. Quindi dove sta il valore?

Per qualcuno il valore c’è: l’artista Grimes, per esempio, ha venduto opere per alcuni milioni di dollari. Gli NFT sono diventati un modo per sostenere economicamente gli artisti. Il fatto che il registro delle proprietà di questi NFT è pubblico consente agli artisti di tracciare gli scambi e di incassare una commissione su ogni compravendita delle proprie opere, mentre con i sistemi tradizionali capita spesso che l’artista non veda un soldo dopo la vendita iniziale e gli speculatori facciano invece fortuna.

Ma anche negli NFT c’è l’ondata speculativa: c’è chi trasforma in NFT qualunque cosa (gli sticker di Telegram e persino i tweet) sperando di monetizzarli. Se trova qualcuno che è disposto a comprare, nasce l’affare. Il compratore, a sua volta, è convinto di poter rivendere quell’NFT in futuro a un valore maggiore e quindi avere un guadagno.

Però rispetto alla proprietà tradizionale resta ben vistosa una differenza fondamentale: se sei proprietario di un quadro o di una scultura, la detieni e decidi tu a chi mostrarla e cosa farne. Se sei proprietario di un NFT, hai solo il diritto di vantarti di essere proprietario di un’opera (e in alcuni casi hai il diritto di copia), ma materialmente non hai in mano niente. Questo non ha impedito al mondo dei videogiochi, per esempio, di vendere risorse di gioco sotto forma di NFT: come Fortnite ha ben dimostrato, c’è tanta gente disposta a pagare pur di avere una skin.

C’è anche un’altra differenza importante: la conservabilità nel tempo. Un quadro, un attestato cartaceo di proprietà, una scultura possono durare secoli o millenni. Un NFT esiste soltanto finché esiste la blockchain che lo supporta, più il software per leggerla e l’hardware sul quale far girare quel software. Che succede se una blockchain va fuori moda e non la supporta più nessuno?

Insomma, non c’è modo di sapere se gli NFT dureranno o se sono soltanto l’ennesimo caso di speculazione a breve termine. Di certo c’è gente che ci sta guadagnando somme enormi e altra gente che le sta spendendo, e come al solito sono pochi quelli che guadagnano e tanti quelli che ci perdono. Il gioco continuerà finché ci sarà gente che ci crederà.

Fonti: Christies, The Verge, Gizmodo, BBC.

A volte capita che il proprietario di un nome di dominio smetta di pagare il canone annuo di mantenimento del nome, per varie ragioni, e quindi cessi di esserne il proprietario. A quel punto il nome di dominio torna sul mercato e può essere acquistato da qualcun altro, che ci mette i propri contenuti, magari di tipo completamente differente. Fa parte del normale corso delle cose su Internet.

Ma tutti i siti che hanno citato con un link quel nome di dominio non vengono avvisati del cambiamento, per cui finiscono per linkare qualcosa che non c’entra più con l’originale. Questo è il link rot: la “marcescenza dei link”. 

Il link rot è un problema molto serio di tutta Internet, ma è particolarmente sentito in campo scientifico e amministrativo. Uno studio del 2013 dei link nella letteratura scientifica ha rivelato che la vita media di un link è circa 9 anni. Un altro studio sulla letteratura legale statunitense nel 2014 ha indicato che la metà dei link citati dalla Corte Suprema degli Stati Uniti non punta più all’informazione originale e quindi è inutile o fuorviante.

Un esempio particolarmente illuminante del fenomeno del link rot mi è capitato sotto gli occhi pochi giorni fa grazie a una segnalazione di un lettore: una pagina del sito del Ministero della Cultura italiano Beniculturali.it, dedicata alle necropoli etrusche di Cerveteri e Tarquinia, conteneva un link a www punto terraetrusca punto eu, che però nel frattempo aveva cambiato proprietario.

Il nuovo proprietario ci ha messo un redirect che porta a un sito pornografico, di cui posso mostrarvi solo una parte, perché questo è un blog per famiglie.

Grazie alla memoria storica di Internet, ossia Archive.org, possiamo vedere cosa c’era in origine, quando il ministero italiano scelse di linkarlo nel 2017: 

Oggi invece il link porta a contenuti statuari, ma di altro genere:

Ovviamente ho segnalato la cosa ai responsabili del sito, ma la mia mail è stata respinta perché i responsabili accettano soltanto la PEC. Così è stato necessario segnalare pubblicamente la questione, anche se questo avrebbe comportato regalare visibilità e quindi traffico al sito pornografico in questione.

Buongiorno @MiC_Italia , segnalo che la vostra pagina https://t.co/cTbavSHGrG contiene un link che porta a un sito pornografico.

Il link è quello che comincia con "terra". pic.twitter.com/0olbjmy1WL

— Paolo Attivissimo (@disinformatico) March 10, 2021

La pagina è stata rapidamente corretta eliminando il link. Ma restano tutti gli altri siti che contengono ancora il link (per esempio Ancient-origins.net o TurismoItaliaNews.it o ExperienceEtruria.it, ed è impensabile avvisarli tutti uno per uno.

Se volete sapere come si fa a trovare i siti che ospitano un certo link, posso consigliarvi OpenLinkProfiler.org. Un tempo Google consentiva di fare ricerche usando l’operatore link, ma non funziona più dal 2017 circa. Si può però digitare il nome del sito in Google fra virgolette.

Il gergo di Internet ha una definizione per tutto. Avete presente quando qualcuno ripesca un commento fatto online anni fa e lo ripresenta, facendo ripartire la discussione e magari anche il bisticcio?

Questo si chiama necroposting: il gesto di prendere un post o un commento passato, quindi “morto” secondo gli standard di frettolosità di Internet e soprattutto dei social network, e ridargli nuova vita, a volte senza che gli altri si rendano conto che stanno dibattendo in realtà su una vicenda vecchia ed esaurita.

È considerata una pratica da dilettanti, perché non ha alcun senso ribattere a qualcuno mesi o anni dopo che è avvenuta la discussione e tutti l’hanno abbandonata, per cui la replica non verrà vista da nessuno. Di conseguenza, viene spesso bandita in molti forum.  

Ecco un esempio di necroposting tratto da questo blog:

Il termine esiste almeno dal 2004, secondo KnowYourMeme (da cui ho tratto l’illustrazione in testa all’articolo).

 

Liam Thorp è un trentaduenne britannico in ottima salute che scrive per il Liverpool Echo. Normalmente dovrebbe essere in fondo alla lista d’attesa per le vaccinazioni anti-Covid, che vengono fatte prioritariamente a chi è più avanti negli anni o ha problemi di salute, ma la BBC racconta che gli è arrivato l’invito a vaccinarsi perché risultava clinicamente obeso. Aveva infatti un indice di massa corporea di 28.000 (ventottomila), quando i valori normali di questo indice oscillano fra 18 e 24.

Il disguido, che lui stesso racconta qui, è avvenuto perché la sua statura era stata registrata nei sistemi informatici della sanità britannica immettendo piedi e pollici in un campo fatto per contenere un valore espresso in centimetri. Thorp è alto 6 piedi e 2 pollici (187 cm), e così qualcuno ha immesso 6,2 (anzi, 6.2 secondo la notazione anglosassone).

Risultato: il sistema ha accettato senza batter ciglio che Thorp avesse una statura di 6,2 centimetri ed è poi andato a calcolare il suo indice di massa corporea prendendo il suo peso e la sua statura e ha quindi deciso che il soggetto era incredibilmente obeso. 

Il sistema ha poi preso questo dato di obesità impossibile e lo ha usato come criterio per l’emissione dell’invito a vaccinarsi.

Thorp l’ha presa bene, ma se il sistema può commettere errori di questo genere potrebbe anche commetterli nell’altro senso e negare una vaccinazione a chi ne ha bisogno. 

Questo genere di problema tipicamente informatico nasce dal fatto che chi programma i computer non fa controlli di buon senso sui dati immessi. Un programma fatto bene non dovrebbe nemmeno accettare una statura di 6,2 centimetri.

Questo tipo di controllo va sotto vari nomi: input validation o input sanitization sono fra i più frequenti. La validation consiste nel controllare che in un campo venga immesso un dato pertinente (per esempio soltanto cifre in un campo destinato ad accogliere un numero) e sensato (una statura deve avere limiti massimi e minimi, per esempio).

La sanitization, invece, consiste nel verificare che i dati immessi non contengano caratteri che possono causare problemi nell’elaborazione successiva (per esempio qualcosa che possa essere interpretato come comando anziché come dato). 

Può sembrare banale, ma il mancato controllo dei dati immessi è la tecnica tipica di intrusione nei siti: si chiama SQL injection. Cito in proposito l’ormai storica vignetta di xkcd:

Non è la prima volta che parlo di googledork nelle Parole di Internet: lo avevo fatto nel 2013, spiegando che significa in sostanza usare Google come strumento per scoprire vulnerabilità in servizi accessibili via Internet oppure per trovare documenti contenenti informazioni sensibili che non dovrebbero essere visibili via Internet ma in realtà lo sono.

Google, infatti, esplora a fondo ogni sito che gli capita a tiro, ma purtroppo molte persone non se ne rendono conto e quindi depositano documenti in una cartella del proprio sito web pensando che se nessuno ne conosce l’indirizzo esatto non li potrà trovare nessuno.

Ma Google quell’indirizzo lo conosce, se la cartella è pubblicamente accessibile, e quindi basta cercare in Google certe parole chiave, come password, specificando di fare la ricerca nei documenti Excel o Word, e salta fuori davvero di tutto, come si è visto su questo blog nei giorni scorsi: la password dell’intranet di un partito politico italiano, le istruzioni europee per richiedere certificati per corrieri fiduciari, una password di un server della Regione Veneto, una password del Touring Club Italiano. Altri esempi sono in arrivo.

Si tratta soltanto di fare ricerche in Google appositamente confezionate, per cui non si interagisce affatto con il sito incauto: si consulta la copia cache presente in Google.

Torno oggi sull’argomento googledork per segnalare una variante resa possibile dall’avvento della possibilità di fare ricerche per immagini nei principali motori di ricerca: il googledork grafico. Si può infatti dare per esempio a Google un’immagine di un modulo o di un documento d’identità e Google restituisce tutte le immagini dello stesso tipo che ha visto in giro in tutto il Web, indicandone la provenienza. 

Il risultato è impressionante e deprimente: decine di siti che custodiscono (si fa per dire) scansioni di documenti personali, istantaneamente disponibili su Google. Mostro qui sotto un assaggio, segnalatomi da una fonte che non posso citare (perché ha pubblicato la versione non anonimizzata) ma che ringrazio:

Sono troppi per contattarli uno per uno e avvisarli del problema, e quindi resteranno così, a disposizione del primo googledorker che passa. Molte di queste immagini sono nei siti di enti pubblici. Ricordiamoci di questa disinvoltura nel custodire i nostri dati personali quando qualcuno ci chiede di identificarci online mandando i nostri documenti ai social network.

Smishing deriva da SMS e phishing: è la tecnica d’inganno informatico che consiste nell’ottenere informazioni personali mandando alla vittima un SMS appositamente confezionato, che usa spesso tecniche psicologiche per indurre la vittima a rispondere.

Nell’esempio qui accanto, il messaggio fa leva sulle angosce sanitarie per spingere la vittima a cliccare sul link, dove l’aspetta probabilmente una finta pagina delle autorità che le chiederà informazioni personali utili per estorsioni, ricatti o furti di denaro.

Un altro esempio è un messaggio che sembra provenire dalla vostra banca, o da un servizio di pagamento online, e vi invita a scaricare la nuova versione dell’app di sicurezza, che in realtà è un’app creata dai truffatori e nella quale la vittima immetterà le proprie credenziali, dandole così ai criminali.

Mycard.ch ha pubblicato un avviso sul problema dello smishing che spiega bene che “I messaggi di questo genere devono essere ignorati e cancellati senza che vi sia alcuna interazione con il mittente. Nessuna banca invia ai propri clienti un SMS di questo tipo senza che vi sia una specifica richiesta a monte. Allo stesso modo non userebbe mai un SMS per spedirvi un link relativo all’e-banking.”

Il sito pubblica anche cinque regole di protezione:

1. Non cliccate mai su un link che avete ricevuto tramite un messaggio di testo inviato da un numero sconosciuto o da un’azienda con cui non avete nulla a che fare. 

2. Verificate sempre il numero del mittente con occhio critico. Se effettuate una breve ricerca online sul numero sospetto, spesso potete scoprire che si tratta di un numero sconosciuto utilizzato con intenti fraudolenti. 

3. Domandatevi sempre se un SMS sia la forma di comunicazione appropriata in quella situazione specifica. Non capiterà mai che, in caso di problemi, un istituto finanziario o un rivenditore online, ad esempio, vi chiedano tramite SMS di fornire i vostri dati. 

4. Diffidate in partenza messaggi da cui si evince una particolare urgenza (subito o urgentemente) e in cui vi viene chiesto di inserire i vostri dati personali. 

5. Se ricevete un SMS non in risposta a una vostra richiesta da un’azienda che apparentemente conoscete, contattatela tramite un altro canale e informatevi sull’autenticità della richiesta. 

Da parte mia aggiungo di non fidarsi del numero del mittente, che è estremamente facile da falsificare.

Ho già parlato del cryptojacking in altre occasioni, ma è la prima volta che sento di un caso di cryptojacking che causa scottature fisiche.

Il cryptojacking è un tipo di aggressione informatica che prende il controllo del computer o del dispositivo digitale della vittima per fargli fare i complessi calcoli matematici che servono a generare criptovalute. In altre parole, i criminali usano il vostro computer o telefonino per arricchirsi. Loro guadagnano, voi pagate sotto forma di bolletta elettrica più salata e invecchiamento prematuro della batteria o dei componenti del computer.

Ma la BBC segnala un caso che è sfociato in una vera e propria scottatura fisica: Abdelrhman Badr, un gamer diciottenne di Sheffield (Regno Unito), stava giocando a un videogioco sul proprio computer quando gli si è spento tutto. Ha guardato dentro il computer per vedere cos’era successo, e ha toccato istintivamente uno dei suoi componenti. La scheda grafica era così rovente che gli aveva scottato le dita.

Qualcuno era riuscito a installare nel suo computer un programma che ne usava le risorse, in particolare la scheda grafica (che ha dei processori molto potenti), per fare i calcoli che servono a generare la criptovaluta Monero. Badr se n’è accorto installando un programma di monitoraggio delle attività del proprio computer.

I sintomi tipici di un computer o smartphone affetto da cryptojacking sono una temperatura insolita dei componenti, ventole che girano molto velocemente anche quando non si sta facendo nulla di impegnativo sul computer e un rallentamento generale delle prestazioni. La prevenzione si fa installando un buon antivirus ed evitando di installare software di provenienza incerta.

L’articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2019/09/27 20:40.

Si parla molto, in questi giorni, di un presunto annuncio da parte di Google di aver raggiunto un traguardo molto importante nell’informatica: la cosiddetta supremazia quantistica.

Si tratta di un annuncio presunto perché il Financial Times dice (paywall) di aver visto su un sito della NASA un articolo tecnico di Google, successivamente ritirato, nel quale i ricercatori dichiarano che Sycamore, uno dei computer quantistici sperimentali di Google, sarebbe riuscito a effettuare un particolare e complicatissimo esperimento di campionamento statistico che il supercomputer più potente del mondo, Summit, impiegherebbe circa diecimila anni a svolgere. Sycamore ci sarebbe riuscito in soli tre minuti e venti secondi.

Ed è questo il significato di “supremazia quantistica”: la capacità, da parte di un computer quantistico, di risolvere problemi che sarebbero in pratica impossibili da affrontare con i computer tradizionali. Secondo l’articolo, si tratterebbe del primo caso di un calcolo effettuabile soltanto su un processore quantistico. Se così fosse, sarebbe una vera e propria rivoluzione informatica. Problemi finora intrattabili, per esempio in campo medico, fisico o crittografico, diventerebbero improvvisamente gestibili.

Il problema è che questo articolo è stato appunto ritirato e rimosso, anche se numerose copie restano in circolazione (per esempio qui), e ci sono opinioni esperte che smentiscono la sua rivendicazione di supremazia, dicendo che Sycamore è progettato per risolvere un singolo problema e quindi non è un computer quantistico generalista.

Staremo a vedere: ma è comunque chiaro che i computer quantistici non sono più un concetto da fantascienza.

Maggiori dettagli sono in questo articolo di Scott Aaronson.

Il prefisso war- (letteralmente “guerra”) è molto popolare in informatica per indicare le tecniche di attacco. Da tanti anni esiste il wardialing: l’uso di strumenti informatici per comporre numeri telefonici in modo massiccio e intensivo, per esempio per fare la scansione di un blocco di numeri e scoprire a quali rispondeva il pigolio di un fax o di un modem.

Il wardialing era particolarmente popolare sui numeri verdi, perché non costava nulla e si scoprivano cose interessanti, come il numero verde italiano dell’FBI. O perlomeno un numero verde al quale una voce molto professionale rispondeva dicendo “FBI headquarters”. Ho riappeso senza approfondire.

Con l’avvento del Wi-Fi è nato il wardriving: la tecnica di girare per le vie di una città, di solito in auto, o nelle vicinanze di un’azienda bersaglio con un laptop dotato di software che cerca le reti Wi-Fi aperte (senza password) e ne registra i nomi e le coordinate. Nel lontano 2006 un wardriving in giro per Lugano fu uno dei miei primi servizi per la Radiotelevisione Svizzera. Questo genere di scansione si fa non solo per motivi ostili ma anche per sensibilizzare l’utenza al rischio di lasciare accesso libero a tutti, e infatti oggi trovare un Wi-Fi senza password è raro.

Ora arriva un termine nuovo: warshipping. Lo ha coniato il gruppo di hacking X-Force di IBM, nel corso della conferenza Black Hat che si sta tenendo a Las Vegas, e descrive una variante del wardriving.

Il wardriving ha il difetto che la scansione va fatta aggirandosi nei dintorni del bersaglio o per una città, e questo può dare nell’occhio e non consente di entrare negli edifici per scoprire Wi-Fi interni vulnerabili non captabili da fuori. Soluzione: usare la posta.

Il warshipping (“spedizione ostile”) consiste infatti nello starsene comodamente a casa, magari addirittura in un altro paese, ma spedire per posta all’azienda bersaglio un pacco contenente tutto il necessario per effettuare la scansione delle reti Wi-Fi interne. Con l’elettronica di oggi, questo significa un oggetto composto da una batteria da telefonino, da un piccolo processore e da un trasmettitore Wi-Fi e 3G, che costa meno di cento dollari.

Essendo spedito per posta, magari all’attenzione di qualche dipendente di cui si è scoperto il nome con una banale ricerca su LinkedIn o nell’organigramma pubblicato sul sito aziendale, il dispositivo di warshipping viene accolto all’interno dell’azienza e vi rimane alcune ore prima di essere consegnato. Se poi il dispositivo è nascosto in un doppio fondo della scatola di consegna, la scatola può rimanere in azienda a lungo prima di essere smaltita.



Durante queste ore il dispositivo può rilevare tutte le reti Wi-Fi interne e ascoltarne il traffico, mandandone i dati all’aggressore tramite la rete cellulare. Il dispositivo può anche creare una rete Wi-Fi il cui nome è identico a quello della rete aziendale vera e convincere i dipendenti a collegarsi alla rete falsa dando le proprie password di accesso, e il gioco è fatto. A quel punto gli aggressori possono sferrare un attacco profondo e persistente.

Come si mitiga questo rischio? Lo spiega SecurityIntelligence: fra le sue sette raccomandazioni spiccano quelle di non accettare che i dipendenti ricevano pacchi in ufficio oppure di tenere ogni pacco in arrivo in un’area sicura dell’azienda, trattandolo come se fosse un visitatore esterno, e di educare i dipendenti a non connettersi a reti Wi-Fi che si comportano in modo anomalo.


Fonti aggiuntive: The Register, TechCrunch.

Praticamente tutti conoscono il significato di ban, con il suo verbo derivato bannare: vuol dire essere estromessi da un forum, da una rete di gioco o da un social network.

Ma il termine shadowban è un po’ meno conosciuto: è una forma di ban nella quale l’utente non viene bandito formalmente da un sito, avvisandolo di questo fatto, ma quello che scrive viene reso silenziosamente invisibile agli altri utenti.

Il risultato è che un utente può essere colpito da uno shadowban senza rendersene conto, perlomeno finché qualcuno non gli chiede che fine ha fatto o come mai non pubblica più nulla.

I complottisti spesso lamentano di essere colpiti da uno shadowban, ossia di essere volutamente nascosti e oscurati dai “poteri forti”, per cui lo shadowban è spesso ritenuto un parto della fantasia di un paranoico, ma in alcuni casi il fenomeno è reale.

Se volete saperne di più, l’apposita pagina di Wikipedia in italiano è un buon punto di partenza.

Molti social network, come Instagram o Twitter, sono stati accusati di praticare lo shadowbanning; Twitter ha negato pubblicamente di adottarlo e ha dichiarato che si tratta di interpretazioni errate, da parte degli utenti, di alcune sue regole interne di moderazione e filtraggio di comportamenti non accettabili.

Se volete provare se il vostro account Twitter è stato shadowbannato (perdonatemi l’orrido neologismo), usate Shadowban.eu: basta immettervi il nome del vostro account Twitter e attendere qualche secondo intanto che Shadowban.eu effettua una serie di test. Cliccando sui risultati di ciascun test si ottiene una breve spiegazione.

Se scoprite di essere shadowbannati, lamentarsi è inutile: è più costruttivo capire quali sono stati i comportamenti che hanno portato a questa situazione ed evitarli in futuro. Non è giusto, secondo molti, ma è così.

Fonte: Wired.

Noi abbiamo le illusioni ottiche, i computer hanno gli adversarial attack: è questa l’espressione che indica in informatica un contenuto (un’immagine, un video, un suono o un malware) che noi riconosciamo senza problemi ma confonde i sistemi di riconoscimento automatico. 

L’immagine qui accanto, per esempio, viene riconosciuta dalle persone senza alcun problema: sono due uomini in piedi, su una distesa innevata, in posa mentre sciano. Ma il sistema di riconoscimento delle immagini Google Cloud Vision, spiega Wired, lo ha identificato con il 91% di certezza come un cane.

Trovate altri esempi qui: è particolarmente notevole il gatto scambiato per del guacamole. E se volete quelli acustici, divertitevi qui.

È insomma chiaro che i sistemi di riconoscimento automatico per ora “pensano“ in maniera molto diversa dagli esseri umani: non avendo conoscenza del mondo fisico, ragionano soltanto sui pixel e non possono valutare cose come il contesto o la plausibilità di un’immagine o di un suono.

È un tormentone: dici “sei un nerd” e ti rispondono “no, sono un geek”: ma qual è la differenza? La questione in Rete è talmente dibattuta – in classico stile nerd o geek che dir si voglia – che esistono persino studi statistici sul reale significato di queste parole, come quello segnalato da Popular Science, e non può mancare la vignetta di XKCD.

“La differenza tra geek e nerd non è ovvia neanche per chi è di madrelingua inglese: molti dizionari li considerano sinonimi”, nota Licia Corbolante su Terminologia (anche qui), ma in Rete si trovano guide come quella di Wikihow (in italiano), dalla quale cito la differenza saliente: le capacità sociali.

Un geek ha capacità sociali nella norma, anche se può avere la tendenza a essere pretenzioso e prolisso, soprattutto quando l'argomento cade sulla loro passione. A quel punto, potrebbero non lasciarti andare finché non hanno spiegato esattamente come funziona quel dispositivo, e tutta la storia dietro la sua creazione. Un nerd generalmente è più introverso. Potrebbe essere altrettanto esperto su un argomento, ma può essere difficile convincerlo a parlarne.

Terminologia concorda con questa distinzione basata sulla capacità di interagire socialmente e propone una classificazione particolare: “una differenza tra geek e nerd è che i primi sarebbero individui fissati con particolari attività o cose e i secondi sarebbero una sottospecie di geek, spesso socialmente imbranati e focalizzati soprattutto su materie scientifiche, come matematica e informatica”.

Il successo di serie TV come Big Bang Theory consente di illustrare molto chiaramente questo tipo di differenza: per esempio, Sheldon Cooper, essendo socialmente a disagio e ossessivamente appassionato di argomenti scientifici, è più nerd che geek, mentre i suoi amici, in particolare Leonard, che sono socialmente più integrati, sono più geek che nerd. E voi come vi sentite?

Credit: Pexels, licenza CC0.

Sappiamo tutti cosa vuol dire software: ma vi siete mai chiesti da dove viene questa parola inglese, così centrale nella tecnologia e nell’economia di oggi, e a quando risale?

Lo spiega il suo inventore, il pioniere informatico Paul Niquette, che afferma di averla coniata per scherzo a ottobre del 1953, quando in tutti gli Stati Uniti esistevano soltanto sedici elaboratori elettronici digitali e la parola computer indicava ancora una persona addetta ai calcoli, da effettuare a mano, al massimo con l’aiuto di un regolo calcolatore.

All’epoca l’idea di considerare le istruzioni di un programma come un’entità separata rispetto ai componenti fisici del calcolatore e addirittura di poterle trasferire da un calcolatore a un altro era ancora una novità coraggiosa: i programmi, infatti, venivano impostati cambiando fisicamente dei circuiti o dei componenti della macchina.

Negli anni Cinquanta non esisteva ancora una parola tecnica di uso comune per indicare questo concetto astratto (si parlava genericamente di programma), e così Paul Niquette, che a quei tempi era un giovane studente diciannovenne che scriveva programmi per computer alla University of California, Los Angeles (UCLA), coniò il termine software; ma lo fece in un momento d’irriverenza di cui oggi abbiamo perso la cognizione.

Il vocabolo inglese software nacque infatti come gioco di parole: Niquette pensò che siccome i componenti materiali di un calcolatore si chiamano hardware (cioè “ferramenta” o “macchinari”, più letteralmente “cose dure”), allora la parte immateriale di un computer, il suo programma, poteva chiamarsi “soft-ware”, che significa più o meno “cose molli”.

Il ragazzo era noto per la sua tendenza a coniare neologismi frivoli: non era l’unico, e anzi creare parole nuove era una moda abbastanza diffusa fra gli informatici di quei tempi. Per questo abbiamo termini come bit (letteralmente “pezzetto”) o byte (grafia alterata della parola bite, ossia “morso” o “boccone”).

Ma torniamo a software. Niquette ammette che quando gli venne in mente per la prima volta questa parola scosse la testa e si mise a ridere. Anche in seguito gli sembrò una frivolezza. Dice nelle sue memorie: “Le prime volte che dicevo ‘software’ ad alta voce, la gente intorno mi diceva ‘Eh?’[...] Sin dall’inizio pensavo che la parola fosse troppo informale da scrivere e spesso troppo imbarazzante da pronunciare. Ciononostante, con trepidazione e con un sorrisetto, ogni tanto includevo ‘software’ nei miei discorsi, nelle lezioni e nelle interviste.”

Oggi questo termine ci sembra assolutamente normale e le cose molli sono al centro di uno dei più grandi settori dell’industria mondiale, ma allora software era solo una “parola sciocca” sulle labbra di un diciannovenne molto sveglio. Viene da chiedersi quali parole che adesso consideriamo sciocche saranno altrettanto cruciali nel sapere umano fra cinquant’anni.


Fonti aggiuntive: History of Information.

In informatica, un glitch è un errore minore all'interno di un software: un difetto che causa poco disagio e non interferisce con il funzionamento generale dell'applicazione.

Quando il software è un videogioco, il glitch ha una caratteristica in più: diventa spesso comico, specialmente se coinvolge la parte grafica.

È il caso, per esempio, di Assassin's Creed: Unity, dove un glitch nella visualizzazione dei personaggi (rendering) ogni tanto “dimentica” di visualizzare il volto e quindi fa comparire soltanto occhi fuori dalle orbite, denti e gengive, e pezzetti di pelle apparentemente a casaccio. L'effetto comico-horror involontario è garantito, come potete vedere nell'esempio qui sopra. Ma non è l'unico: come segnala e mostra Kotaku, ci sono personaggi che rimangono bloccati a mezz'aria mentre corrono, altri che si piegano e contorcono in modi anatomicamente impossibili, e capelli che diventano spine d'istrice. Inoltre ogni tanto i personaggi nelle scene di massa si mettono a fare movimenti senza senso che sembrano balletti decisamente fuori luogo.

Ubisoft dice di aver risolto il problema con un aggiornamento e che comunque il glitch si manifestava soltanto nella versione su PC con due specifiche schede grafiche. Secondo Eurogamer, è inoltre in arrivo un aggiornamento per altri problemi di prestazione che hanno afflitto Assassin's Creed: Unity. E così questo glitch grafico diventerà storia passata e resterà soltanto nelle immagini e nei video catturati e pubblicati dai giocatori.

boss key. Nei videogiochi per computer e in altre applicazioni, un tasto che serve per nascondere rapidamente il gioco e far comparire al suo posto sullo schermo un'immagine innocente, per esempio un grafico aziendale.

Nel Tetris per DOS, per esempio, premendo il tasto ESC compariva un foglio di calcolo con numeri di incassi da varie località (come mostrato qui accanto). Uno dei primi casi di boss key risale al 1982, in una collezione di giochi per il PC IBM.

Una variante del boss key è costituita da applicazioni che possono essere configurate per zittire l'audio e nascondere specifiche finestre di altre applicazioni se l'utente preme una particolare combinazione di tasti. Esistono anche i siti dotati di boss key: un pulsante cliccabile sullo schermo che nasconde la finestra o la scheda del browser contenente il sito in questione, come ha fatto anche di recente NCAA.com, un sito dedicato al basket negli Stati Uniti (video).

Ci sono anche casi di boss key burloni: per esempio Leather Goddesses of Phobos, un gioco per adulti, nella versione per PC IBM aveva un foglio di calcolo che però elencava giocattoli decisamente particolari, compreso un “lattaio gonfiabile”, e Leisure Suit Larry aveva un finto boss key che terminava il gioco invece di sospenderlo.

Con l'avvento dei sistemi operativi a finestre il boss key è diventato meno popolare, sostituito da combinazioni di tasti già predisposte dal sistema che riducono a icona o nascondono la finestra corrente.