Questo è uno screenshot del tweet nel quale RaiNews ha tradotto il titolo della celeberrima canzone di Olivia Newton-John (morta ieri a 73 anni) e John Travolta, "You're The One That I Want", scrivendo che significa "Non puoi avere tutto quello che vuoi".

La traduzione corretta è "Sei tu quello che desidero/voglio". Sarebbero bastati tre secondi di Google Translate.

Questo non è un articolo tecnico: consideratelo semplicemente come un appunto pubblico che magari può essere utile a qualcuno che si trovi nella mia stessa situazione.

Ieri mi sono collegato al mio account Instagram e ho trovato questo avviso.

“Il tuo account è stato bloccato temporaneamente” dice l’avviso sul mio smartphone. “Abbiamo scoperto un’attività sospetta sul tuo account Instagram e lo abbiamo bloccato temporaneamente per precauzione. Il tuo account potrebbe essere stato compromesso perché hai inserito la tua password su un sito web creato per assomigliare a Instagram. Questo tipo di frode è chiamato "phishing"”.

Come avrete intuito, non ho affatto inserito la mia password in un sito di phishing e ho l’autenticazione a due fattori. Ma allora cosa sta succedendo realmente?

L’avviso dice che nei passaggi successivi mi verrà chiesto di verificare la mia identità. Va be’, proviamo. Clicco su Continua.

Mi viene chiesto come voglio ricevere un codice di sicurezza: via mail o tramite SMS al mio telefonino. Scelgo la seconda opzione.

Mi arriva via SMS un codice di sei cifre e lo immetto nella schermata di verifica di Instagram.

L’app mi chiede poi di modificare la mia password. Eseguo.

Ta-da! Account sbloccato. Mistero totale sulle cause del blocco. Colgo l’occasione per ricordare che è indispensabile attivare sempre l’autenticazione a due fattori, per proteggersi da tentativi di phishing, e che con un “supporto tecnico” criptico del genere non è mai una buona cosa far dipendere una propria attività economica o comunicativa essenziale da un singolo account social, in ossequio alla Clausola del Gatto Sitwoy.

Ora Alex Jones è sotto processo e una giuria lo ha condannato all’unanimità a pagare oltre 45 milioni di dollari di danni come punizione e in parte come risarcimento a una di quelle famiglie. Famiglie che, nei dieci anni passati dopo la tragedia nella quale hanno perso i propri figli, spesso hanno dovuto scappare e cambiare casa, perché i seguaci di Alex Jones li perseguitavano, grazie anche al fatto che Jones divulgava nei suoi video i loro indirizzi di abitazione.

Ma lo faceva intanto che vendeva kit di sopravvivenza e prodotti pseudomedicinali e quindi i soldi per pagare quella cifra li ha. Eh sì: quello che molti pensano sia una “voce libera”, uno che “dice le cose come stanno”, uno che “parla fuori dal coro” ha ammassato oltre 130 milioni di dollari dicendo le stesse fesserie di Napalm 51 ma parlando sul serio. Così sul serio da essere stato anche elogiato da Donald Trump.

Alex Jones si è fatto le ossa con le tesi di complotto sugli attentati dell’11 settembre 2001: su Undicisettembre.info trovate il repertorio delle sue accuse, totalmente infondate ma accolte a braccia aperte da persone come Maurizio Blondet.

I messaggini trovati sul telefonino di Jones documentano che le sue aziende (sì, il guru complottista che lotta contro il potere e che si atteggia a “uno di noi” è un imprenditore che ha una rete di aziende) nel 2018 incassavano fino a 800 mila dollari al giorno.

La BBC riassume i momenti salienti del processo qui, con le false testimonianze di Jones, il confronto diretto con le famiglie colpite dalla strage di Sandy Hook, e lo shock di Alex Jones nello scoprire che il suo avvocato difensore ha fatto avere per errore all’accusa tutto il contenuto del suo telefonino, compresi messaggi enormemente incriminanti. Trovate altre info su Il Post.

Se vi chiedete come mai ci sono così tante notizie false in giro, questo è uno dei motivi: raccontar balle, aizzare l’odio, fa diventare milionari. Non sono pensatori indipendenti o combattenti contro il sistema: sono ciarlatani arraffasoldi. La loro ambizione non è salvare il mondo, ma fare soldi come Alex Jones.

Li ospitate in TV? Siete complici.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o altri metodi.

Il restauro digitale fatto bene è una macchina del tempo reale. Questi sono gli Stones. Nel 1968. In 4K. Per fortuna usarono la pellicola cinematografica, così ricca di dati e di risoluzione recuperabile con le tecniche digitali di oggi, invece del nastro video.

È disponibile subito il podcast di oggi de Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto: lo trovate presso www.rsi.ch/ildisinformatico (link diretto) e qui sotto.

Le puntate del Disinformatico sono ascoltabili anche tramite feed RSS, iTunes, Google Podcasts e Spotify.

Buon ascolto, e se vi interessano i testi e i link alle fonti di questa puntata, sono qui sotto.

• “Accedi con…”, pessima idea; e occhio ad associare app al proprio account Twitter
• Come perdere 200 milioni di dollari in criptovalute
• Robot a base di ragni morti. Perché? PERCHÉ?

Nella versione podcast di questo articolo, lo spezzone audio che si sente all’inizio è tratto da questa scena di Doctor Who.

Ci sono invenzioni delle quali non si può più fare a meno una volta che vengono fatte, e invenzioni delle quali si vorrebbe fare subito a meno e anzi ci si chiede perché mai siano state fatte. Una di queste ultime arriva da un gruppo di ricercatori della Rice University, in Texas. Se avete paura o disgusto dei ragni come me, tenetevi forte.

Questi ricercatori hanno pubblicato sulla rivista Advanced Science un articolo che descrive un loro esperimento, nel quale hanno usato un ragno morto come elemento di presa di un mini braccio robotico, simile a quegli artigli presenti in certi giochi da luna park. Le otto zampe del cadavere sono state rianimate per afferrare piccoli oggetti aventi forme irregolari o per azionare interruttori.

La forza di presa di questo apparato per nulla inquietante è tale, a detta dei ricercatori, che è possibile afferrare oggetti che hanno fino al 130% della massa dell’ex ragno. Può essere confortante, a modo suo, l’osservazione dei ricercatori che i cadaveri di ragno diventano meno efficienti man mano che aumentano le loro dimensioni, per cui perlomeno non rischiamo di trovarci attorniati da robot che hanno ragni giganti morti al posto delle mani.

Le motivazioni dell’esperimento sono meno morbose di quel che si potrebbe pensare. Usare un cadavere di ragno, spiegano gli autori, è di gran lunga più semplice ed economico rispetto a progettare e fabbricare un manipolatore meccanico convenzionale miniaturizzato. Inoltre l’aracnide è molto durevole, dato che “può reggere 700 cicli di azionamento prima dell’inizio del deterioramento” e soprattutto è biodegradabile quando non serve più, e questo elimina l’impatto ambientale che avrebbe una soluzione tradizionale.

Anche la scelta specifica del ragno, invece di qualche altra creatura meno controversa, ha ragioni tecniche ben precise: le zampe dei ragni, infatti, “non hanno coppie di muscoli antagonisti; hanno invece soltanto muscoli flessori” che le fanno contrarre verso l’interno, mentre si estendono verso l’esterno grazie alla pressione dell’emolinfa, che è grosso modo l’equivalente del sangue negli artropodi. Questo significa che se si riesce a generare e controllare una pressione equivalente a quella dell’emolinfa è possibile comandare il movimento di apertura e chiusura delle zampe di un ragno morto, trasformandole in un dispositivo di presa di precisione.

I ricercatori della Rice University hanno quindi usato una siringa per pompare nel corpo del ragno dell’aria ed aspirarla, variando così la pressione interna e ottenendo un’apertura e contrazione delle zampe, ideale per la manipolazione delicata di piccoli componenti elettronici. Questa tecnica è stata chiamata dai ricercatori necrobotica.

Va detto che i ricercatori, e in particolare la studentessa laureata Faye Yap che ha avuto l’idea dell’esperimento notando un ragno morto raggomitolato e chiedendosi il motivo di questa posizione, lavorano in un laboratorio specializzato nella cosiddetta soft robotics, ossia “robotica morbida”, che cerca di evitare le materie plastiche, i metalli e l’elettronica e preferisce usare materiali non tradizionali. Per cui l’idea di usare un cadavere di aracnide non è del tutto stravagante. Perlomeno per questi ricercatori.

Non li pubblico qui, ma se ci tenete, i video degli esperimenti di presa e rilascio tramite ragno siringato sono a vostra disposizione insieme al testo integrale dell’articolo dei ricercatori. E se ora avete bisogno di levarvi dagli occhi l’immagine del ragno necrobotico zombi, vi propongo come antidoto una pucciosissima lontra, molto viva, vispa e affamata. Meglio, vero?

Fonti aggiuntive: Ars Technica, Rice University, The Register.

Nota: nella versione podcast di questo articolo, lo spezzone audio introduttivo è tratto da Breaking bad.

Il mondo delle criptovalute attira molta attenzione con le sue apparenti promesse di guadagni facili, ma anche le perdite sono almeno altrettanto facili. Non c’è solo il problema del controvalore, che varia con andamenti da montagne russe; c’è anche quello dell’affidabilità degli intermediari. Non perché siano disonesti, ma semplicemente perché il loro lavoro si basa interamente sul software e basta un piccolo errore in quel software per causare disastri costosissimi, senza che i clienti abbiano diritto a risarcimenti garantiti dalla legge.

La società di sicurezza informatica Sophos racconta il caso recentissimo di Nomad, un servizio di cosiddetto bridging, ossia di scambio fra criptovalute. Se per esempio avete dei bitcoin e li volete convertire in Ethereum o viceversa, potete usare un servizio di bridging.

Nomad in questo momento è completamente bloccato e si stima che abbia perso circa 200 milioni di dollari, o meglio l’equivalente di questo valore in criptovalute. E ha perso questi soldi in una maniera decisamente imbarazzante, nota nel settore come replay attack.

Immaginate di andare da un cambiavalute con cento euro e chiedere di convertirli in, che so, rupie indonesiane. L’addetto ritira i vostri cento euro, ma non ha subito a disposizione la valuta che avete chiesto e quindi vi rilascia uno scontrino numerato. Quando le rupie arrivano, voi presentate lo scontrino e l’addetto vi consegna le rupie, ritirando lo scontrino.

Ora immaginate di presentare all’addetto una fotocopia dello scontrino chiedendo di nuovo le rupie e che l’addetto, particolarmente smemorato, non si ricordi di voi e di avervele già date e non controlli il numero dello scontrino per vedere se è già stato usato. L’addetto vi dà di nuovo le rupie senza che gli abbiate dato dei soldi equivalenti. E se gli presentate un’altra fotocopia del medesimo scontrino, vi dà altri soldi, e così via all’infinito. O perlomeno finché il cambiavalute esaurisce tutto il denaro che ha in cassa.

Questo è, grosso modo, quello che è successo a Nomad: un aggiornamento del suo software aveva inavvertitamente disattivato la verifica delle transazioni completate, per cui era sufficiente presentarsi al sito con i dati di una transazione già avvenuta e ripeterla per prelevare criptovalute senza averne versate. Non solo: era anche possibile modificare le coordinate del beneficiario mettendoci le proprie.

Non servivano conoscenze sofisticate: era sufficiente trovare una transazione completata correttamente, copiarla, e incollarla cambiando il beneficiario.

La semplicità del raggiro ha scatenato una frenesia di transazioni fasulle che in breve tempo ha prosciugato appunto circa 200 milioni di dollari dalle casse virtuali di Nomad. 200 milioni di dollari che erano stati versati da utenti che si erano fidati del servizio e che adesso hanno pochissime speranze di riavere i propri risparmi.

Nomad ha annunciato di aver comunicato l’accaduto alle forze dell’ordine e di aver incaricato degli esperti per identificare gli utenti che hanno approfittato dell’errore nel software e per recuperare il maltolto. Ha anche messo a disposizione un wallet, ossia un conto, sul quale possono essere restituiti i soldi che sono stati ottenuti indebitamente o, come dice nel suo annuncio, sono stati presi per “custodirli al sicuro”.

Nomad Bridge Funds Recovery Process

Dear white hat hackers and ethical researcher friends who have been safeguarding ETH/ERC-20 tokens,

Please send the funds to the following wallet address on Ethereum: 0x94A84433101A10aEda762968f6995c574D1bF154 pic.twitter.com/UF623JSZ8u

— Nomad (⤭⛓🏛) (@nomadxyz_) August 3, 2022

Ma incidenti spettacolari come questo sottolineano il fatto, spesso trascurato, che moltissimi servizi legati alle criptovalute operano senza nessuna delle garanzie e tutele legali degli istituti finanziari convenzionali e quindi se uno di questi servizi viene depredato da criminali informatici che sfruttano una falla le speranze di riavere il maltolto sono minime. Prima di affidare i vostri soldi a uno di questi servizi, conviene assolutamente verificare quali sono le garanzie offerte dalla legge nel paese in cui operano.

Ma non è finita: Sophos, infatti, mette in guardia contro gli sciacalli delle criptovalute, ossia truffatori che fingono di essere vittime di uno di questi incidenti e raccontano la loro disavventura nei commenti ad articoli dedicati alle valute digitali. Dicono di aver recuperato tutto grazie ai servizi di una certa persona o azienda, ma in realtà si tratta di pubblicità ingannevoli per servizi fraudolenti che fingono di offrire il recupero di criptovalute. Soprattutto se vi chiedono altri soldi per recuperare quelli che avete perso online, ignorateli: rischiate di perdere altro denaro.

Questo articolo è disponibile anche in una versione podcast, rispetto alla quale è stato aggiornato.

Quando capita di dover creare un nuovo account da qualche parte, per esempio per accedere a un nuovo social network o sistema di messaggistica, c’è quasi sempre un dilemma: creare un ennesimo account distinto e separato, con un suo nome utente e password che poi bisogna segnarsi e ricordare, oppure usare la comoda scorciatoia di cliccare su “Accedi con Google” o “Accedi con Facebook” e simili, senza ulteriori preoccupazioni e complicazioni?

Molti utenti sanno bene che la cosa più prudente è creare un account separato, per evitare che qualcuno possa mettere in relazione quello che si fa in un sito con quello che si fa in un altro, ma è una preoccupazione di privacy, non di sicurezza, e quindi viene spesso trascurata. Cliccare su “Accedi con” è così pratico e allettante.

Ma in realtà non usare “Accedi con”, e in generale non associare i propri account social ad app di terzi, è anche una questione di sicurezza. Lo segnala la società di sicurezza informatica indiana CloudSEK, annunciando di aver scoperto oltre 3200 app per dispositivi mobili che per un errore commesso dagli sviluppatori espongono pubblicamente le cosiddette chiavi API di Twitter: in parole povere, nei casi peggiori questo errore permette a un aggressore di prendere il controllo degli account Twitter degli utenti che usano queste app difettose, se hanno associato ad esse il loro account su questa piattaforma social.

Gli aggressori che sfruttano questa falla possono leggere i messaggi diretti degli utenti-bersaglio, mettere like e condividere contenuti spacciandosi per loro, creare o cancellare tweet, aggiungere o rimuovere follower, accedere alle impostazioni dell’account Twitter e altro ancora.

Il problema è serio, insomma: se si usa l’opzione “Accedi con” e si associa il proprio account social a queste app difettose, c’è il rischio di trovarsi coinvolti in truffe e inganni di vario genere, e non solo su Twitter. 

Inoltre, notano giustamente i commenti qui sotto, se si fa un “Accedi con” a un sito/app e poi si perde il controllo dell’account usato per accedere, si perde l’accesso anche a quel sito o app.

CloudSEK non ha reso pubblico l’elenco di queste 3200 app difettose, ma stando al sito BleepingComputer, che ha preso visione di una copia di questo elenco, si tratta di app che hanno da 50.000 a cinque milioni di download e includono guide ai trasporti cittadini, app di ascolto radiofonico, lettori di libri digitali e persino app per transazioni bancarie online.

Come se non bastasse, la maggior parte di queste app fallate non è ancora stata corretta, ed è per questo che non è possibile farne i nomi. C’è però un’eccezione notevole: un’app della casa automobilistica Ford, chiamata Ford Events, che aveva il grave difetto segnalato da CloudSEK ma è stata corretta e quindi può essere citata.

Questi comportamenti non sono una soluzione perfetta, perché gran parte della colpa è di chi sviluppa maldestramente queste app, e richiedono un pochino di impegno e diligenza, ma sono molto meglio di niente. Non ve ne pentirete.

Il Centro nazionale per la cibersicurezza (NCSC) della Confederazione Svizzera ha annunciato oggi che l’amministrazione federale ha acquisito una piattaforma centrale per gestire dei bug bounty “allo scopo di potenziare la sicurezza dell’infrastruttura IT e ridurre i ciber-rischi in modo efficace ed economicamente vantaggioso”. L’annuncio è stato dato anche dal Dipartimento federale delle finanze.

Secondo lo schema classico dei bug bounty, gli hacker verranno invitati a testare la sicurezza dei sistemi informatici dell’amministrazione rispettando un regolamento e dei vincoli di riservatezza. Il progetto verrà gestito in collaborazione con la società lucernese Bug Bounty Switzerland SA. I dettagli delle condizioni di partecipazione non sono ancora stati resi pubblici.

Non è la prima esperienza federale del genere: per esempio, nel 2021 è stato realizzato un progetto pilota che ha scoperto dieci vulnerabilità (una delle quali era considerata critica) nei sistemi informatici del Dipartimento federale degli affari esteri e del Parlamento. Un analogo test pubblico di sicurezza è stato effettuato a giugno 2021 per verificare la sicurezza dell’app Covid Certificate di gestione dei certificati Covid. Nel 2019 un bug bounty organizzato dalla Posta svizzera per testare il sistema di voto elettronico, offrendo premi fino a 50.000 CHF, ha rivelato errori che hanno poi portato alla sospensione del progetto di e-voting.

I bug bounty possono sembrare strani ai non addetti ai lavori: vengono spesso considerati l’equivalente di pagare uno scassinatore per far valutare la sicurezza di una cassaforte. In realtà il paragone andrebbe fatto coinvolgendo un fabbro più che uno scassinatore. In ogni caso, si è visto che il sistema funziona e costa relativamente poco, tant’è vero che praticamente tutte le società informatiche più grandi del mondo offrono bug bounty, spesso molto sostanziosi.

Fonti aggiuntive: La Regione, RSI, Swissinfo, Netzwoche, Bugbounty.

Se volete saperne di più, date un’occhiata alla mia presentazione del libro.

Intanto ho una proposta: tradurre un’altra biografia di un astronauta lunare. Intanto che le trattative estenuanti per quella di Michael Collins vanno avanti (è dura ma non molliamo), Cartabianca potrebbe tradurre quella di Fred Haise (Apollo 13), Never Panic Early, che è uscita di recente. E io sarei di nuovo disponibile a collaborare alla traduzione.

Le traduzioni astronautiche fatte fin qui con Cartabianca (oltre al libro di Young ricordo L’Ultimo uomo sulla Luna di Gene Cernan) non sono certo best-seller, ma sono andate abbastanza bene da incoraggiare l’editore a proseguire la serie: l’importante è che ci sia un numero di potenziali acquirenti sufficiente almeno a coprire le spese. 

Vi chiedo quindi di dirmi se sareste interessati a leggere una traduzione italiana dell’autobiografia di Haise, che ha avuto un curriculum di tutto rispetto: oltre ad aver ricoperto il ruolo di pilota del Modulo Lunare durante la sfortunata missione Apollo 13, è stato pilota collaudatore e membro dell'equipaggio di riserva delle missioni lunari Apollo 8, Apollo 11 e Apollo 16, e ha effettuato cinque voli planati con lo Shuttle Enterprise per collaudarne le caratteristiche di volo atmosferico al rientro, prima dell’inizio delle missioni orbitali. 

A questi prezzi, l’acquistereste? Se sì, mandatemi una mail a paolo.attivissimo chiocciola gmail.com con l’oggetto FRED. È solo un sondaggio, non una promessa di acquisto: per ora si tratta solo di capire se i numeri sono sostenibili. Avete tempo fino a questo venerdì, poi pubblicherò i risultati.

 Grazie!