Sto correndo per finire di (ri)scrivere un libro, per cui la faccio breve e vado subito al sodo: il podcast è qui e questi sono i temi che ho trattato stamattina per la Rete Tre della RSI. Buon ascolto e/o lettura.
Un blog di Paolo Attivissimo, giornalista informatico e cacciatore di bufale
Informativa privacy e cookie: Questo blog include cookie di terze parti. Non miei (dettagli)
Prossimi eventi pubblici – Sostegno a questo blog – Sci-Fi Universe
2013/08/30
Una semplice serie di caratteri manda in tilt Mac, iPhone e iPad
Questo articolo era stato pubblicato inizialmente il 30/08/2013 sul sito della Rete Tre della Radiotelevisione Svizzera, dove attualmente non è più disponibile. Viene ripubblicato qui per mantenerlo a disposizione per la consultazione.
Può sembrare
assurdo che un computer moderno, con il software più aggiornato,
frutto di decenni di ricerca ed evoluzione tecnologica, possa essere
mandato in tilt semplicemente dandogli in pasto una sequenza di
caratteri: è come se bastasse scegliere un certo canale per guastare
un televisore o pronunciare certe parole per rompere un microfono. Ma
è così: la falla imbarazzante e bizzarra riguarda Apple, sia per i
computer, sia per tablet e smartphone.
È infatti
possible far schiantare i browser e altre applicazioni su questi
dispositivi, come iMessage e alcuni programmi di mail, semplicemente
visualizzando una serie di caratteri arabi senza senso: la sequenza
può essere messa in una pagina Web, nel titolo di una mail, persino
nel nome di un accesso WiFi.
Quando
incontra questa serie di caratteri, Safari, il browser di Apple,
crasha sia sulla versione più recente di OS X (la 10.8.4), sia su
quella più aggiornata di iOS (la 6.1.3). Firefox, invece, non batte
ciglio e la visualizza senza problemi, mentre Chrome di Google
visualizza una schermata d'errore ma non crolla.
Facebook ha
dovuto attivare
di corsa un filtro che blocca la sequenza di caratteri per evitare
che gli utenti si facessero scherzi pubblicandola sul proprio
profilo, facendo crashare i browser dei visitatori dotati di Mac,
iPhone o iPad.
Qual è
questa sequenza di caratteri? Ce ne sono numerose varianti. Una è a
vostra disposizione se visitate con prudenza (non con Safari, per
esempio) questo
link. Per capirne il funzionamento, potete consultare questa
discussione
tecnica e queste informazioni
di Sophos.
Antibufala: taxi automatici prossimamente offerti da Google
Questo articolo era stato pubblicato inizialmente il 30/08/2013 sul sito della Rete Tre della Radiotelevisione Svizzera, dove attualmente non è più disponibile. Viene ripubblicato qui per mantenerlo a disposizione per la consultazione.
Numerose
testate hanno pubblicato una notizia clamorosa e futuristica: Uber,
una società statunitense specializzata nel gestire via Internet i
servizi di taxi, acquisterà da Google 2500 automobili a guida
autonoma GX3200. Auto senza conducente, che trovano la strada da
sole, evitano gli ostacoli e trovano i parcheggi in totale autonomia.
Ma la notizia
è una bufala: per scoprirlo bisogna risalire alla fonte originale,
che per molte delle testate che hanno abboccato alla storia è il
Daily Mail
britannico. Questo giornale aveva appunto pubblicato un articolo
(ora rimosso, ma copiato
qui) che annunciava la rivoluzionaria novità.
Chi non si è
preso la briga di andare alla vera fonte della storia e non si è
chiesto come mai il modello GX3200 di auto a guida robotica non
risultasse fra quelli presentati da Google non si è reso conto che
il Daily Mail
aveva a sua volta abboccato a un articolo
di fantasia pubblicato dal sito TechCrunch. E dire che il titolo
dell'articolo era “Dispatch from the Future”,
ossia “Dispaccio dal futuro”,
e l'articolo iniziava con la data del 25 luglio 2023.
In altre
parole, non ci sarà prossimamente una flotta di taxi senza
conducente che portano in giro i clienti lasciando disoccupati i
tassisti, ma il modo superficiale con il quale molte testate
raccolgono e ripubblicano le notizie potrebbe dare l'impressione che
siano certe redazioni, e non le auto di Google, ad andare in giro
senza nessuno alla guida.
Nota: screenshot del Mail presso
http://jalopnik.com/daily-mail-duped-by-fake-article-about-google-selling-d-1202200861
Facebook pubblica i numeri della propria collaborazione con i governi
Questo articolo era stato pubblicato inizialmente il 30/08/2013 sul sito della Rete Tre della Radiotelevisione Svizzera, dove attualmente non è più disponibile. Viene ripubblicato qui per mantenerlo a disposizione per la consultazione.
Le recenti
rivelazioni delle collaborazioni fra i grandi fornitori di servizi
Internet e i servizi di sicurezza statunitensi sembrano aver spinto
questi fornitori a una maggiore trasparenza su quante e quali
informazioni dei loro utenti vengono richieste non soltanto dal
governo statunitense, ma dai vari governi del pianeta.
Il social
network di Mark Zuckerberg ha infatti pubblicato i dati
di queste richieste governative riguardanti i primi sei mesi del
2013: quali paesi, quante richieste per ciascun paese, il numero di
utenti coinvolti e la percentuale di richieste per le quali Facebook
è stato obbligato per legge a fornire dati.
Non è una
gran sorpresa vedere che in cima alla classifica dei governi più
attivi nel fare richieste a Facebook ci sono gli Stati Uniti, con
circa 20.000 utenti coinvolti per ragioni sia criminali, sia
terroristiche, e che sempre gli Stati Uniti hanno la più alta
percentuale di richieste esaudite da Facebook: il 79%.
Al secondo
posto, come numero di utenti coinvolti, c'è il Regno Unito, e molti
altri paesi europei si collocano oltre il migliaio di utenti.
All'altro estremo della classifica ci sono paesi come l'Islanda e
Hong Kong, che hanno richiesto e ottenuto informazioni su un solo
utente ciascuno.
La Svizzera
com'è messa? 32 richieste complessive hanno coinvolto 36 utenti; il
13% di queste richieste, ossia circa cinque, è stato esaudito negli
ultimi sei mesi.
Se volete
sapere quali sono le situazioni nelle quali Facebook collabora con le
forze dell'ordine, il social network le offre pubblicamente in questa
pagina.
Anatomia dell’attacco informatico al New York Times
Questo articolo era stato pubblicato inizialmente il 30/08/2013 sul sito della Rete Tre della Radiotelevisione Svizzera, dove attualmente non è più disponibile. Viene ripubblicato qui per mantenerlo a disposizione per la consultazione.
La tensione internazionale intorno alla situazione in Siria ha anche dei risvolti informatici. L'autoproclamato Esercito Elettronico Siriano (favorevole al governo Assad) si è dichiarato responsabile, nei mesi scorsi, di varie incursioni informatiche ai danni dei siti Web di testate internazionali come il Washington Post, la BBC, la CNN, la Associated Press e Time e di siti come Twitter e Viber.
La sua violazione dell'account Twitter della Associated Press, in particolare, ha permesso all'Esercito Elettronico Siriano di pubblicare con il marchio dell'agenzia di stampa la falsa notizia del ferimento di Obama in un attentato, causando un sussulto in Borsa di circa 136 miliardi di dollari.
Il bersaglio di spicco più recente è stato il quotidiano statunitense New York Times, che martedì scorso è rimasto inaccessibile per quasi dodici ore. Contemporaneamente è stato colpito anche il Huffington Post. Anche Twitter è stato attaccato in alcuni suoi servizi di diffusione di immagini.
Questi attacchi fanno impressione nell'opinione pubblica, evocando l'immagine di un team di super-hacker agguerritissimi e temibili, ma se si conosce la loro reale dinamica ci si rende conto di quanto in realtà siano molto meno arditi e complessi di quel che può sembrare.
L'EES ha infatti usato gli strumenti pubblici di Internet per scoprire che il nome di dominio del NYT, ossia nytimes.com, era stato acquistato dal giornale presso la Verisign, che aveva delegato la gestione del traffico Internet diretto al NYT a un registrar australiano, la Melbourne IT, che aveva a sua volta delegato questa gestione a vari fornitori di accesso Internet, compreso un fornitore indiano.
Tutto questo è avvenuto secondo una prassi comunissima in Internet: una catena di fiducia sulla quale si basa il DNS, ossia il sistema che ci permette di scrivere il nome di un sito in un browser e di trovarci connessi a quel sito istantaneamente e magicamente, senza sapere dove si trova materialmente. Internet “sa” dove sono i vari siti grazie a questo DNS, che associa il nome che digitiamo all'indirizzo IP del sito corrispondente.
Come qualunque catena, basta un singolo anello vulnerabile per indebolire tutto l'insieme: l'EES è riuscito ad ottenere il nome utente e la password di almeno uno degli amministratori dei sistemi del fornitore d'accesso indiano e li ha usati per redirigere il traffico del NYT. Chi scriveva www.nytimes.com veniva dirottato a un sito fasullo controllato dall'EES. Ma il sito del giornale non era stato violato: era ancora accessibile a chi ne conosceva l'indirizzo IP diretto, ossia http://170.149.168.130.
Come ha fatto l'EES a ottenere queste credenziali che gli hanno permesso il dirottamento? Con la tecnica più elementare, il phishing: ha inviato una mail-trappola ai vari amministratori del fornitore d'accesso indiano, con un testo apparentemente autorevole (per esempio la classica richiesta di Gmail o Facebook di aggiornare la propria password cliccando su un link incluso nella mail) che ha convinto almeno uno degli amministratori a rispondere, fornendo le proprie credenziali agli aggressori, che le hanno usate per alterare il DNS e redirigere tutto il traffico dei visitatori del NYT. Tutto qui.
Può sembrare assurdo che Internet si regga su un sistema così vulnerabile, ma è così. In effetti esiste un sistema di maggiore garanzia, il registry lock, che impedisce la modifica automatica dei dati del DNS e obbliga una verifica manuale della legittimità della richiesta di modifica. La verifica viene effettuata al livello più alto della catena di fiducia. Molti grandi nomi di Internet stanno correndo ad attivare questa ulteriore protezione, che però ha degli oneri amministrativi maggiori e rende più difficili i rinnovi automatici dei nomi di dominio.
Se volete sapere quali siti Internet hanno un registry lock, potete farlo facilmente: è un dato pubblico. Usate uno dei tanti servizi "whois" di Internet (per esempio Smartwhois.com/) per visualizzare i dati di registrazione di un nome di dominio: se vedete le parole “serverDeleteProhibited”, “serverTransferProhibited” e “serverUpdateProhibited”, il nome è protetto da un registry lock.
Fonti aggiuntive (non pubblicate):
http://www.usatoday.com/story/cybertruth/2013/08/28/how-a-low-level-hack-shut-down-the-new-york-times/2722869/
http://arstechnica.com/security/2013/08/syrian-electronic-army-named-as-likely-culprit-in-the-new-york-times-hack/
http://www.pcworld.com/article/2047628/spear-phishing-led-to-dns-attack-against-the-new-york-times-others.html
http://news.idg.no/cw/art.cfm?id=DFC7CBBB-989D-AE94-5E471ECB85807E57
http://blog.cloudflare.com/details-behind-todays-internet-hacks
2013/08/29
LibreOffice 4.1.1 disponibile, ma occhio alla versione Mac
Con ancora più piacere ho letto l'annuncio che la regione autonoma di Valencia in Spagna ha migrato a LibreOffice 120.000 PC e risparmiato un milione e mezzo di euro l'anno, per i prossimi cinque anni, perché non dovrà acquistare licenze software proprietarie.
Ma mi devo associare alla raccomandazione di The Document Foundation: in ambiente di lavoro, perlomeno per chi usa Mac, è meglio restare alla versione 4.0.5 di LibreOffice, perché la 4.1.0 e la 4.1.1 hanno un baco che le rende quasi inutilizzabili per chi scrive molto: i caratteri vanno a spasso sullo schermo mentre si scrive e il cursore di testo perde il posizionamento, rendendo impossibile l'editing.
È un baco riconosciuto, che però non mi risulta sia stato corretto nelle nuove release (non è fra quelli risolti nei log di modifica (uno e due). Alla fine ho dovuto reinstallare la 4.0.5.2 dalla disperazione, per cui segnalo qui il problema nella speranza di evitare ad altri la perdita di tempo che ho subìto io. Per fortuna, essendo software libero, non ho dovuto fare salti mortali con codici di licenza e altre turpitudini.
La NASA lancia una sonda per esplorare l’atmosfera della Luna. Eh?
Il 6 settembre prossimo la NASA lancerà la sonda LADEE che analizzerà l'atmosfera della Luna. Avete capito bene. La Luna ha un'atmosfera, anche se incredibilmente tenue. Se ne accorsero gli astronauti delle missioni lunari Apollo, che osservarono sulla Luna dei raggi di sole teoricamente impossibili, dato che i raggi diventano visibili soltanto se incontrano le molecole di un'atmosfera.
Ma forse c'è di più: forse la polvere lunare levita. A causa delle cariche elettrostatiche indotte dalla radiazione solare e dall'impatto delle particelle cosmiche, i suoi granelli si respingono a vicenda e si sospetta che finiscano per formare delle “nuvole” visibili in controluce.
I dettagli sono in questo video:
Ma forse c'è di più: forse la polvere lunare levita. A causa delle cariche elettrostatiche indotte dalla radiazione solare e dall'impatto delle particelle cosmiche, i suoi granelli si respingono a vicenda e si sospetta che finiscano per formare delle “nuvole” visibili in controluce.
I dettagli sono in questo video:
Sulla Terra c’è un enorme canyon mai visto da occhi umani. Eccolo
È in Groenlandia, sepolto da milioni di anni da più di un chilometro di ghiaccio, e non l'ha mai visto nessuno. Ora le ricerche della NASA lo hanno rivelato: un canyon lungo 740 chilometri e profondo fino a 800 metri. L'animazione qui sotto lo rivela, sulla base dei dati forniti da un radar aerotrasportato in grado di vedere attraverso il ghiaccio.
Si sospetta che prima della formazione della coltre tombale di ghiaccio, in questo canyon scorresse un grande sistema fluviale. Abbiamo sotto il naso segreti immensi. Chi avrebbe mai detto che una struttura geologica così grande sarebbe rimasta totalmente sconosciuta fino al ventunesimo secolo?
Si sospetta che prima della formazione della coltre tombale di ghiaccio, in questo canyon scorresse un grande sistema fluviale. Abbiamo sotto il naso segreti immensi. Chi avrebbe mai detto che una struttura geologica così grande sarebbe rimasta totalmente sconosciuta fino al ventunesimo secolo?
Attacco chimico in Siria: pochi fatti, molte fantasie
L'articolo è stato aggiornato dopo la pubblicazione iniziale.
Faccio brevemente il punto delle poche fonti non propagandistiche e di parte che possono gettare luce sul presunto attacco chimico avvenuto vicino a Damasco, in Siria, visto che i complottisti da tastiera si stanno dando parecchio da fare ipotizzando, per esempio, che si tratti di una messinscena organizzata dagli Stati Uniti, dai paesi occidentali o pro-occidentali oppure dalle forze siriane contrarie al governo di Assad per giustificare un attacco, secondo un copione già visto un po' troppe volte nella storia recente.
Il problema di questo dramma è che non ci si può fidare di nessuna delle parti coinvolte. Ognuna cerca di tirare acqua al proprio mulino di propaganda, e a differenza di altri casi (11 settembre, per esempio) non ci sono riscontri oggettivi di natura tecnica che possano chiarire oltre ogni dubbio come stanno le cose.
L'unico riscontro che si avvicina all'oggettività che ho trovato finora è il rapporto di Medici Senza Frontiere, che dice che tre ospedali hanno “accolto circa 3600 pazienti che manifestavano sintomi neurotossici nel giro di meno di tre ore la mattina di mercoledì 21 agosto 2013. Di questi è stato asserito che ne sono morti 355.” MSF, insomma, non ha riscontri di primissima mano e i suoi membri “non sono stati in grado di accedere a queste strutture”.
MSF aggiunge anche che “non può confermare scientificamente né la causa di questi sintomi né stabilire chi è responsabile dell'attacco. Tuttavia i sintomi riferiti dei pazienti, insieme allo schema epidemiologico degli eventi – caratterizzato dal massiccio influsso di pazienti in un arco di tempo breve, la provenienza dei pazienti e la contaminazione degli operatori medici e di pronto soccorso – indicano fortemente un'esposizione di massa a un agente neurotossico.”
Parole molto caute, insomma, che stridono con le immagini e i video terribili (Al Jazeera; The Revolting Syrian; elenco di video su Youtube; Boston.com) che stanno affollando Internet. Cadaveri di bambini che spingono a reazioni emotive, a fare qualcosa, qualunque cosa pur di non stare a guardare. E su queste reazioni di pancia c'è già chi ricama per trovare giustificazioni alla propria visione del mondo e magari vendere qualche libro in più. Io preferisco non ricamare e fermarmi ai fatti, che sono davvero pochi, per ora. Forse a quei pochi fatti si può aggiungere la considerazione che l'origine dell'attacco potrebbe essere resa evidente dalla sua stessa scala: se il numero delle vittime fosse molto elevato, sarebbe ben poco credibile che si tratti di un attacco improvvisato dalle forze anti-Assad e sarebbe piuttosto chiara la natura militare dell'azione. Ma è presto per dirlo.
Chiudo questi appunti pubblici con la segnalazione, come commento personale, di questa lucida sintesi storica di Charlie Stross, che sembra aver capito quello che i governi a quanto pare non riescono a ficcarsi in testa:
Come al solito, nessuno che pensi all'unico bombardamento costruttivo: quello che recapiti medicinali e maschere antigas. Che pena.
21:20 – Giornalisti di Le Monde confermano numerosi attacchi chimici in Siria. L'articolo completo è qui in francese e qui in inglese. Agghiacciante.
Faccio brevemente il punto delle poche fonti non propagandistiche e di parte che possono gettare luce sul presunto attacco chimico avvenuto vicino a Damasco, in Siria, visto che i complottisti da tastiera si stanno dando parecchio da fare ipotizzando, per esempio, che si tratti di una messinscena organizzata dagli Stati Uniti, dai paesi occidentali o pro-occidentali oppure dalle forze siriane contrarie al governo di Assad per giustificare un attacco, secondo un copione già visto un po' troppe volte nella storia recente.
Il problema di questo dramma è che non ci si può fidare di nessuna delle parti coinvolte. Ognuna cerca di tirare acqua al proprio mulino di propaganda, e a differenza di altri casi (11 settembre, per esempio) non ci sono riscontri oggettivi di natura tecnica che possano chiarire oltre ogni dubbio come stanno le cose.
L'unico riscontro che si avvicina all'oggettività che ho trovato finora è il rapporto di Medici Senza Frontiere, che dice che tre ospedali hanno “accolto circa 3600 pazienti che manifestavano sintomi neurotossici nel giro di meno di tre ore la mattina di mercoledì 21 agosto 2013. Di questi è stato asserito che ne sono morti 355.” MSF, insomma, non ha riscontri di primissima mano e i suoi membri “non sono stati in grado di accedere a queste strutture”.
MSF aggiunge anche che “non può confermare scientificamente né la causa di questi sintomi né stabilire chi è responsabile dell'attacco. Tuttavia i sintomi riferiti dei pazienti, insieme allo schema epidemiologico degli eventi – caratterizzato dal massiccio influsso di pazienti in un arco di tempo breve, la provenienza dei pazienti e la contaminazione degli operatori medici e di pronto soccorso – indicano fortemente un'esposizione di massa a un agente neurotossico.”
Parole molto caute, insomma, che stridono con le immagini e i video terribili (Al Jazeera; The Revolting Syrian; elenco di video su Youtube; Boston.com) che stanno affollando Internet. Cadaveri di bambini che spingono a reazioni emotive, a fare qualcosa, qualunque cosa pur di non stare a guardare. E su queste reazioni di pancia c'è già chi ricama per trovare giustificazioni alla propria visione del mondo e magari vendere qualche libro in più. Io preferisco non ricamare e fermarmi ai fatti, che sono davvero pochi, per ora. Forse a quei pochi fatti si può aggiungere la considerazione che l'origine dell'attacco potrebbe essere resa evidente dalla sua stessa scala: se il numero delle vittime fosse molto elevato, sarebbe ben poco credibile che si tratti di un attacco improvvisato dalle forze anti-Assad e sarebbe piuttosto chiara la natura militare dell'azione. Ma è presto per dirlo.
Chiudo questi appunti pubblici con la segnalazione, come commento personale, di questa lucida sintesi storica di Charlie Stross, che sembra aver capito quello che i governi a quanto pare non riescono a ficcarsi in testa:
“le proposte nel Regno Unito e negli Stati Uniti di effettuare bombardamenti contro il regime di Assad in Siria non sono soltanto criminali (in mancanza di una decisione solida del Consiglio di Sicurezza delle Nazioni Unite in merito): sono stupide. Un'avventura imperiale di questo genere può essere un caso, due possono essere una coincidenza, ma imbarcarsi in una terza entro un decennio dal fiasco grondante di sangue che è stato l'Iraq e la traumatica occupazione contro gli insorti che è stato l'Afganistan dovrebbe essere una motivazione per incarcerare qualunque politico occidentale che lo proponga in un istituto per pazzi criminali.”
Come al solito, nessuno che pensi all'unico bombardamento costruttivo: quello che recapiti medicinali e maschere antigas. Che pena.
Aggiornamenti
21:20 – Giornalisti di Le Monde confermano numerosi attacchi chimici in Siria. L'articolo completo è qui in francese e qui in inglese. Agghiacciante.
2013/08/28
Ottusità dei vecchi media: comunicato stampa di Big Bang Theory geocensurato
L'articolo è stato aggiornato dopo la pubblicazione iniziale.
A volte mi chiedo se fra i responsabili dei network televisivi statunitensi c'è almeno un neurone funzionante. Sembra proprio che questa cosa chiamata Internet ancora non l'abbiano capita e vivano ancora nel proprio microcosmo dorato nel quale pensano ancora di controllare l'etere.
Seguo Big Bang Theory. Ieri sera Kaley Cuoco, su Twitter, ha segnalato il comunicato stampa della CBS che annuncia la data e i dettagli della prossima puntata e ha postato questo link: bit.ly/15uUJ73. Che dovrebbe portare al comunicato, ma non è accessibile perché sottoposto a restrizioni geografiche: "Sorry. This site is not available from your location."
Sarò forse ottuso io, ma mi sfugge completamente la ragione per la quale un annuncio promozionale di una serie TV seguita in gran parte del pianeta debba essere geolimitato. È una pubblicità per la serie, mica la puntata integrale da scaricare. Non contiene né musica né video, ma soltanto quello che vedete (sfocato per evitare contestazioni) qui sotto: del testo e una foto. Quale mente contorta può voler impedire che si veda la pubblicità del proprio programma?
Boh. Oltretutto la georestrizione si scavalca usando semplicemente la cache di Google dopo aver decifrato l'indirizzo accorciato da Bit.ly. Allora a che serve, di grazia?
Seguo Big Bang Theory. Ieri sera Kaley Cuoco, su Twitter, ha segnalato il comunicato stampa della CBS che annuncia la data e i dettagli della prossima puntata e ha postato questo link: bit.ly/15uUJ73. Che dovrebbe portare al comunicato, ma non è accessibile perché sottoposto a restrizioni geografiche: "Sorry. This site is not available from your location."
Sarò forse ottuso io, ma mi sfugge completamente la ragione per la quale un annuncio promozionale di una serie TV seguita in gran parte del pianeta debba essere geolimitato. È una pubblicità per la serie, mica la puntata integrale da scaricare. Non contiene né musica né video, ma soltanto quello che vedete (sfocato per evitare contestazioni) qui sotto: del testo e una foto. Quale mente contorta può voler impedire che si veda la pubblicità del proprio programma?
Boh. Oltretutto la georestrizione si scavalca usando semplicemente la cache di Google dopo aver decifrato l'indirizzo accorciato da Bit.ly. Allora a che serve, di grazia?
 |
| Quello che la CBS non vuol farvi leggere! GOMBLODDO! |
Iscriviti a:
Post (Atom)