Troppo spesso chi vende prodotti per la sicurezza vende fumo: vale in informatica, ma anche nella sicurezza fisica. Deviant Ollam, un penetration tester pagato dalle aziende per mettere alla prova le loro difese contro gli accessi indesiderati, presenta in questo video le tecniche esilaranti ma inquietantemente semplici che gli permettono di entrare in qualunque edificio a causa dell’incompetenza e superficialità di chi progetta, installa e gestisce impianti di sicurezza.

Paradossalmente, scassinare la serratura è l’ultima delle opzioni, perché c’è quasi sempre un modo più semplice di far aprire una porta.

Preparatevi a ridere e piangere: le porte automatiche si aprono con una sigaretta o un palloncino e migliaia di auto della polizia americana hanno tutte la stessa chiave che si può comprare in qualunque negozio di ferramenta, e lo stesso vale per gli ascensori. Oltretutto Ollam è un presentatore divertente e appassionante.

Io ora non riesco più a guardare una porta automatica o una porta d’albergo senza notare quanto sarebbe facile aprirla senza chiavi.



Per quelli che si chiedono se sia irresponsabile o pericoloso divulgare queste nozioni di vulnerabilità: credete che i ladri non le conoscano già? Gli unici che non le conoscono sono i clienti ingenui che vengono buggerati dai venditori di sistemi fatti con i piedi e venduti senza scrupoli. Guardando questo video saprete quanto è sicura quella porta della vostra camera d’albergo e capirete come proteggervi meglio.


Fonte: BoingBoing.


Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete farne una anche voi per incoraggiarmi a scrivere ancora. Ultimo aggiornamento: 2017/08/08 23:45.

Non mi dilungo sui dettagli tecnici della questione Rousseau che è divampata nei media generalisti: li ha già raccontati egregiamente David Puente in una serie di articoli. Segnalo solo alcuni fatti che forse sono stati poco evidenziati o volutamente confusi.

- Il primo “attacco” non è stato un attacco, ma ha segnalato responsabilmente in privato a Rousseau alcune sue vulnerabilità e le ha pubblicate online solo dopo che erano state corrette. Vulnerabilità, fra l’altro, equivalenti a mettere una serratura di cioccolato sulla porta di casa: limite massimo di 8 caratteri per le password e un banalissimo SQL injection, talmente classico che c’è persino la vignetta di Xkcd apposita (spiegone).


- Non è vero che le informazioni pubblicate su queste vulnerabilità sono state rimosse perché Rousseau o altri hanno preso delle “contromisure”. Beppegrillo.it scrive che “il suo sito [quello del segnalatore] è già scomparso così come i suoi account social, segno che le contromisure contro questi reati funzionano e siamo lieti che siano state così tempestive”. No. La riservatezza professionale mi impedisce di dire altro, ma la chiusura degli account del primo segnalatore non è merito di alcuna “contromisura”. Tant’è vero che gli account sono tornati online. Bullarsi di quello che non si è fatto è boriosamente stupido, per non dir di peggio.

-- L’incursione non ha richiesto talento speciale. Non stiamo parlando di forzare chissà quali ostacoli. Questo era un castello costruito col fango che non ha retto all’uso di un innaffiatoio; è l’equivalente di lasciare la porta di casa socchiusa e i gioielli in bella vista sul tavolino all’ingresso.

-- Lo stesso post su Beppegrillo.it dichiarava che “Sono già state messe in atto tutte le azioni necessarie per impedire il ripetersi di intrusioni informatiche come questa.” Beh, mica tanto e di certo non tutte, dato che qualcun altro è riuscito comunque a entrare subito dopo.

-- Il successivo furto di dati vero e proprio (quello rivendicato da r0gue_0) ha rivelato che Rousseau non ha preso neppure le misure di sicurezza più basilari. Per l’amor del cielo, le password degli utenti erano conservate in chiaro in un database. Lo sanno anche i muri che le password si custodiscono in modo crittografato tale che neanche il gestore del sistema possa decifrarle (hashing e salting), proprio per evitare i danni di massa causati da attacchi come questo. In questo modo, se vengono rubati i dati, perlomeno non sono leggibili (o è enormemente oneroso leggerli).

-- Chi minimizza dicendo che tanto non erano in corso “votazioni” non ha capito la gravità degli eventi oppure sta volutamente mettendo la testa nella sabbia. Evidentemente non ha considerato che comunque l’affiliazione politica è un dato delicato e personale e che inevitabilmente molti utenti di Rousseau avranno usato la stessa password altrove e quindi ora sono esposti al rischio di furto di account e rivelazione di altre informazioni personali. E non ha considerato che la fiducia degli utenti è stata tradita: non stiamo parlando del sito di un circolo di cucito, ma della piattaforma di gestione di uno dei movimenti politici più significativi di un paese. Se questo è il modo in cui si pensa di gestire la democrazia digitale, è meglio lasciar perdere e trovare qualcuno che ci capisca.

-- Chiamare Rousseau “sistema operativo” (come fa Beppegrillo.it a firma di “Associazione Rousseau”) significa dichiarare di essere capre in informatica. Un sistema operativo è del software che dialoga con l’hardware e fa da interprete e servitore per le applicazioni. Windows, Android, MacOS, iOS, Linux sono esempi di sistemi operativi: Rousseau no. È un sito, un portale, una piattaforma gestionale, ma non un sistema operativo. Chiamarlo sistema operativo è come vedere un cavallo e chiamarlo automobile.


Se volete altre opinioni sulla sicurezza di Rousseau, date un’occhiata a questo articolo su Formiche.net e a questo su Il Post.


2017/08/08 16:20. Rousseau protegge le password con un sistema preistorico che si supera in dodici secondi, secondo questa analisi.

2017/08/08 23:45. Ho aggiornato per chiarire il concetto di crittografia dei dati.

Rapprentazione esemplificativa delle nuove misure di sicurezza.

L’amministrazione Trump ha introdotto un divieto, valido da venerdì 24 marzo, che proibisce di portare in cabina sui voli di linea qualunque dispositivo elettronico più grande di un telefonino per i voli diretti negli Stati Uniti e provenienti da alcuni aeroporti di Arabia Saudita, Turchia, Egitto, Dubai, Abu Dhabi, Qatar, Kuwait, Giordania e Marocco.

Sono interessate le seguenti compagnie aeree: EgyptAir, Emirates Airline, Etihad Airways, Kuwait Airways, Qatar Airways, Royal Air Maroc, Royal Jordanian Airlines, Saudi Arabian Airlines e Turkish Airlines.

Il Regno Unito ha attivato un divieto analogo che colpisce i voli provenienti da Egitto, Libano, Turchia, Giordania, Tunisia e Arabia Saudita delle seguenti compagnie: British Airways, EasyJet, Jet2.com, Monarch, Thomas Cook, Thomson, Turkish Airlines, Pegasus Airways, Atlas-Global Airlines, Middle East Airlines, Egyptair, Royal Jordanian Airlines, Tunis Air e Saudia.

La giustificazione per queste misure è (tanto per cambiare) il terrorismo, perché si sospetta che un laptop possa essere usato come contenitore per una bomba, come già successo nel 2016 su un volo della Daallo Airlines partito da Mogadiscio.

L’idea che un terrorista potrebbe tranquillamente imbarcarsi da un altro paese escluso dalla lista nera, o usare un’altra compagnia aerea (come ho fatto io per andare a Houston proprio pochi giorni fa, usando il mio laptop senza problemi), non sembra aver sfiorato gli ideatori del provvedimento. Allo stesso modo, l’idea che basti portare a bordo qualche Samsung Galaxy Note 7 (che prende fuoco spontaneamente) oppure un po’ di telefonini con batteria al litio rimovibile e cortocircuitabile per ottenere un effetto Samsung analogo non pare aver stimolato riflessioni di buon senso.

Senza iPad e laptop, le ore di un volo intercontinentale verso gli Stati Uniti diventeranno un incubo per chiunque viaggi per lavoro ed è abituato a far fruttare le ore passate in aereo lavorando al computer. Certo, si può decidere di dormire o di leggere o guardare qualche film, ma resta il problema che il computer/tablet va stivato, con tutti i rischi di danneggiamento e di furto che questo comporta. In pratica, molti saranno costretti a lasciare a casa il computer e arrivare alla meta informaticamente nudi. Quella presentazione da rifinire all’ultimo minuto? Scordatevela: dovrete portarla su una chiavetta USB e procurarvi un computer sul posto (che avrà una tastiera USA, senza accentate; e pregate che abbia una versione di software compatibile con la vostra).

I dispositivi proibiti non sono solo laptop e tablet: sono vietati in cabina anche giochi elettronici, libri digitali, lettori DVD, scanner, stampanti e fotocamere. Le uniche eccezioni riguardano i dispositivi medici essenziali. Prima che ci pensiate: no, dire che il laptop è un dispositivo medicale perché è l'unica cosa che impedisce di impazzire stando nove ore pigiati come sardine, con bambini che piangono incessantemente e cibo di gomma, non è una giustificazione che le imperscrutabili autorità accoglieranno facilmente.

Questa è la situazione al momento in cui scrivo: prima di partire, consultate le istruzioni della vostra compagnia aerea. E procuratevi un buon libro (non digitale) da leggere.


Fonti: Naked Security, CNN, CNN.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento). Ultimo aggiornamento: 2016/03/29 11:35.

L’FBI ha depositato una dichiarazione legale (altra copia qui) nella quale afferma di essere riuscita ad entrare nell’iPhone del terrorista Syed Farook (vicenda discussa in questi articoli) e quindi rinuncia all’ordine del Dipartimento di Giustizia che imponeva ad Apple di assistere nello scardinamento delle sicurezze del telefonino (e, di conseguenza, di tutti gli iPhone dello stesso tipo al mondo).

Va notato che l’FBI aveva rilasciato una dichiarazione giurata nella quale asseriva invece ripetutamente che la collaborazione di Apple era l’unico modo possibile per accedere ai dati presenti nel telefonino (per esempio: “Apple has the exclusive technical means which would assist the government”, p. 3; “the FBI cannot do so without Apple’s assistance”, p. 5; “the assistance sought can only be provided by Apple”, p. 7; “there may be relevant, critical communications and data... that... cannot be accessed by any other means known to either the government or Apple”, p. 19).

Non possono essere vere entrambe le dichiarazioni, e questo pone un problemino di credibilità per le prossime volte che l’FBI o il governo statunitense farà affermazioni non supportate da prove.

Edward Snowden ha appunto un commento lapidario: “Giornalisti: per favore ricordate che il governo ha asserito per mesi che questo era impossibile, nonostante il consenso degli esperti.”

Non si sa ancora se il telefonino in questione contiene dati significativi per le indagini. Sarebbe assai ironico se, dopo tutto questo can can e dopo aver detto (in sostanza) che accedere a quel telefonino era così importante da giustificare la compromissione della sicurezza di tutti gli iPhone, l’FBI dovesse ammettere che nell’iPhone di Farook non c’è nulla di utile: cosa assai probabile, visto che Farook prese la precauzione di distruggere due altri suoi telefonini ma non questo.

Comunque sia, se l’FBI dispone di un metodo per entrare negli iPhone, conosce una loro vulnerabilità: la rivelerà ad Apple in modo che possa essere risolta, in modo che i criminali non la possano usare e in modo da proteggere i dati dei cittadini onesti e innocenti? In teoria dovrebbe farlo, visto che proprio gli esperti scelti dalla Casa Bianca hanno dichiarato che qualunque decisione di non rivelare una vulnerabilità per scopi di intelligence o di polizia espone gli utenti comuni al rischio che altri usino quella stessa falla e visto che esiste, almeno sulla carta, i Vulnerabilities Equity Process, un processo formale che consente (o impone) la rivelazione di falle di sicurezza informatica scoperte da enti governativi statunitensi. Staremo a vedere.

Molti utenti di iPhone avranno ora il timore di trovarsi con un telefonino vulnerabile, che ha una falla che potrebbe essere usata dai criminali per fare danni, ma occorre tenere presente che il modello di iPhone scardinato dall’FBI è un iPhone 5c, quindi non la versione più recente, che ha un hardware di sicurezza potenziato, e che nei mesi trascorsi dai fatti di sangue di San Bernardino causati da Farook Apple ha rilasciato parecchi aggiornamenti del proprio software rispetto all'iOS 9 dell’iPhone in oggetto.

Si vocifera che sia coinvolta la società di sicurezza Cellebrite, ma non ci sono prove, ed è possibile che si tratti semplicemente di una diceria (partita dalla stampa israeliana) autopromozionale. Non ci sono dettagli certi sulla tecnica hardware o software utilizzata.

Apple ne esce molto bene, schierandosi dalla parte dei propri clienti e dalla parte dei diritti dei cittadini, che una volta tanto coincidono con gli interessi commerciali. Cosa più importante, Apple (insieme ad altri grandi nomi dell’informatica, alleatisi con lei) è riuscita a evitare che si stabilisse un precedente legale pericolosissimo che l’avrebbe costretta fondamentalmente a scrivere malware per violare gli iPhone dei propri clienti.

Ma la vera questione di fondo è che questa vicenda dimostra che non era affatto necessario indebolire la sicurezza di tutti in nome dell’antiterrorismo, come invece affermavano le autorità statunitensi andando contro il parere unanime degli esperti, e che quindi siamo di fronte all’ennesima puntata del teatrino della sicurezza. Complimenti all’FBI per lo sfoggio d’incompetenza tecnica e per aver minato ulteriormente la fiducia nelle autorità.


Fonti: EFF, The Intercept, Ars Technica.

Credit: Wikipedia.

Nella questione della richiesta dell’FBI ad Apple di sbloccare il telefonino appartenuto a uno dei terroristi della strage di San Bernardino, in California, è entrato un altro nome che conta: Microsoft. Cosa più unica che rara, Microsoft si è schierata con Apple e contro l’FBI, e lo ha fatto con le parole di Brad Smith, President e Chief Legal Officer dell’azienda, che annunciano il deposito di una memoria legale in favore di Apple.

La memoria è sottoscritta non solo da Microsoft ma anche da molti altri nomi importantissimi dell’economia digitale: Amazon, Box, Cisco, Dropbox, Evernote, Facebook, Google, Mozilla, Nest Labs, Pinterest, Slack, Snapchat, WhatsApp e Yahoo. Tutti contrari alla richiesta dell’FBI.

In sintesi, spiega la memoria, secondo queste aziende “l’ordine del governo ad Apple supera i limiti delle leggi esistenti e, se applicato più estesamente, sarà dannoso per la sicurezza degli americani a lungo termine”. Questi grandi nomi collaborano regolarmente con le forze dell’ordine e molti “hanno squadre di dipendenti a tempo pieno... dedicate a rispondere alle richieste di dati dei clienti da parte delle forze di polizia”. Nessun desiderio di fiancheggiare criminali o terroristi: non c’è alcun “interesse a proteggere coloro che violano la legge. Ma [queste aziende] respingono l’affermazione infondata del governo secondo la quale la legge consentirebbe al governo stesso di requisire e comandare i tecnici di un’azienda per minare le funzioni di sicurezza dei loro prodotti”.

Spiega Brad Smith nell’annuncio: “L’ordine del tribunale a sostegno della richiesta dell’FBI cita l’All Writs Act, che è entrato in vigore nel 1789 ed è stato emendato in modo significativo per l’ultima volta nel 1911. Riteniamo che le questioni sollevate dal caso Apple siano troppo importanti per affidarle a una normativa ristretta risalente a un’altra era tecnologica per colmare quella che il governo ritiene sia una lacuna delle leggi attuali. Dovremmo invece rivolgerci al Congresso per trovare l’equilibrio necessario per la tecnologia del ventunesimo secolo... Se vogliamo proteggere la privacy personale e mantenere la sicurezza delle persone, la tecnologia del ventunesimo secolo va governata con leggi del ventunesimo secolo”.

Dopo aver citato il rispetto per il lavoro delle forze dell’ordine e le collaborazioni di Microsoft con gli inquirenti, Smith esprime un altro concetto fondamentale: “la gente non userà tecnologie di cui non si fida”. In altre parole, obbligare Apple (e poi, inevitabilmente, Microsoft e gli altri) a indebolire la sicurezza del proprio software non aiuterà gli inquirenti: i criminali e i terroristi non faranno altro che rivolgersi ad altri fornitori di hardware e software meno insicuri. Inoltre: “...la cifratura forte ha un ruolo vitale nel creare fiducia. Aiuta a proteggere le informazioni personali e i dati proprietari aziendali sensibili contro hacker, ladri e criminali, e non dovremmo creare delle backdoor tecnologiche che minino queste protezioni. Farlo ci esporrebbe tutti a rischi maggiori.... prendendo le difese di Apple, prendiamo le difese dei clienti che contano su di noi per tenere sicure e protette le proprie informazioni più private.”

Più chiaro di così non si può. Ma la vicenda ha anche un altro aspetto profondamente interessante: le crescenti richieste governative di accesso ai dati digitali dei sospettati custoditi dalle aziende nei cloud stanno trasformando il modo in cui queste aziende vedono i dati dei clienti. Se finora hanno pensato che questi dati potessero essere una miniera d’oro da analizzare e rivendere (Google e Facebook basano su questo i propri imperi economici), ora stanno cominciando a rendersi conto che avere accesso alle informazioni private dei clienti non è una risorsa, ma un onere. Un onere che espone colossi come Apple a richieste governative che possono devastarne il modello commerciale.

Nella questione è entrato anche Edward Snowden, con la sua solita brillante e concisa analisi su Twitter: “Se oltre all’utente c’è qualcun altro che può entrare, non è sicuro. L’accessibilità da parte del fabbricante è una vulnerabilità.” Per fare un paragone con situazioni più familiari, lo scenario che il governo americano sta cercando di far accettare è l’equivalente di una legge che obbliga i costruttori di case a custodire una copia delle chiavi d’ingresso di ogni casa che costruiscono. Il risultato è che i dipendenti infedeli dei costruttori possono abusare di queste chiavi e quelli fedeli sono soggetti all’interesse di criminali che, di fronte alla possibilità di razziare le case impunemente, non esiterebbero a ricorrere a corruzione e ricatti di quei dipendenti.

Ed è per questo che Apple e altri grandi nomi dell’informatica si stanno evolvendo verso una custodia dei dati dei clienti nella quale soltanto il cliente è in grado di decifrare i propri dati. Non per proteggere i criminali, ma per proteggere gli onesti.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento).

Edward Snowden poco fa ha tweetato parole pesanti come macigni sulla controversia legale fra FBI e Apple che ho riassunto qui. Le traduco qui sotto.

Journalists: Crucial details in the @FBI v. #Apple case are being obscured by officials. Skepticism here is fair: pic.twitter.com/lEVEvOxcNm

— Edward Snowden (@Snowden) 19 Febbraio 2016

Giornalisti: i funzionari governativi stanno occultando dettagli fondamentali nel caso FBI contro Apple. Qui è giusto essere scettici:

[traduzione del testo contenuto nell’immagine che accompagna il tweet:]

1) L’FBI ha già tutti i tabulati delle comunicazioni del sospettato – con chi ha parlato e come lo ha fatto – perché questi dati sono già custoditi dai fornitori di servizi, non sul telefonino stesso.

2) L’FBI ha già ricevuto backup completi di tutti i dati del sospettato fino ad appena 6 settimane prima del reato.

3) Copie dei contatti del sospettato con i suoi colleghi – la cosa alla quale l’FBI afferma di essere interessata – sono disponibili in duplicato sui telefonini di quei colleghi.

4) Il telefonino in oggetto è un telefono di lavoro fornito dal governo, soggetto al consenso di monitoraggio; non è un dispositivo segreto di comunicazione per terroristi. I telefonini “operativi” che si ritiene nascondano informazioni incriminanti, recuperati dall’FBI durante una perquisizione, sono stati fisicamente distrutti, non “protetti da Apple”.

5) Esistono mezzi alternativi per ottenere accesso a questo dispositivo – e ad altri – che non richiedono l’assistenza del fabbricante.

Si dice spesso che la cattiva pubblicità non esiste: se parlano del tuo prodotto, nel bene o nel male, comunque ne stanno parlando e lo stanno facendo conoscere. Però vedersi raccomandare da un gruppo terroristico come l’ISIS, come è successo all’app di messaggistica svizzera Threema, non è un tipo di testimonial particolarmente desiderabile.

Threema è stata segnalata in una guida, distribuita a gennaio tra i seguaci dell’ISIS, come una delle forme di comunicazione online più sicure (difficilmente intercettabile) perché neanche i suoi gestori possono decifrare il contenuto dei messaggi scambiati fra due utenti.

Molti governi, in seguito agli attentati di Parigi, stanno spingendo affinché questo genere di messaggistica venga bandito. Sia il direttore dell’FBI, James Comey, sia il direttore della CIA, John Brennan, hanno dichiarato che se non viene introdotta una backdoor, ossia una sorta di chiave governativa che permetta di decifrare e monitorare i messaggi online, i terroristi e i criminali di ogni genere avranno in queste app di messaggistica una risorsa impenetrabile a disposizione per i loro scopi.

Il problema tecnico di quest’idea è che non considera che chi fa crimine o terrorismo probabilmente non rispetterebbe un divieto governativo di usare una certa app.

Terrorista 1: “Ti devo passare le istruzioni per fare una bomba contro il governo.”
Terrorista 2: “OK, mandamele tramite un’app che il governo non può intercettare.”
Terrorista 1: “Uh... il governo che vogliamo far saltare in aria ha detto che le app che non può intercettare sono vietate.”
Terrorista 2: “Ah, allora non possiamo usarle. Peccato.”

Per come è fatta Internet e per come è fatto il software, non c’è nulla che impedisca a un gruppo criminale o sovversivo di scriversi una propria app di messaggistica cifrata e usarla, per cui eventuali divieti governativi avrebbero un solo effetto: quello di indebolire la sicurezza e la privacy di aziende e cittadini onesti, lasciando indisturbati i malfattori.

La cifratura senza backdoor viene usata dalle banche, dagli ospedali, dagli enti pubblici per tutelare i dati: anch’io, come giornalista, uso app come Threema per garantire la riservatezza delle mie fonti. E c'è un altro problema: se un governo ha un passepartout, come fa a garantire che non finisca nelle mani dei criminali o di altri governi, dando loro un potere enorme?

Roman Flepp, portavoce di Threema, ha spiegato infatti che “sacrificare alcuni dei fondamenti delle nostre democrazie, come la libertà, la riservatezza e il diritto all’espressione in cambio di un falso senso di sicurezza non sembra essere una cosa furba da fare”. E giganti dell’informatica come Google, Apple, Microsoft, Intel e Facebook confermano quest’opinione: di recente hanno dichiarato congiuntamente che “La crittografia è uno strumento di sicurezza al quale ci affidiamo ogni giorno per impedire ai criminali di svuotarci i conti correnti, per proteggere le nostre automobili e i nostri aerei dall’essere sabotati da attacchi informatici e in generale per tutelare la nostra sicurezza e riservatezza. Indebolire la sicurezza dicendo di voler migliorare la sicurezza è semplicemente un controsenso”. Il rischio di abbandonarsi al teatrino della sicurezza, politicamente appagante ma tecnicamente rovinoso, è insomma chiaro agli esperti. Speriamo che lo sia anche ai politici.

L'articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2015/09/17 18:15.

Se vi è mai capitato di fare un viaggio verso gli Stati Uniti, conoscerete bene i lucchetti e le chiusure per valigie “approvate dalla TSA”, di cui solo gli addetti ai controlli di sicurezza della Transportation Security Administration hanno la chiave universale, per cui noi possiamo chiudere serenamente a chiave le nostre valigie e loro possono aprirle per ispezionarle allo scopo di prevenire il terrorismo.

Quando questa misura fu introdotta, in seguito agli attentati devastanti dell'11 settembre 2001, gli esperti di sicurezza avvisarono che era un'idea particolarmente stupida, perché prima o poi qualcuno avrebbe messo le mani sulla chiave passepartout. I politici avevano risposto che non sarebbe mai successo perché la chiave sarebbe rimasta segreta, custodita gelosamente dalla TSA. Indovinate cos'è successo.

Poche settimane fa il Washington Post ha pubblicato una foto delle chiavi passepartout TSA (ce n'è più di una) in un articolo che portava i lettori dietro le quinte del lavoro dei controllori di sicurezza. La foto è stata subito rimossa, ma non prima che qualcuno ne conservasse una copia e la usasse per ricostruire la forma esatta delle chiavi e farne un modello per stampanti 3D che funziona, come raccontano Wired e The Register. Il modello delle varie chiavi è ora online su Github, così adesso chiunque può stamparsi una segretissima chiave TSA.

La vicenda è una dimostrazione perfetta di uno dei princìpi della sicurezza informatica che ancora oggi, dopo tanti tentativi, fa più fatica a entrare in testa ai non addetti ai lavori (per esempio ai politici che devono approvarli o ai cittadini che devono eleggere quei politici): se un sistema di sicurezza si basa su un segreto condiviso fra tante persone, prima o poi qualcuno farà trapelare quel segreto. Se poi il segreto non è modificabile dopo che è stato svelato, il sistema non solo non funziona, ma è proprio bacato in partenza ed è una presa in giro.

Più in generale, qualunque sistema di crittografia che abbia una chiave universale segreta di decifrazione, da affidare per esempio a un'azienda o alle forze dell'ordine, è fallimentare, perché prima o poi quella chiave segreta finirà nelle mani sbagliate. Nell'era di Internet, oltretutto, per farla trapelare basta pochissimo. Per cui esigere che ci sia è stupido. Chissà se stavolta la lezione verrà capita.


2015/09/17 18:15: Ars Technica ha pubblicato una bella dimostrazione video accompagnata da spiegazioni tecniche di come l'hanno realizzata.

L'articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2015/07/28 20:35.

È stata rivendicata via Twitter alcuni giorni fa una violazione di vari siti collegati alla Polizia e alla Giustizia italiana (immagine qui accanto), accompagnata dalla pubblicazione di database contenenti dati sensibili provenienti dai siti violati: nomi, indirizzi e numeri di telefono di persone delle forze dell'ordine o legate al settore.

Lasciamo stare le ragioni dell'intrusione: già è imbarazzante che abbia avuto successo, ma la vera vergogna è quello che ha messo in luce, ossia la gestione pateticamente inetta della sicurezza.

Come segnala Luigi Rosa su Siamogeek,

Le password sono tutte in chiaro oppure codificate in MD5 senza salt. In un paio di database nel campo password c’è l’hash MD5, uno spazio e poi la password in chiaro tra parentesi. In più di un esempio la tabella degli amministratori ha le password in chiaro e quella degli utenti ha le password in MD5. Molte password in MD5 sono uguali al nome dell’utente oppure banali (ovvero se vengono trascritte in un motore di ricerca appare la pagina con l’equivalente in chiaro).

E le password usate sono da mettersi le mani nei capelli:

numeri nel formato ggmmaaaa, nomi di città, nomi di persone e parole come passamontagna, meccaemedina, 69cazzo69, Password, 123, polizia, Soloio.

Sì, c'è persino l'immancabile uso di password come password. Luigi segnala anche che ci sono chiari segni di “tentativi di hackeraggio pregresso”. Complimenti.

Mi associo alle sante parole di Luigi:

Le leggi sulla tutela dei dati personali (dette anche “leggi sulla privacy”) dovrebbero, appunto, servire a tutelare i dati personali da questo tipo di intrusioni, non ad obbligare i cittadini e le aziende private a firmare e conservare tonnellate di carta inutile.

Tutti i dettagli sono nell'articolo completo su Siamogeek.


Correzione: avevo scritto inizialmente che la rivendicazione era stata pubblicata oggi, ma in realtà era stata pubblicata alcuni giorni fa e solo oggi l'ho ricevuta tramite un retweet. Ho corretto il testo.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alla gentile donazione di “pierdimat*” e “fchion*”. Se vi piace, potete incoraggiarmi a scrivere ancora.

In risposta all'attacco terroristico a Charlie Hebdo, il primo ministro britannico David Cameron vuole abolire ogni forma di comunicazione online non intercettabile dal governo. Lo dice molto chiaramente nel discorso che ha fatto ieri, il cui video è presentato da The Independent.

A prima vista sembra una buona soluzione per impedire ai terroristi di poter comunicare fra loro senza poter essere intercettati. Lo sembra fino al momento in cui a qualcuno (evidentemente non qualcuno dello staff tecnico di Cameron) viene in mente che abolire ogni forma di comunicazione digitale non intercettabile dal governo significa abolire (o indebolire fino a renderla inutile) la crittografia che garantisce la sicurezza delle transazioni bancarie. Significa bandire WhatsApp, iMessage, FaceTime, Telegram, PGP e qualunque altra applicazione che faccia uso di cifratura seria. Significa bandire uno dei protocolli fondamentali di sicurezza di Internet, ossia SSL, come osserva Mikko Hypponen.

“Vogliamo consentire un mezzo di comunicazione fra le persone che noi [...] non possiamo leggere?” si chiede retoricamente Cameron nel proprio discorso.

Sì, signor Cameron, lo vogliamo, perché quel mezzo di comunicazione è, tanto per dirne una, quello che tiene al sicuro i nostri conti correnti. E anche i suoi.

Non era difficile prevedere che la risposta politica, puramente demagogica, alla strage di Charlie Hebdo sarebbe stata una stupidaggine tecnica, come l'altrettanto cameroniano filtro antiporno, rivelatosi un flop totale. I politici non capiscono niente di Internet (le eccezioni si contano sulle dita di Eta Beta) e sono posseduti dal Gastrospasmo del Fare:

In caso di crisi, fai qualcosa. Qualunque cosa, anche una cretinata inutile o controproducente, ma fatti vedere che fai qualcosa. E poi vantati di aver fatto qualcosa e di aver dimostrato decisione e risolutezza. Tanto le conseguenze della tua cretinata le pagherà qualcun altro.

Il Gastrospasmo del Fare ha naturalmente il Corollario del Negare e Aumentare:

Se quello che hai fatto non funziona, esattamente come ti avevano avvisato i tecnici, non ammettere l'errore, ma dichiara con decisione che funzionerebbe benissimo se soltanto lo si facesse in dosi più massicce.

Dicevo, prevedere un nuovo esempio di teatrino della sicurezza non richiedeva poteri di chiaroveggenza. Era però difficile immaginare che la cretinata sarebbe stata di questo calibro colossale. Vedremo se i colleghi di Cameron negli altri paesi sapranno dare dimostrazioni d'inettitudine tecnica altrettanto mirabili. Qualcosa già si sta affacciando qui, e rispetta perfettamente il Gastrospasmo e il suo corollario.

Il 6 maggio scorso sono stato invitato a tenere una conferenza sul tema dell'abuso informatico presso l'Università di Camerino, nell'ambito di “Uso, abuso e riuso degli strumenti informatici”, un ciclo di lezioni su sicurezza informatica e diritto delle cosiddette “nuove tecnologie” promosso dal corso di laurea in informatica della Scuola di Scienze e Tecnologie (il programma con tutti i relatori è qui). Il video del mio intervento è ora disponibile e lo potete vedere qui sotto. Io inizio a 13:45. C'è anche una mia breve intervista nel TG regionale di Raitre (a circa 10 minuti dall'inizio).

Ho colto l'occasione per fare il punto sugli abusi informatici commessi da società commerciali, crimine organizzato e governi. Credo che sia abbondantemente ora di prendere coscienza di queste intrusioni sempre più pervasive e di cominciare a prendere nuove abitudini e adottare contromisure, per non fregarci con le nostre stesse mani. Buona visione.

Davvero al-Qaeda prepara donne kamikaze con esplosivo nel seno?

Repubblica: "Terrorismo: allarme kamikaze - donne con seno al plastico". Corriere: "Fox: 'Bombe nei seni delle terroriste'". TGcom: "Gb, 'kamikaze con seno al plastico'". Fanno eco DonnaModerna.com e tanti altri siti.

Stando a tutte queste fonti, l'organizzazione terroristica al-Qaeda intenderebbe "sfruttare come kamikaze donne con il seno imbottito di esplosivo non rilevabile dalle normali macchine ai raggi X negli aeroporti". A questo scopo sarebbero stati inviati "alcuni chirurghi plastici in Gran Bretagna per imparare ad eseguire l'intervento per poi praticare questi innesti esplosivi una volta tornati nei loro paesi d'origine". C'è di più: secondo queste testate, si parla di impianti esplosivi anche negli uomini, da collocare nei glutei.

Davvero nessuno di coloro che lavora per queste pubblicazioni s'è posto un dubbio? Nessuno s'è chiesto, per esempio, come e dove sarebbero occultati i detonatori e i comandi (lascio la risposta alla vostra depravata fantasia) o perché non usare altre parti del corpo meno erogene ma più capienti, come l'addome di un uomo corpulento? L'unico leggermente esitante sembra essere Guido Olimpio, che sul Corriere nota che "non è chiaro come sarebbero attivate [le bombe]. A prima vista sembra un'esagerazione e la fonte è generica". Ma la "notizia" viene pubblicata lo stesso. Che diamine: tette, terrore ed esplosivi? Una combinazione irresistibile.

Ma la fonte della notizia qual è? Il Corriere parla di "allarme dei servizi segreti inglesi". Però poi salta fuori che i servizi segreti inglesi vengono tirati in ballo dalla rete televisiva statunitense Fox. La notizia originale della Fox cita come fonte degli "esperti" di terrorismo. Che poi risultano essere uno solo, e neanche tanto esperto: si tratta di Joseph Farah, che non è membro dei servizi segreti britannici ma è l'editore di World Net Daily, un sito di notizie che pubblicizza libri del tipo di "Come sopravvivere al crollo della civiltà" e dice (a firma dello stesso Farah) che Obama non è presidente legittimo perché non ha mostrato il proprio certificato di nascita (lo ha fatto) e forse è nato in Kenya (no; tutta la faccenda era già sbufalata per esempio qui nel 2008). E continua a dirlo nelle convention repubblicane. Un esperto coi controfiocchi, per nulla incline al sensazionalismo. Infatti per lui "è noto" e assodato che le kamikaze reclutate da al-Qaeda si sono già fatte inserire l'esplosivo nel seno. Chi gliel'ha detto? Non si sa.

Ma Fox a sua volta ha preso la notizia da un'altra fonte. Dai servizi segreti inglesi? Noooo. L'ha ricevuta dal tabloid scandalistico inglese The Sun. Che cita sempre lo stesso Joseph Farah di prima e fonti anonime, si para il posteriore seminando vari "a quanto pare" e "si ritiene che" e illustra il diabolico piano con un fotomontaggio spudorato di due candelotti e una sveglietta, degni di un cartone animato, ficcati dentro una protesi.


E così, siccome nessuno di coloro che per mestiere dovrebbero fungere da filtri e garanti delle notizie si prende la briga di controllare la provenienza originale delle cose che pubblica o si ferma a chiedersi se siano plausibili, il Corriere e Repubblica si trovano a seminare paure usando come fonte un giornaletto britannico e Valeria Marini verrà riclassificata come arma di distruzione di massa.

Gli scanner negli aeroporti ti denudano? Tranquilla, nessuno mai ne approfitterà. Come no

Questo articolo vi arriva grazie alle gentili donazioni di "assix" e "fraferu".

Avete presente i nuovi scanner full-body degli aeroporti? Quelli che costano uno sproposito di soldi e vedono sotto i vestiti, rivelando nitidamente anche i genitali? Quando mi sono permesso di chiedere, come tanti altri perplessi da questo teatrino della sicurezza, se non c'era il rischio che qualche operatore annoiato e sottopagato cedesse alla tentazione di fare una cattura della schermata dello scanner in occasione del passaggio di una persona famosa, mi sono preso una bella dose di critiche.

Suvvia, dicono anche le autorità, gli scanner saranno messi in mano soltanto a persone responsabili e integerrime. Verranno adottate tutte le misure del caso. In nome della lotta al terrorismo, quindi, il bravo cittadino si dovrà far denudare virtualmente ogni volta che prende l'aereo, ma sarà tranquillissimo, perché mai nessuno abuserà di quest'intrusione obbligata sotto i suoi vestiti.

Come no. Arriva dall'aeroporto di Heathrow, a un mese scarso dall'installazione degli scanner, la prima denuncia di abuso. Un dipendente della BAA (la società che gestisce l'aeroscalo), il venticinquenne John Laker, è accusato di aver scattato una foto a una sua collega, la ventinovenne Jo Margetson, mentre lei passava inavvertitamente attraverso lo scanner della Rapiscan (costo 90.000 euro) il 10 marzo scorso, al Terminal 5. Questi scanner realizzano immagini come quella qui accanto, che non è una simulazione: Reuters la presenta come immagine scattata da quello specifico tipo di scanner.

A differenza degli aeroporti americani, quelli britannici, stando al Guardian, non permettono la perquisizione manuale al posto dello scanner. Chi s'è rifiutato per motivi di salute o religiosi non è stato imbarcato.

La Margetson (qui due sue foto sul Sun, che fedele al suo giornalismo-trash non risparmia le citazioni di commenti salaci attribuiti a Laker) ha denunciato il fatto alla polizia. Gli accertamenti sono ancora in corso. Se confermato, questo sarebbe il primo caso in cui un guardone è stato scoperto ad abusare degli scanner aeroportuali. La parola chiave, naturalmente, è scoperto.

Fonti aggiuntive: AFP, Sky.com, Reuters.

Questo articolo vi arriva grazie alle gentili donazioni di "tombovo" e "riccardo". L'articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2010/02/18.

È quello che nel gergo di Internet si chiama epic fail e il resto dell'universo chiama figuraccia galattica (magari con formule più scatologicamente colorite): in un programma della TV tedesca, uno scanner per passeggeri, di quelli da installare negli aeroporti e che rivelano le forme nude dei soggetti esaminati, trova il telefonino, il microfono e il temperino che la cavia ha con sé, ma non trova gli ingredienti di una bomba dissimulati sulla medesima cavia in modo assolutamente banale, addirittura senza ricorrere all'uso di cavità corporali (tranne una che vi lascio scoprire nel video qui sotto).

Gli ingredienti vengono poi mostrati al pubblico (e all'imbarazzatissimo operatore dello scanner) e riuniti per realizzare la miscela incendiaria chiamata termite (che chi ha seguito i complottismi undicisettembrini conosce bene), che produce una bella fiammata davanti alle telecamere. Roba che non sarebbe molto gradevole trovarsi a bordo in volo. Il video è assolutamente da vedere anche se non conoscete tutte le sfumature del tedesco.


Sembra essere uno scanner a infrarossi passivi, da quel che capisco della presentazione, diverso da quelli a onde millimetriche che sono stati installati di corsa e sono obbligatori in alcuni aeroporti britannici (Heathrow e Manchester) ai primi di febbraio, ma il principio di base è lo stesso: si propongono soluzioni tecnologiche costosissime senza sottoporle a verifica indipendente.

Soluzioni che oltretutto ledono in modo inaudito la dignità delle persone ancor più che la loro riservatezza, obbligandole a passare nude, bambini compresi, davanti agli esaminatori aeroportuali: gli stessi che rifiutano di sottoporsi a controlli di sicurezza e che sarebbero già stati colti a conservare le scansioni nude di celebrità, con buona pace di tutte le garanzie ufficiali sul rispetto della sfera privata. È perlomeno quello che ha raccontato pochi giorni fa Shah Rukh Khan, una delle superstar del cinema indiano, alla TV britannica. Yahoo News riferisce che Khan, dopo essere passato attraverso uno degli scanner londinesi, ha visto delle "ragazze" che avevano delle stampe della sua scansione senza vestiti. Molto sportivamente, gliele ha autografate.

Intanto dagli Stati Uniti emerge che le assicurazioni secondo le quali gli scanner aeroportuali installati dalla Transportation Security Authority non avevano la possibilità di memorizzare le immagini sono fasulle. I dati si possono salvare su disco rigido o su una comoda penna USB. Per smascherare la frottola è stato sufficiente procurarsi le specifiche tecniche dell'appalto, come racconta The Register.

Immaginate Cindy Crawford che passa da uno di questi scanner e ditemi se degli operatori annoiati e sottopagati secondo voi resisteranno alla tentazione di fare una cattura della schermata o un bel filmatino con il telefonino. Scoprire chi s'è rifatto il seno o altre parti del corpo e nega di averlo fatto potrebbe avere un discreto valore di mercato. E naturalmente ci sono i bambini. Questo sarebbe il modo di non far vincere il terrorismo?

2010/02/18

Siim Kallas, della Commissione Europea per i Trasporti, sta preparando un rapporto su questi scanner per il Parlamento Europeo. La materia dovrebbe essere oggetto di discussione in questi giorni nel summit dei ministri dei trasporti a La Coruña, in Spagna. La decisione britannica di introdurre questi scanner è stata criticata, segnala The Register, da Ron Noble, segretario generale dell'Interpol, dalla Corte Europea dei Diritti Umani, e dal commissario UE Viviane Reding.

Kaboom mancati e riusciti, intercettazioni, teatrini della sicurezza e altre delizie

L'articolo è stato aggiornato dopo la pubblicazione iniziale.

Strutture sommerse dell'isola giapponese di Yonaguni. Qualcuno mi ha chiesto un parere su queste presunte strutture e mi ha segnalato questo articolo (attenzione: contiene pubblicità un po' osé) che ipotizza che si tratti di opere dell'uomo risalenti a 10.000 anni fa. Non ho tempo di approfondire, lascio queste righe come appunto: segnalo solo che l'articolo di Wikipedia cita varie fonti che suggeriscono che si tratti più banalmente di formazioni geologiche naturali di roccia che, come in altri luoghi del mondo, tende spontaneamente a fratturarsi secondo linee geometriche.


Ipotesi aliene e/o catastrofiche riguardanti una nube scoperta dalle sonde Voyager. Un altro lettore mi ha segnalato l'esistenza di farneticazioni sulla nube scoperta dalle sonde della NASA fuori dal nostro sistema solare e battezzata "Local Fluff". Le informazioni tecniche per rispondere a queste idee menagramo sono su Physorg.com e su Nasa.gov.


Teatrino della sicurezza Qualche pensiero sulla sicurezza e soprattutto sui teatrini della sicurezza dopo il Mutandabomber del volo Northwest Airlines 253 da Amsterdam a Detroit: Bruce Schneier prende giustamente per i fondelli la nuova regola sul non alzarsi dal posto durante l'ultima ora di volo. BoingBoing si associa. Il teatrino prosegue: le istruzioni segretissime sulle nuove regole di sicurezza della TSA (Transportation Security Administration) americana finiscono online. Come le mutande dell'aspirante martire. E per quelli che dimenticano che le prime notizie diramate dai media spesso non sono esatte, segnalo che inizialmente le agenzie parlavano di mini-petardi natalizi (i Christmas crackers della tradizione britannica).


Scusi, quest'esplosivo è suo? Il teatrino arriva a livelli demenziali e da infarto con questa simpatica trovata delle autorità slovacche. Vediamo se i controlli di sicurezza funzionano: mettiamo dell'esplosivo di nascosto nella valigia di un passeggero ignaro e vediamo se i nostri colleghi ai controlli lo trovano. Indovinate come va a finire: l'esplosivo sfugge ai controlli e il passeggero se lo porta a casa a Dublino, dove viene arrestato e la sua abitazione viene circondata dagli artificieri per rimuoverne l'esplosivo. Le autorità slovacche aspettano tre giorni prima di avvisare la polizia irlandese del piccolo disguido e dicono che l'esplosivo non era pericoloso. Ma allora perché chiamare gli artificieri? Adesso non basta preoccuparsi delle bombe portate in aereo dai terroristi; bisogna anche preoccuparsi di quelle messe dagli "esperti" di sicurezza (BBC). Aggiornamento: le cose potrebbero essere andate diversamente da quanto descritto da Zia Beeb, come segnalato nei commenti qui sotto.


L'intercettazione dei video non cifrati dei Predator. Forse non è un errore grave come pare istintivamente. Schneier sottolinea che a volte la mania di segretezza inutile fa più danni della disseminazione di segreti. Il problema nel caso dei Predator sarebbe stata la gestione dei codici di accesso sul campo di battaglia. Se il video in tempo reale non fosse stato disponibile a un gruppo di soldati nel momento del bisogno perché il sistema non accettava la password, la segretezza avrebbe prodotto danni maggiori. E si chiede quanto possa essere utile un feed video di una vista aerea senza coordinate o altri riferimenti. Il vero danno, qui, è quello d'immagine (la figuraccia pubblica dei militari).


Più facile intercettare i GSM. È stato decifrato l'algoritmo di channel hopping usato dai sistemi cellulari GSM per proteggere le telefonate contro le intercettazioni. Un progetto open source mirato a dimostrare l'insufficienza della privacy del sistema GSM ha proposto, durante il Chaos Communication Congress di Berlino, un kit composto da un PC con una scheda grafica di medie prestazioni, un disco rigido capiente, due ricevitori USRP2 e del software per gestire il channel hopping. Dopo qualche minuto d'intercettazione di una chiamata, l'algoritmo viene decifrato e siccome la chiamata è stata registrata (come flusso di dati cifrati), può essere decifrata anche la sua parte iniziale. Il kit registra solo uno degli interlocutori, ma anche questo in molti casi è sufficiente per commettere crimini, per esempio intercettando i menu vocali di un sistema bancario (The Register).


Come spillare dati privati da Facebook. Wired spiega che le nuove regole di privacy di Facebook rendono più facile scoprire nome, amici, sesso, età, interessi, domicilio, lavoro e titolo di studio corrispondenti a un indirizzo di e-mail usando la funzione di ricerca di amici. Buon divertimento.


Leggere i pensieri si può (o quasi). Basta accettare qualche piccolo impianto nel cervello, senza fili sporgenti o connettori alla Frankenstein: solo due bobinette applicate allo scalpo. Un dispositivo chiamato Neuralynx, realizzato presso la Boston University, rileva l'attività cerebrale dei centri della parola e la converte in suoni. Funziona: un primo modello sperimentale è già stato impiantato in un ventiseienne completamente paralizzato, generando correttamente alcuni suoni (Physorg).


Demi Moore photoshoppata in copertina: arrivano gli avvocati per non farlo sapere. Il popolare sito BoingBoing pubblica le prove di un fotoritocco dilettantesco che mozza un fianco a Demi Moore sulla copertina di una rivista (immagine qui accanto), e l'attrice, invece di chiedere scusa per la porcata e per l'ennesima anoressizzante presa in giro del pubblico, manda gli avvocati, e la rivista nega ogni ritocco. La risposta del legale di BoingBoing è da manuale. Mai sentito parlare del diritto di cronaca? Tutta la storia è qui, e non è l'unica del suo genere. Leggete qui sotto.


Modelle impossibili. La presa in giro e la presentazione di modelli estetici inarrivabili raggiunge nuove vette in un poster di Ralph Lauren (qui accanto). E anche qui arrivano gli avvocati, che diffidano Photoshop Disasters, il blog che aveva pubblicato l'immagine. Photoshop Disasters ha rimosso l'articolo, ma l'immagine è ancora in giro. Esiste davvero qualcuno che crede che questo sia l'aspetto normale di una donna? E qualcun altro che approva e che stampa questa roba? E la soluzione, secondo i magnati della moda, è quella di imbavagliare chi denuncia i loro inganni?


Esperti di sicurezza sbaragliano botnet di 250.000 PC infetti. La botnet era arrivata a generare l'11% dello spam analizzato da MessageLabs. Gli smanettoni hanno preso il controllo dei server che gestivano la botnet. Geniale. I dettagli sono su PCworld/Yahoo.


Cinque anni fa, l'attacco alla Terra dallo spazio. Il 27 dicembre 2004 la Terra fu investita da un fascio di raggi gamma e X tanto potente da accecare alcuni satelliti e ionizzare parzialmente gli strati superiori dell'atmosfera. Colpa di una magnetar, la SGR1806-20: una stella di neutroni tanto densa che un centimetro cubo della sua materia pesa cento milioni di tonnellate e dotata di un campo magnetico mostruoso (donde il nome). Si trova a 50.000 anni luce da noi, sul lato opposto della nostra galassia, eppure è riuscita a far sentire il suo effetto fin qui, cosa che una "normale" supernova non riuscirebbe a fare da quella distanza. E poi dicono che la scienza è noiosa (Bad Astronomy).


Cinque nuovi mondi. Il telescopio spaziale Kepler della NASA ha trovato i suoi primi cinque nuovi pianeti al di fuori del sistema solare. Quattro sono ancora più grandi di Giove, e percorrono orbite strettissime intorno alla propria stella. Un anno, su quei mondi, dura fra tre e cinque giorni terrestri. Uno, Kepler 7b, ha una densità media inferiore a quella del polistirolo espanso. Questo è solo un piccolo esercizio di collaudo: il telescopio Kepler è fatto per scoprire pianeti simili alla Terra (BBC).


Antimateria kaboom. Incrociare i flussi è male, come sanno i fan di Ghostbusters: mettere insieme materia e antimateria nel cuore di una stella è molto male. E avviene nella realtà, non nei telefilm di Star Trek. Sette miliardi di anni fa, la stella Y-155, nella costellazione della Balena, aveva una massa 200 volte maggiore di quella del nostro sole ed è diventata tanto calda da generare coppie di particelle di materia e antimateria, scatenando una reazione termonucleare che l'ha fatta esplodere così violentemente da essere visibile da Terra nonostante si trovasse a metà strada dai confini dell'universo e generando un'energia equivalente a cento miliardi di volte quella del Sole (Science Daily).


Oroscopi? Idiozia colossale. Lo dice Marco Cagnotti, giornalista scientifico e presidente della Società Astronomica Ticinese, in un eloquente sfogo sul blog astronomico Stukhtra, giocando il jolly: "... “Nature”, vol. 318, pp. 419-425, 5 dicembre 1985: una ricerca fondamentale. Effettuata con astrologi professionisti, impegnati in un protocollo a doppio cieco e messi nelle migliori condizioni operative, avendo tutte le informazioni su luogo, data e ora di nascita, quindi potendo stilare il tema natale preciso dal quale ricavare poi la personalità dei volontari. Risultato: fallimento totale." Niente male anche l'incazzatura di Marcello Veneziani sul Giornale: "Giuro che al prossimo che mi fa l’oroscopo gli faccio l’endoscopia, con strumenti improvvisati".


Onnipotenza in Windows 7. Esiste un "God Mode" in Windows 7, una serie di funzioni non documentate, inserite dagli sviluppatori, che permette di accedere rapidamente a tutti i pannelli di controllo del sistema operativo da una singola cartella. Basta creare una nuova cartella e darle il nome seguente: GodMode.{ED7BA470-8E54-465E-825C-99712043E01C} (parentesi graffe incluse). Potete anche usare una stringa diversa da "GodMode", ed esiste tutta una serie di codici aggiuntivi che attivano varie scorciatoie per controllare più agevolmente le impostazioni del sistema operativo. Cnet ne pubblica un elenco che è spiegato in dettaglio qui. Il codice che riporto qui sopra è quello che include tutte le scorciatoie: gli altri ne attivano dei sottogruppi. Da provare a vostro rischio e pericolo (specialmente in Vista, dove pare che tenda a crashare il sistema) (Gizmodo).


Antibufala: Warren Beatty ha conosciuto biblicamente quasi 13.000 donne? Qualcuno ha fatto i conti in tasca a questa notizia che ha spopolato nei giorni scorsi sui giornali che non hanno niente di meglio da raccontare. Bufala, a meno che vogliate credere che il bellone di Hollywood sia riuscito a sedurre 1,06 donne al giorno, ogni giorno dell'anno, per 33 anni di fila (Animalnewyork.com).


Immagini incredibili di animali nel grembo materno. Sono tratte da un documentario di National Geographic, ma le trovate su Io9 e Izismile.


Che fine ha fatto Second Life? È quasi deserto, ma fa più soldi di prima grazie alla conversione all'intrattenimento a luci rosse. PcPro è andato a vedere cos'è successo al social network che tanti avevano dipinto come il futuro di Internet.


Fotocamere digitali, basta con la guerra dei megapixel, bisogna essere più sensibili. La nuova frontiera per la fotografia è l'introduzione di sensori capaci di ottenere immagini decenti in condizioni di luce sempre più fioca, fino a fotografare in città, di notte, in luce ambiente. ISO 12.800, estendibili a 102.400, per la Canon 1D Mark IV. Che nelle mani giuste fa dei video straordinari come Nocturne. Se dovete chiedere quanto costa, non ve la potete permettere.

Scanner d'impronte da 44 milioni di dollari battuti dal nastro adesivo

Molto spesso si ha la tentazione di risolvere i problemi di sicurezza ricorrendo a gadget tecnologici molto costosi invece di affrontarli andando alla radice. E' quello che è successo in Giappone, secondo Yahoo News: in trenta aeroporti del paese sono stati installati, nel corso del 2007, dei lettori automatici di impronte digitali per gestire i controlli d'immigrazione e l'antiterrorismo. Il sistema è costato oltre 44 milioni di dollari ed è in grado di confrontare le impronte dei viaggiatori istantaneamente con quelle di criminali, fuggiaschi e stranieri colpiti da ordine di deportazione.

Non è chiaro quanti terroristi siano stati così gentili da regalare all'amministrazione giapponese le loro impronte digitali in anteprima, ma una cosa è chiara: il sistema fa acqua da tutte le parti. Una donna sudcoreana, colpita da divieto d'ingresso in Giappone e deportata dal paese a luglio 2007 per immigrazione e lavoro clandestino, è riuscita ad eluderlo con un espediente decisamente a bassa tecnologia: si è coperta le dita con appositi nastri adesivi sui quali erano imprese le impronte di un'altra persona, di cui aveva inoltre un passaporto falso.

Ma come, in Giappone nessuno ha visto Diamonds Are Forever (Una cascata di diamanti)? James Bond ci aveva già pensato nel 1971. E Mythbusters ha ripetuto la dimostrazione in una puntata di qualche tempo fa:



C'è però una differenza importante fra il caso di Bond e di Mythbusters e quello giapponese. Infatti al di là della realizzazione pratica dello specifico rilevatore d'impronte, che è il principale colpevole del fallimento in questi casi, lo scenario d'uso giapponese vi aggiunge una delle insidie poco intuitive della biometria.

La biometria funziona bene se la si usa per verificare che una persona è chi dice di essere (ho un'impronta certa di Tizio nel database, voglio sapere se chi appoggia il dito sul sensore è davvero Tizio): in questo caso c'è un'unica impronta che funziona e tutte le altre vengono scartate. Il sistema può essere reso estremamente schizzinoso e quindi efficace (più di quelli di 007 e Mythbusters).

Ma in Giappone questa biometria è stata usata per verificare (si fa per dire) che una persona non è una fra le tante presenti in un database segnaletico. Questo significa che per quanto sia ben realizzato il sensore d'impronte, è facilissimo ingannare il sistema antiterrorismo/anti-clandestini, perché basta dargli in pasto qualunque impronta che non sia fra quelle nel database. In altre parole, invece del criterio "va bene solo X", si usa il criterio "va bene qualunque cosa non sia X". E questo garantisce che il sistema sarà sempre bucabile, perché la sua logica di base è fallata.

Ecco la vignetta di Moise, pubblicata inizialmente su AFNews e ripubblicata qui per gentile concessione dell'autore.

Nuova puntata della serie "la vostra sicurezza è in buone mani". L'ex cantante Cat Stevens, che ora si fa chiamare Yusuf Islam, è nella lista dei sospettati di terrorismo stilata dal governo USA (per motivi non divulgati), ma è riuscito lo stesso a salire su un aereo diretto negli USA, che poi è stato bloccato. C'è riuscito grazie a un problema di ortografia.

Infatti nella lista antiterrorismo c'è scritto Youssouf Islam, non Yusuf. Così perlomeno riferisce Yahoo News, citando la rivista Time:

Time magazine, in its on-line edition, quoted aviation sources with access to the "no-fly" list as saying there is no entry on the list under the name "Yusuf Islam," but that there is a "Youssouf Islam" on the list. They said the incorrect name was added to the list this summer. Because Islam's name is spelled "Yusuf" on his passport, said the sources, he was allowed to board a plane in London bound for the United States. The US Transportation Safety Administration alleges that Islam has links to terrorist groups, which he has denied.

In altre parole, il sistema antiterrorismo non è abbastanza flessibile da tenere conto delle variazioni fonetiche dei nomi. Non saprebbe distinguere, per esempio, fra Smyth e Smith. Forse il governo USA dovrebbe ringraziare Cat Stevens per aver evidenziato questa falla del sistema. Con questa falla, un terrorista avrebbe potuto entrare negli USA semplicemente alterando foneticamente il proprio nome, cosa peraltro legittima, dato che con i nomi scritti in alfabeti non latini la conversione fonetica verso l'alfabeto latino non è univoca.

Ma chi è l'imbecille che scrive il software che gestisce questi sistemi? A parte il fatto che un sistema basato sui nomi, vista la facilità con la quale si può cambiare nome legalmente o illegalmente, mi sembra una totale perdita di tempo, anche soltanto come primo filtro. Che comunque, come dimostrato, non funziona.

Mah!