Ultimo aggiornamento: 2021/12/15 21:40.

Sto cercando di capire i dettagli della situazione che ha portato alla scomparsa di tutti i commenti di Pgc e ho bisogno di un po' di commenti sacrificabili sui quali fare esperimenti. Vi va di lasciarne qualcuno qui? Anche cose senza senso, giusto per avere un campione di commenti di varie fonti da testare.

Grazie!

Aggiornamento (15:45)

Ne sono arrivati a sufficienza, grazie! Alcuni li pubblicherò, altri no, e altri ancora li eliminerò, per avere dati di riferimento.

Aggiornamento (2021/12/14 23:55)

Ho chiesto a Disqus di ripristinare l’account eliminato di/da Pgc in considerazione del fatto che esiste un periodo di 30 giorni per eventuali ripensamenti.

Stasera mi è arrivata una mail da Disqus che dice che l’account pgc è stato ripristinato. Yay!

In effetti l’account ora esiste di nuovo (come mostrato dallo screenshot qui sotto) ed ha anche l’avatar, la “reputazione” e le altre caratteristiche che aveva prima dell’eliminazione. Tuttavia i commenti risultano ancora eliminati.

Almeno un primo passo nella giusta direzione è stato fatto.

Andando a sfogliare uno per uno i commenti eliminati di tutti i commentatori dell’ultimo mese ho trovato molti commenti di pgc, che ho potuto approvare e che ora sono tornati al loro posto! Ne trovate alcuni esempi in questi post:

• Le auto elettriche rovineranno il mondo
• Milioni di dati vaccinali...
• Follia russa nello spazio
  

Un esempio del “prima” e del “dopo”:

Insomma, il modo c’è. Filtrando in base al nome utente (user:disqus_SHTPA9J3V5) mi compaiono soltanto i commenti cancellati di pgc,  ma resta un problemino: sono quattromila e passa commenti, che vanno approvati manualmente. 

Posso approvarli a blocchi di 25 nel modo seguente (me lo segno qui così non mi dimentico, visto che lo farò nei ritagli di tempo):

1. vado alla pagina di moderazione dei commenti
2. clicco su Deleted per vedere solo i commenti cancellati
3. immetto user:disqus_SHTPA9J3V5 nella casella di ricerca
4. clicco nella casella di selezione globale per selezionare i 25 commenti visualizzati
5. clicco su OK e poi su Approve per approvarli e quindi renderli visibili
6. clicco su Show more comments
7. ripeto dal punto 4

Non posso cambiare il numero di commenti visualizzati in ciascun blocco (lo può fare solo un account, che costa 105 dollari al mese). A 25 per volta, mi ci vorrà un po’ di tempo.

Aggiornamento (2021/12/15 18:20)

Pgc e Martinobri si sono offerti di dare una mano nell’approvare i commenti da ripristinare e siamo a buon punto: tutti i commenti di pgc del 2021 sono di nuovo online. Gli altri seguiranno. Intanto Pgc (la persona) ha un nuovo account, PGC New Edition, perché il ripristino del suo vecchio account non include la possibilità di continuare a usarlo.

Aggiornamento (2021/12/15 21:40)

Martinobri ha completato a tempo di record il ripristino di tutti i commenti di pgc. Fantastico!

È disponibile subito il podcast di oggi de Il Disinformatico della Radiotelevisione Svizzera, scritto e condotto dal sottoscritto: lo trovate presso www.rsi.ch/ildisinformatico (link diretto) e qui sotto.

In questa puntata del podcast vi racconto una storia di ransomware: l’estorsione che colpisce le aziende bloccando i loro dati con una password che verrà consegnata dal criminale solo se verrà pagato un riscatto. Non è una tecnica nuova, ma stavolta c’è un colpo di scena e ci sono di mezzo due milioni di dollari e fino a 37 anni di carcere. E se un guru storico del crimine informatico come Kevin Mitnick dice che è una storia interessante, si va sul sicuro.

I podcast del Disinformatico sono ascoltabili anche tramite feed RSS, iTunes, Google Podcasts e Spotify.

Buon ascolto, e se vi interessano il testo e i link alle fonti della storia di oggi, sono qui sotto.

---

[CLIP: Spot Ubiquiti]

Ubiquiti è un nome che probabilmente non vi dice nulla, ma è una grande azienda statunitense del settore dei dispositivi per la gestione delle reti informatiche: la “ferraglia” elettronica sulla quale transitano continuamente i nostri dati digitali, insomma.

Di recente è stata attaccata da un ricattatore molto particolare, tanto da meritarsi l’interesse di uno dei massimi esperti di crimine informatico, il mitico Kevin Mitnick.

Questa è la storia di un ricatto informatico insolito e di come la speranza di intascare due milioni di dollari rischia ora, per un banale errore, di diventare una sentenza che comporta fino a 37 anni di carcere. Visto che i dati più recenti indicano un aumento notevole dei ricatti informatici ai danni di aziende piccole e grandi, anche in Svizzera, è una storia che conviene conoscere, perché contiene lezioni utili per tutti, dai datori di lavoro ai dipendenti. E anche, inevitabilmente, per gli aspiranti criminali.

[SIGLA]

Il ransomware, ossia il software che penetra nei sistemi informatici delle aziende, blocca i loro dati con una password conosciuta solo ai criminali che gestiscono questo software, e poi chiede un riscatto per sbloccarli o per non pubblicarli, non è certo una novità.

Ma secondo i dati raccolti da Swissinfo.ch, il ransomware è un fenomeno in netta crescita. Fra agosto 2020 e agosto 2021 circa 2700 aziende svizzere sono state colpite da questa forma di attacco, stando alle stime della società di sicurezza statunitense Recorded Future: quasi il triplo rispetto agli anni precedenti, con una richiesta media di pagamento di circa 167.000 franchi o 180.000 dollari.

È difficile avere dati precisi, perché molte aziende non denunciano questi attacchi per non subire danni alla propria reputazione. Comparis, Stadler, RUAG e il comune di Rolle nel canton Vaud sono solo alcune delle vittime note più recenti, ma ce ne sono molte altre che pagano e tacciono.

Lo schema di attacco è ben documentato: i criminali iniziando inviando ai dipendenti dell’organizzazione presa di mira una mail contenente un allegato dall’aspetto innocuo, tipicamente una fattura. L’allegato, che in realtà trasporta un malware o virus informatico, viene aperto incautamente, senza adeguate precauzioni tecniche e comportamentali, facendo leva sulla fiducia dell’utente, e così supera le difese informatiche del bersaglio.

A volte l’attacco è più sofisticato e avviene sfruttando le falle di qualche sistema informatico maldestramente configurato e lasciato esposto su Internet, oppure una chiavetta USB infetta inserita con l’astuzia o la seduzione in un computer aziendale, ma capita abbastanza raramente. In un modo o nell’altro, gli aggressori entrano insomma nel cuore informatico dell’azienda, lo bloccano cifrando i dati oppure ne prelevano una copia, e poi chiedono soldi, solitamente sotto forma di criptovalute.

La storia di ricatto che voglio raccontarvi oggi, però, segue un copione leggermente differente.

Tutto inizia il 10 dicembre del 2020, quando qualcuno entra nei server gestiti dall’azienda informatica californiana Ubiquiti Networks, un grande nome del settore che vende router, telecamere e altri sistemi digitali di sicurezza, e ne sottrae vari gigabyte di dati sensibili usando una tecnica abbastanza insolita: l’intruso adopera infatti le credenziali di un amministratore del cloud aziendale.

Il furto prosegue una decina di giorni più tardi, il 21 e 22 dicembre, quando vengono rubati altri dati. L’intruso copre le proprie tracce alterando i log che registrano le attività. Ma a differenza dei casi tradizionali di ransomware, i dati di quest’azienda non vengono cifrati dall’aggressore.

Alcuni dipendenti della Ubiquiti si accorgono del furto una settimana più tardi, poco dopo Natale, e l’azienda raduna i suoi esperti per analizzarne le conseguenze.

Ai primi di gennaio 2021 Ubiquiti riceve una mail di richiesta di riscatto. La proposta del criminale è molto chiara: se l’azienda non gli pagherà 25 bitcoin, equivalenti a poco più di un milione di dollari, i dati confidenziali sottratti verranno resi pubblici, causando un disastro reputazionale.

Ma la mail di ricatto non si ferma qui: prosegue offrendo di rivelare all’azienda la tecnica usata per entrare nei suoi sistemi, in modo che possa chiudere la falla ed evitare nuovi attacchi. Per questa sorta di bizzarra consulenza informatica, il criminale chiede altri 25 bitcoin. Entrambe le proposte, che ammontano quindi a due milioni di dollari in tutto, scadranno a mezzanotte del 9 gennaio.

L’azienda decide di non pagare nessuna delle due richieste di denaro. Allo scadere dell’ultimatum, il criminale pubblica su Internet, visibili a chiunque, alcuni campioni dei dati confidenziali sottratti.

Ubiquiti riesce a farli togliere da Internet contattando il sito che li ospita, Keybase, e trova e chiude una falla nei propri sistemi creata dall’aggressore, cambia tutte le credenziali dei dipendenti e poi annuncia pubblicamente, l’11 gennaio 2021, di aver subìto una violazione informatica. I dati sottratti, dice, includono nomi, indirizzi di mail e password cifrate dei suoi clienti. L’azienda raccomanda a tutti gli interessati di cambiare password e di attivare l’autenticazione a due fattori.

L’incidente sarebbe chiuso, ma a questo punto della vicenda entra in gioco un whistleblower, ossia un anonimo lanciatore d’allerta interno all’azienda, che a fine marzo 2021 contatta i media specializzati, in particolare il noto esperto di sicurezza informatica Brian Krebs, e rivela i retroscena dell’annuncio pubblico di violazione, che lui conosce bene perché ha fatto parte del gruppo di esperti incaricati dell’analisi dell’incidente informatico.

L’anonimo aggiunge che Ubiquiti sta minimizzando la portata della violazione, che in realtà sarebbe “catastrofica” e includerebbe tutti i codici di autorizzazione più delicati, tanto da consentire ai criminali di accedere a qualunque dispositivo Ubiquiti installato presso i clienti sparsi in tutto il mondo. Questa violazione sarebbe stata perpetrata da un aggressore non identificato, che sarebbe entrato impossessandosi banalmente delle credenziali di un amministratore di sistema dell’azienda. Una figuraccia imbarazzante per una grande società che si specializza in sicurezza informatica.

Questa rivelazione causa comprensibilmente un crollo nella quotazione in borsa della Ubiquiti, che scende di circa il 20% nel giro di una giornata, comportando perdite di capitalizzazione di mercato equivalenti a oltre quattro miliardi di dollari. L’azienda annuncia il giorno successivo, che è il primo d’aprile, di essere oggetto di un tentativo di estorsione.

Nel frattempo l’FBI ha avviato un’indagine informatica e ha scoperto che l’intruso si è collegato via Internet ai computer di Ubiquiti usando Surfshark, un software di VPN (Virtual Private Network o “rete privata virtuale”), per mascherare l’origine del collegamento e impedire qualunque tentativo di rintracciarlo tramite il suo indirizzo IP, che normalmente verrebbe registrato nei log aziendali, e poi è entrato nei sistemi della Ubiquiti usando delle credenziali di amministratore, proprio come dice il whistleblower. Ma l’aggressore ha commesso un breve, fatale errore.

In due brevissime occasioni si è collegato senza accorgersi che un’interruzione momentanea del suo accesso a Internet aveva impedito a Surfshark di attivarsi correttamente, e così si è collegato a Ubiquiti direttamente, comunicando il suo vero indirizzo IP. Cosa peggiore, durante questi collegamenti ha trasferito parte dei dati sensibili dell’azienda.

L’FBI ha insomma tutto il necessario per identificare l’aggressore, e procede così a una perquisizione e a un arresto, seguiti da un atto di accusa del Dipartimento di Giustizia di New York che è stato recentemente reso pubblico.

Questo atto di accusa rivela il dettaglio che spinge lo storico hacker Kevin Mitnick a descrivere su Twitter la vicenda come “un colpo di scena interessante nel ransomware” e a esclamare “Busted!” (“Beccato!”): l’aggressore e il whistleblower sono infatti la stessa persona, e si tratta di un dipendente della Ubiquiti.

Sharp, paradossalmente, faceva proprio parte del team di specialisti della Ubiquiti incaricati di indagare sulla violazione. Quella violazione che lui stesso aveva commesso, usando le proprie credenziali di amministratore e la propria conoscenza dei sistemi informatici aziendali.

Quando il suo tentativo di estorsione è fallito perché Ubiquiti ha deciso di non pagare, ha tentato di danneggiare l’azienda e di depistare le indagini diffondendo notizie false su un presunto aggressore esterno. Ma è stato tradito da una banale caduta di linea. Come ha dichiarato Michael J. Driscoll, Assistant Director dell’FBI, “Il signor Sharp forse riteneva di essere abbastanza astuto da far funzionare il suo piano, ma un semplice guasto tecnico ha messo fine ai suoi sogni di ricchezza.”

Il processo deciderà se le accuse molto circostanziate dell’FBI sono fondate: in tal caso, Nickolas Sharp rischia fino a 37 anni di carcere.

L’esperto di sicurezza informatica Graham Cluley ha commentato questa insolita tentata estorsione osservando che “tutte le aziende farebbero bene a ricordare che probabilmente la minaccia peggiore non proviene da hacker esterni, ma dai dipendenti che sono stati assunti e ai quali è stata data fiducia nel gestire i sistemi informatici e nell’interagire con i dati aziendali”.

Non che gli hacker esterni facciano pochi danni, intendiamoci, ma un addetto interno può fare ben di peggio. Un buon rimedio è vincolare tutti gli accessi ai dati più sensibili in modo che serva l’autorizzazione contemporanea di almeno due persone e altre persone vengano allertate di ognuno di questi accessi. Questo rende molto più difficili sabotaggi dall’interno come quello che ha colpito l’azienda statunitense.

E per tutti gli aspiranti hacker che pensano che usare una VPN li renda invisibili e impossibili da rintracciare e identificare: pensateci due volte. Storie come quella di Nickolas Sharp dimostrano che non è così semplice, neanche per un addetto ai lavori. 

Fonti aggiuntive: Catalin Cimpanu, Bleeping Computer, Bitdefender.

Questo è un “articolo” de La Stampa. Uso le virgolette per via di quella frase finale, lasciata in bella mostra: “Tradotto con DeepL.com/Translator (versione gratuita)”.

Oggi il giornalismo si fa così: si piglia un articolo straniero altrui (avendone i diritti o no, non si sa), lo si ficca in un traduttore automatico, e si pubblica il risultato. Grazie a @fabiobortolotti e ai tanti che mi hanno segnalato questa perla.

Il Sole 24 Ore, intanto, scrive che “trilione” vuol dire 3000 miliardi (grazie a @MarcoBigi66 per la segnalazione), e poi attribuisce a Bloomberg la scemenza che scrive: 

Apple è un passo dal raggiungere una capitalizzazione da 3mila miliardi di dollari [...] Lo scrive l’agenzia Bloomberg [...] al colosso di Cupertino basta un rialzo del 6% del titolo, oggi a quota 174 dollari, per diventare la prima azienda al mondo a spingersi sopra alla soglia del “trilione” di dollari.

Mi piacerebbe sapere se i giornali fanno lavorare gli inetti perché costano poco o perché i loro capi sono inetti anche loro e non si rendono conto delle cretinate da analfabeti che pubblicano, ma ho paura della risposta in entrambi casi.

Non ho altro da aggiungere.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o altri metodi.

È disponibile subito il podcast di oggi de Il Disinformatico della Radiotelevisione Svizzera, scritto e condotto dal sottoscritto: lo trovate presso www.rsi.ch/ildisinformatico (link diretto) e qui sotto.

I podcast del Disinformatico sono ascoltabili anche tramite feed RSS, iTunes, Google Podcasts e Spotify.

Buon ascolto, e se vi interessano il testo e i link alle fonti della storia di oggi, sono qui sotto.

• Allerta per Emotet, che usa i documenti Microsoft Office per vuotare i conti bancari
• Fortnite fa prove tecniche di metaverso? Quasi
• Antibufala: arrivano i robot viventi, e sanno riprodursi da soli! Ma niente panico
• Synthesia, video di attori sintetici dicono quello che volete grazie all’intelligenza artificiale

Il Centro nazionale per la cibersicurezza svizzero (NCSC) ha pubblicato pochi giorni fa un avviso che segnala il ritorno di Emotet, un malware che il Centro non esita a definire “il malware più pericoloso al mondo”.

Si parla di ritorno perché a gennaio 2021 Europol aveva annunciato un’importante operazione contro Emotet che aveva permesso di mettere offline i server di comando e controllo e di smantellare la botnet associata a questo malware.

Ma l’NCSC riferisce che “negli ultimi giorni esperti di sicurezza di tutto il mondo hanno segnalato nuovi attacchi perpetrati con questo malware. Da un paio di giorni Emotet è presente anche in Svizzera.” Gli attacchi si basano sull’invio di mail con “allegati Excel contenenti macro nocive” e i mittenti hanno indirizzi con dominio .ch. Il Centro raccomanda pertanto di “di bloccare subito i documenti di Microsoft Office sui gateway di posta elettronica (.xlsm, .docm)”.

Un elenco dei siti infettati da Emotet è disponibile qui presso Abuse.ch.

Emotet è nato come trojan dedicato alla penetrazione dei sistemi informatici delle vittime con lo scopo di ottenere le credenziali di accesso ai loro conti bancari, ma con il passare del tempo i suoi vari gestori lo hanno trasformato in un cosiddetto dropper: un malware che fa da puro agente di penetrazione e poi, una volta arrivato a destinazione, scarica il malware vero e proprio.

Ê anche nato un vero e proprio mercato di compravendita dei siti infettati: spesso un gruppo criminale usa Emotet per entrare in un sistema informatico e poi ne vende il controllo a un altro gruppo, e così via: l’ultimo della catena di acquisti lo usa poi per installare un classico ransomware che cifra i dati della vittima, alla quale viene poi chiesto un riscatto per sbloccare i dati.

Emotet viene considerato particolarmente pericoloso anche perché il suo aspetto può ingannare anche un utente piuttosto smaliziato.

This is what it looks like out of the box on Windows 11. How on Earth is the user supposed to know this is malicious?

Trusted App ✅
Publisher Adobe Inc pic.twitter.com/eEntoWgCch

— Kevin Beaumont (@GossiTheDog) December 1, 2021

L’NCSC prosegue dicendo che una volta che Emotet è entrato in un sistema informatico “è quasi impossibile liberarsene. Ha un’elevata capacità di adattamento ed è ad esempio in grado di leggere i contatti e i contenuti delle e-mail nelle caselle di posta elettronica dei sistemi infetti”. I dati raccolti con questa tecnica consentono di “lanciare altri attacchi. Le nuove vittime ricevono e-mail fasulle apparentemente inviate da collaboratori, soci d’affari o conoscenti e vengono convinte ad aprire un documento Word e ad attivare le macro Office.”

Paradossalmente, le reti informatiche che maggiormente ospitano i siti di distribuzione di malware sono proprio quelle di Microsoft, come segnala Abuse.ch:

The top networks hosting malware distribution sites in November 2021 were...

6'961 MICROSOFT 🇺🇸
5'031 CHINA169 🇨🇳
1'973 CHINANET 🇨🇳
1'894 BSNL 🇮🇳
1'177 UNIFIEDLAYER 🇺🇸
900 WIND Telecom 🇩🇴
698 PUBLIC-DOMAIN-REGISTRY 🇮🇳
591 GOOGLE 🇺🇸
374 ALIBABA 🇨🇳
311 DROPBOX 🇺🇸

— abuse.ch (@abuse_ch) December 1, 2021

Il Centro nazionale per la cibersicurezza propone infine dei consigli per proteggersi da Emotet:

• Siate prudenti anche quando ricevete e-mail da mittenti apparentemente noti, in particolare se contengono allegati e link.
• Se sospettate che l’e-mail è fasulla contattate direttamente il mittente per verificare l’attendibilità del contenuto.
• Bloccate i documenti Office contenenti macro sui programmi di posta elettronica e proxy.
• Installate subito tutti gli aggiornamenti di sicurezza disponibili per i sistemi operativi, i browser, client di posta elettronica e programmi di Office.
• Proteggete gli accessi VPN tramite un’autenticazione a due fattori e installate le patch su tutti i dispositivi esposti.
• Effettuate regolarmente un backup dei dati su un supporto di archiviazione esterno e custoditelo offline.
• Conservate almeno due generazioni di backup.
• Le imprese dovrebbero continuamente sorvegliare gli attacchi sulle proprie reti.
• Inviate le e-mail nocive a reports@antiphishing.ch oppure segnalatele al servizio di contatto dell’NCSC tramite l’apposito modulo.

Le prime due mappe sono disponibili subito: Walnut World (Noceto Faceto) creato da fivewalnut (codice 9705-9549-4193), che è una sorta di parco di divertimenti virtuale, e Late Night Lounge (Salotto Nottambulo) creato da TreyJTH (codice 8868-0043-1912). I Party World non sono collegati ad altre isole e sono una evoluzione del Party Royale, dove non ci sono armi e costruzioni ma ci sono veicoli da pilotare, trampolini, cinema olografici e altri spazi interattivi in cui divertirsi.

Chiunque può creare un Party World: basta usare il tag Party World per l’isola e inviarla a Epic Games, rispettando le linee guida molto dettagliate, che partono dal principio di “creare luoghi in cui passare del tempo e divertirsi con gli amici”. Questi Mondi in festa “non devono essere luoghi minacciosi” e “non devono essere incentrati sui danni o sul combattimento” ma “devono dare la priorità all'espressione creativa tramite emote, spray, cambio di costumi e altre meccaniche simili” per “incoraggiare l'interazione sociale, dando alle persone un modo per fare nuove amicizie o interagire in nuovi modi con i vecchi amici.”

La scelta di creare luoghi virtuali nei quali spostarsi con il proprio avatar e interagire con altri utenti attraverso i loro avatar, senza una finalità preimpostata ma semplicemente per socializzare, richiama molto alcuni dei concetti di base del Metaverso proposto di recente da Mark Zuckerberg, ma si tratta solo di una sua fase molto iniziale: manca infatti la portabilità, ossia la possibilità di usare anche altrove le risorse virtuali acquisite o acquistate. 

Intanto, però, la popolarità di questi spazi comincia a farsi notare, anche in termini economici: anche se Fortnite è nato come gioco di combattimento, il più grande evento avvenuto su questa piattaforma è stato un concerto virtuale di Travis Scott, tenutosi ad aprile 2020, che ha radunato ben 12,3 milioni di giocatori simultanei, battendo il record precedente di 10,7 milioni di partecipanti del concerto di Marshmello del 2019. Il gioco diventa insomma un enorme stadio virtuale nel quale esibirsi e, inevitabilmente, vendere canzoni e prodotti. Staremo a vedere.

Un gruppo di ricercatori dell’Università del Vermont, della Harvard University e della Tufts University ha pubblicato una ricerca, intitolata Kinematic self-replication in reconfigurable organisms, che è stata presentata come la creazione dei primi robot viventi capaci di riprodursi. E per di più la riproduzione avviene in una maniera che non ha precedenti.

Non si tratta di oggetti di metallo e silicio, ma di macchine biologiche: gruppi di circa 3000 cellule staminali di rana modificate e “programmabili” nel senso che i loro comportamenti elementari possono essere decisi impostando la loro forma. Niente Tre Leggi della Robotica, per ora.

La parte più interessante è la loro tecnica di riproduzione: questi xenobot raccattano le cellule staminali che trovano in giro e le radunano in ammassi. Quando questi ammassi raggiungono un numero di cellule sufficiente, diventano nuovi robot biologici.

La cosa curiosa è che la forma ideale di questi robot autoreplicanti è quella di Pac-Man, per cui i robot “genitori” raccattano nella propria “bocca” le cellule staminali, le aggregano e poi rilasciano dei “neonati” che hanno il loro stesso aspetto e si muovono nello stesso modo. E questi neonati sono capaci, a loro volta, di fare la stessa cosa.

Per ora è prestissimo per parlare di applicazioni pratiche e la notizia è stata un po’ gonfiata giornalisticamente, per cui non ci si deve aspettare la conquista del mondo da parte di orde di rane robot: l’aspetto più interessante è invece che l’osservazione concreta di questo modo ignoto di riprodursi apre nuove ipotesi sulla storia dell’evoluzione della vita sulla Terra, che potrebbe aver preso inizio usando appunto questa tecnica di aggregazione spontanea.

Fonti aggiuntive: The Register, Gizmodo.

Ultimo aggiornamento: 2021/12/02 16.55. 

Provate a cliccare su questo link.

La voce che avete sentito non è quella di una speaker professionista: è una voce sintetica. È già un risultato notevole, ma di sistemi di sintesi vocale realistici quasi indistinguibili dalle voci umane ce ne sono tanti.

Però questo, realizzato dalla società britannica Synthesia, è un po’ speciale. Infatti oltre alla voce c’è anche un video, altrettanto sintetico, nel quale l’attrice virtuale recita le parole con movimenti labiali corrispondenti al testo.

Piccolo test di Synthesia https://t.co/S4GwP65VrX #productivity #video

— Paolo Attivissimo (@disinformatico) December 2, 2021

Se non fosse per quell’intonazione decisamente robotica del finale, vi sareste accorti della finzione?

L’idea dell’azienda britannica è molto semplice e anche un po’ inquietante per chiunque faccia lo speaker professionista: offrire un modo rapido ed economico per aggiungere al proprio sito dei video professionali in cui delle persone danno istruzioni o forniscono informazioni. Non occorre incaricare un’agenzia, trovare gli attori che parlino correttamente le varie lingue, attivare uno studio e registrare gli attori, con tutti i tempi e i costi che ne derivano.

Il procedimento è estremamente semplice e flessibile, e può essere provato gratuitamente. Si va al sito, Synthesia.io, si clicca su Create a free AI video, si immette il testo (in una qualsiasi di oltre 40 lingue, riconosciute automaticamente, con un limite massimo di 200 caratteri) e poi si clicca su Continue.

Nel giro di pochi minuti, durante i quali il testo che avete immesso viene vagliato per verificare che non sia offensivo o inadatto, secondo le regole etiche del servizio, il video è pronto per l’uso.

Aggiornamento: le regole sono abbastanza elastiche, come segnala @Pagliacci8:

Beh, i controlli sui contenuti di Synthesia non sono proprio ferrei: si possono citare i classici! https://t.co/7PuqzhsGuN #productivity #video

— Paolo Attivissimo (@disinformatico) December 2, 2021

La versione a pagamento è molto più flessibile, con un ampio assortimento di attori virtuali maschili e femminili e molte opzioni di personalizzazione dei formati e dei contenuti, con sfondi su misura e integrazione di presentazioni PowerPoint. Si possono anche creare avatar personalizzati. È una sorta di deepfake commerciale, ma con alcune restrizioni: l’azienda non crea video simulati di persone senza la loro autorizzazione esplicita. Altrimenti sarebbe troppo facile prendere una celebrità o un politico e fargli dire qualunque sconcezza con un labiale molto credibile.

La rapidità di esecuzione e i prezzi (30 dollari al mese per dieci video nell’account base) sono impossibili da eguagliare con degli speaker reali.

Se non fosse per la gestualità limitata e per qualche papera occasionale nell’intonazione o nella sintesi di alcune parole, probabilmente molti attori che campano grazie ai video di comunicazione aziendale sarebbero angosciati di restare disoccupati. Probabilmente questo servizio toglierà loro una parte del lavoro, ma resterà quella più complessa e personalizzata. Nessuno di questi attori virtuali, per ora, può infatti interagire con un prodotto da promuovere o da dimostrare.

La strada per arrivare agli avatar umani indistinguibili dalla realtà è ancora lunga, ma dobbiamo cominciare a chiederci se quell’uomo o quella donna che ci stanno facendo un tutorial perfetto online sono reali o simulati, e allenarci a riconoscere gli indizi che rivelano la sintesi.

Ultimo aggiornamento: 2021/12/15 0:10.

Se avete notato che sono scomparsi tutti i commenti di Pgc, uno dei commentatori più assidui di questo blog, e che quindi molti bei thread di discussione sono diventati quasi incomprensibili, non siete i soli. 

Non sono stato io in un momento di pazzia: Pgc ha cancellato il proprio account per crearne un altro dopo che Disqus gli ha iniziato a dire erroneamente che era bloccato da me.

Il messaggio esatto di Disqus che gli arrivava era “Non è stato possibile pubblicare il tuo commento perché disinformatico ha bloccato il tuo account.”

Questo è lo screenshot che mi ha mandato. Ironicamente, Disqus gli mostrava questo messaggio di apparente blocco proprio su un commento nel quale diceva di non aver mai avuto ban o blocchi nonostante le nostre divergenze di opinioni.

Ho ricontrollato: l’account pgc era a posto, non era bloccato e anzi era classificato come “High rep(utation)”.

A tutto questo si è aggiunto il problema che la sua mail registrata sul vecchio account era irraggiungibile e quindi non c’era modo quindi di cambiare nulla nel profilo Disqus.

Purtroppo Disqus non avvisa chiaramente che l’eliminazione dell’account elimina anche tutti i messaggi pubblicati.

Secondo Disqus non c’è modo di ripristinare un account una volta che è stato eliminato. Io ricevo via mail copia di tutti i commenti, per cui ho in archivio tutti i commenti di Pgc ora scomparsi, ma reinserirli è praticamente impossibile.

Sono in contatto con Pgc, che dice che probabilmente tornerà con un nuovo account identico al precedente [aggiornamento: è tornato].

Se avete idee su cosa fare, i commenti sono a vostra disposizione. Sempre che Disqus si comporti bene.

2021/12/15 0:10: C'è un aggiornamento. 

Ultimo aggiornamento: 2021/01/12 22:15.

Il video di Real Engineering che pubblico qui sotto fa il punto a proposito dell’idrogeno come alternativa alle batterie, non solo per la mobilità terrestre ma anche per l’aviazione, in termini di efficienza energetica. I dati risalgono al 2018, per cui non sono recentissimi e nel frattempo prezzi e tecnologie hanno subìto evoluzioni notevoli, però i concetti di fondo mi sembrano validi e Real Engineering di solito lavora bene.

Visto che molti mi chiedono di discutere la questione idrogeno per le auto, ho pensato di partire da questo video e pubblicarlo qui per creare un punto di discussione. Se avete idee, spunti, aggiornamenti e integrazioni o semplicemente qualche domanda, i commenti sono a vostra disposizione.

NOTA: Se commentate e ricevete un avviso che "Non è stato possibile pubblicare il tuo commento perché disinformatico ha bloccato il tuo account. Per saperne di più.", non sono stato io a bloccarvi. Scrivetemi una mail per informarmi, così posso sapere quanto è diffuso il problema.

Dopo il video trovate il mio riassunto dei suoi concetti principali.

Sia l’auto elettrica a batteria, sia l’auto a idrogeno sono in realtà auto elettriche: entrambe sono spinte da un motore elettrico. La differenza sta nel modo di trasportare a bordo l’energia che muove quel motore.

In un’auto elettrica “tradizionale”, l’energia viene immagazzinata in batterie; in un’auto a idrogeno viene tenuta in uno o più serbatoi di idrogeno, che alimentano una cella a combustibile (fuel cell) in cui, nonostante il nome, non avviene nessuna combustione termica tradizionale e quindi le emissioni nocive sono minime. Questa cella genera elettricità che alimenta un motore elettrico.

Succede anche che per avere un'autonomia pari a quella delle batterie ti servono tre serbatoi voluminosi che rubano spazio a passeggeri e bagagli.

Le foto sono della nuova Toyota Mirai. pic.twitter.com/p1lKjtVfEM

— Leonardo (@leofala72) December 1, 2021

Entrambe le soluzioni eliminano l’inquinamento e le inefficienze dei motori a pistoni. Idrogeno ed elettricità per caricare le batterie possono essere entrambi prodotti con fonti a basso impatto ambientale e rinnovabili.

A prima vista l’idrogeno sembra molto più promettente. Se compresso, un chilogrammo di idrogeno contiene circa 40 kWh. Un chilo di batterie per auto contiene mediamente circa 0,167 kWh: 236 volte meno. Questo significa che è molto più facile costruire auto a idrogeno a lunga autonomia e molto leggere (e quindi più efficienti e capaci di andare più lontano con lo stesso consumo energetico). Per l’aviazione, dove il peso conta moltissimo, questa differenza di rapporto peso/energia è fondamentale.

Un’auto a idrogeno può rifornirsi in pochi minuti, mentre un’auto elettrica al momento richiede, nel migliore dei casi, almeno venti minuti per una carica che le dia autonomia significativa.

Ma l’idrogeno ha problemi notevoli se si considera l’intera filiera di produzione. Infatti attualmente costa molto più della corrente elettrica equivalente: il video, nel 2018, cita un costo di energia di 2,4 centesimi di dollaro/chilometro per un’auto elettrica (una Tesla Model 3) e un costo di 17,7 cent/km per l’idrogeno equivalente. Sette volte di più. 

Un commento su Twitter indica che in Italia l’idrogeno, disponibile in pochissime stazioni di servizio (cinque in tutto, secondo questa mappa), costa 12 euro più IVA al kg alla stazione H2 Brennero (l’IVA dovrebbe essere il 4%) e che la Hyundai Nexo a idrogeno fa ~800Km a 70Km/h con 6,3 kg di idrogeno, per cui a velocità autostradali ne fa probabilmente 600, con un costo di circa 12 eurocent / km. Anche qui siamo ben lontani dalle economie dell’auto elettrica.

Produrre idrogeno, infatti, richiede moltissima energia.

• Negli Stati Uniti, la maggior parte della produzione avviene tramite steam reforming (reforming con vapore), un processo che combina vapore ad alta temperatura e gas naturale. Questo processo richiede molto calore ed è enormemente inefficiente, tanto che l’idrogeno prodotto in questo modo contiene meno energia del gas naturale di partenza. Inoltre questo processo è inquinante e dipende in ogni caso dal gas naturale.
• Un altro modo di produrre idrogeno è l’elettrolisi: la scissione dell’acqua in idrogeno e ossigeno tramite applicazione di una corrente elettrica. Questa corrente elettrica potrebbe essere generata tramite fonti pulite e rinnovabili, magari usando le eccedenze di produzione delle centrali, ma il procedimento ha una perdita di circa il 30%: in altre parole, l’idrogeno prodotto contiene solo il 70% dell’energia che si consuma per generarlo.
• Una variante dell’elettrolisi è la PEMS (polymer exchange membrane electrolysis) o elettrolisi a membrana di scambio polimerica. Raggiunge efficienze dell’80% e consente la produzione in loco.

Le batterie, invece, hanno un’efficienza di circa il 99% come rapporto fra energia elettrica immessa ed energia immagazzinata dalla batteria. In termini di rapporto fra energia consumata complessiva per chilometro, l’idrogeno perde nettamente il confronto.

L’idrogeno va poi trasportato e immagazzinato. Se si elimina il trasporto con la produzione in loco le cose migliorano, ma resta il costo di immagazzinaggio. 

Lo si può immagazzinare altamente compresso (790 atmosfere), ma la compressione richiede circa il 13% dell’energia contenuta. 

In alternativa, lo si può raffreddare e rendere liquido, e questo permette di avere serbatoi meno pesanti di quelli pressurizzati. Ma le proprietà fisiche dell’idrogeno richiedono che la liquefazione avvenga a -253°C, e questo raffreddamento ha un costo energetico complessivo di circa il 40%. Per cui la pressurizzazione è il metodo meno inefficiente.

A questo punto c’è la questione del trasporto. La produzione in loco la elimina, ma un impianto piccolo locale è meno efficiente di un grande impianto, per cui il costo finale rischia di non essere molto differente. Se il trasporto avviene via autocisterna o condotte, le perdite energetiche possono variare dal 10 al 40%.

Il trasporto dell’energia elettrica che carica le batterie delle auto elettriche, invece, ha perdite energetiche di circa il 5%.

Combinando tutte queste perdite di generazione, immagazzinaggio e trasporto, insomma, l’idrogeno risulta essere molto inefficiente.

Non è finita: una volta generato l’idrogeno e immesso nel serbatoio dell’auto, bisogna convertirlo in energia elettrica. L’efficienza di questo processo è circa il 60%: il resto se ne va in calore.

Nelle batterie, invece, l’efficienza di conversione complessiva, tenendo conto delle perdite dovute alla trasformazione da corrente alternata a corrente continua e ad altri fattori, è circa il 75%.

Qui c'è uno schema pubblicato nel 2017 da Transport and Environment:

Electric vs hydrogen cars?
Battery electric cars are at least three times more efficient than hydrogen fuel cell cars due to energy losses. pic.twitter.com/Tj662mSmtZ

— Transport & Environment (@transenv) August 22, 2017

In sintesi: al momento l’auto a idrogeno offre tempi di rifornimento rapidi e lunghe autonomie, ma a costi enormemente superiori a quelli di un’auto elettrica tradizionale.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o altri metodi.