English summary: Episode 2.05 of Star Trek: Picard conspicuously shows a calling card with an elaborate cutout pattern, which is also present in the credit sequence of the show. This pattern resembles a so-called “annular barcode” or “Shotcode” and may contain a message (the links lead to technical info describing the structure of these codes). We’re pooling our skills to see if we can reconstruct the exact pattern and then find out what it says (if anything). Help is welcome!

Ho il sospetto che questa immagine tratta dalla seconda stagione Star Trek: Picard contenga un messaggio in codice. Come ho scritto altrove, il numero di telefono è reale (risponde una segreteria molto particolare), e quindi è possibile che quello schema circolare di vuoti e pieni non sia casuale.

Oltretutto lo stesso tipo di schema compare anche nella sigla di testa, ed è identico perlomeno nella parte inquadrata:

Se qualcuno sa usare Photoshop o simili per “srotolare” lo schema o riesce pazientemente a ricostruire lo schema leggendo le immagini, possiamo provare a interpretarlo. Non si vince nulla, che io sappia, ma se per caso il codice rivela come vincere qualche ricompensa o avere qualche chicca nascosta, la condividerò volentieri con chi mi ha dato una mano!

Ho provato a elaborarla un pochino per vedere meglio i dettagli: io conto 10 righe e 57 o 58 colonne. Partendo dalla destra della riga diametrale e andando in senso antiorario, leggo per esempio (con 1 = pieno, 0 = vuoto) 10-10-10-10-10, 01-00-10-10-00-11... e poi mi perdo. Idee?

Ho trovato un file STL per stampa 3D del biglietto da visita. Se è attendibile, questa dovrebbe essere un’immagine più facilmente decodificabile, perché è vista frontalmente:

Primi risultati: @massimomusante segnala che somiglia moltissimo a un annular barcode, le cui specifiche tecniche sono descritte qui. Interessante: questi annular barcode ospitano 56 caratteri (e io ne ho contati 57 o 58, forse sbagliando) e il loro bordo esterno alterna vuoti e pieni per fornire una linea di riferimento per gli scanner. Il presunto codice sul biglietto da visita in effetti ha un anello esterno che è quasi tutto composto da un’alternanza di questo tipo.

La ricerca continua...

18:45. Ecco uno “srotolamento” fatto da Lorenzo Poderi:

Il mio contributo. Ho corretto la prospettiva dell'immagine cercando di farla tonda più possibile e poi ho tracciato a mano tutte le linee. Alcune rimangono ambigue ma si dovrebbe riuscire lo stesso ad interpretare gli 0 e 1. pic.twitter.com/RIWeP6wPJw

— Lorenzo Poderi (@lorenzopoderi) April 2, 2022

2022/04/03 00:15. @leoschumy nota che codici di questo genere sono stati chiamati anche shotcode e risalgono al 1999 (Wikipedia). Il sito originale, Shotcode.com, non esiste più ma è archiviato su Archive.org. Forse qualcuno riesce a recuperare un software di decodifica?

Nei commenti, Nico Chiavegato suggerisce che si tratti di una codifica UTF-8 e ci sono vari tentativi di “srotolamento” (questo di Word Smuggler è particolarmente promettente). C’è anche un thread su Twitter con alcuni spunti.

01:42. Alberto Franchi, nei commenti, segnala la sua decodifica:

1010101010 end char
0110101101 
1010101101
0010111110
1111000001
0111011111
1101011111
0001011111
1010001111
0000001111
1000101111
0000001111
1000010000
0110100001
1111110100
0100110100
1000100101
0000010000
1000010000
1001000011
0010000011
1111110011
0101111011
0101111011
1110000111
0110000001
1101001111
0000001001
1000000111
0001101000
1101111011
0101101011
1000001011
0001000001
1011101110

Buon divertimento!

9:45. Questa è la decodifica di Lorenzo Poderi:

Aggiungo anche la mia trascrizione cartacea pic.twitter.com/pwq11WO969

— Lorenzo Poderi (@lorenzopoderi) April 3, 2022

10:10. Questo è lo srotolamento grafico di Alberto Franchi:

ho srotolato i primi 35 bytes pic.twitter.com/B5wq3zyJXo

— Alberto M. Franchi (@AlbertoFranchi) April 3, 2022

Colgo l’occasione per segnalare un altro celebre messaggio circolare nascosto: quello sul paracadute marziano del rover Perseverance. Magari le tecniche usate per quella codifica possono ispirarvi per questa.

20:45. Alberto Franchi ha preparato anche questo grafico preliminare:

Grazie, ci sto lavorando sù pic.twitter.com/C1o7ogxiQy

— Alberto M. Franchi (@AlbertoFranchi) April 3, 2022

2022/04/04 9:40. Diego Cuoghi ha realizzato uno srotolamento molto chiaro:

23:50. Via Twitter, un altro ricercatore, @jaysenw, mi ha mandato queste informazioni, con il permesso di pubblicarle:

I have tried both circularly (outer rings) to inner rings, both with 1 for dark and 0 for light as well as in reverse (1 for light 0 for dark)

I have tried using the columns as well (outer to inner, inner to outer) with both with 1 for dark and 0 for light as well as in reverse.

I have attached my excel spreadsheet.  The raw data is on worksheet one.  I used an arbitrary starting point for the ring locations.

The inner ring is likely not a code as it is all dark, but I encoded it on my spreadsheet anyway.  I think there are 10 “data” rings and maybe 1 or two control rings (outer/inner).

I like the idea of a barcode.  I was trying:

1. 7 or 8 digit ASCII codes
2. 4 or 5 bit binary to decimal (like the perseverance code)
3. Looking for repeats between sets of digits (like the perseverance code)
4. Searching for vowels, www or periods (.) in the ASCII codes  (7/8) bit to see if any repeats.

None of these methods have yielded any fruitful results.

Il file Excel di cui parla è qui a vostra disposizione.

2022/04/05 00:20. Da @Elis4b arriva un’idea molto originale: e se fossero istruzioni per un carillon?

Voi rudi informatici non avete considerato l'ipotesi più romantica: che possa essere una traccia musicale, un disco inciso tipo carillon circolare che suona "Fly me to the Moon..." 🎶 pic.twitter.com/j1ewcCt18T

— Elisa (@Elis4b) April 4, 2022

Questo articolo contiene anticipazioni sugli avvenimenti della seconda stagione di Star Trek: Picard. Se non volete conoscerle, non leggete oltre. Non ci saranno ulteriori avvertimenti :-).

Nella quinta puntata Q mostra a... qualcuno un biglietto da visita sul quale c'è un numero di telefono:

Diversamente dai numeri usati abitualmente nei telefilm, che sono quasi sempre finti (iniziano col prefisso 555), questo corrisponde a un numero reale. Cosa succede se lo si chiama? Questo (ho provato personalmente, essendo oggi il primo d’aprile temevo si trattasse di una burla):

La voce inimitabile di John DeLancie (che interpreta Q) dice: "Hello! You have reached the Q Continuum. We are unable to get to the phone right now, because we are busy living in a plane of existence your feeble, mortal mind cannot possibly comprehend. Furthermore, it’s pointless to leave a message, because we of course already knew that you would call, and we simply do not care. Have a nice day."

Sempre nella stessa puntata, a 1m46s, c’è un bel riferimento nascosto alle missioni Apollo (che verranno poi citate esplicitamente nel corso dell’episodio):

È disponibile subito il podcast di oggi de Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto: lo trovate presso www.rsi.ch/ildisinformatico (link diretto) e qui sotto.

I podcast del Disinformatico sono ascoltabili anche tramite feed RSS, iTunes, Google Podcasts e Spotify.

Buon ascolto, e se vi interessano i testi e i link alle fonti di questa puntata, sono qui sotto.

---

Prologo

CLIP AUDIO: Qualcuno bussa con forza a una porta

Siamo nello stato americano del Kansas, a maggio del 2011. La porta alla quale stanno bussando con insistenza due vicesceriffi è quella della fattoria dove abitano James e Theresa Arnold. Una coppia tranquilla che vive appena fuori Potwin, un paesino altrettanto tranquillo, con poco meno di cinquecento abitanti. James e Theresa si sono trasferiti lì da pochi giorni. I vicesceriffi stanno cercando un furgone rubato, di cui però la coppia non sa assolutamente nulla. La polizia tornerà ripetutamente, alla ricerca di refurtiva di vario genere, e ogni volta James e Theresa dovranno spiegare che non hanno nulla di rubato. Qualche tempo dopo, riceveranno più volte visite degli agenti dell’FBI, che cercano bambini scappati di casa. E poi arriveranno gli ispettori delle tasse, con l’accusa di frode fiscale. E infine la coppia verrà assediata dalle ambulanze in cerca di persone in pericolo di vita e dalle telefonate di persone che la accusano di truffe di vario genere. Non lo sanno ancora, ma la colpa di questi equivoci è tutta di MaxMind. No, non è un arcinemico dei fumetti: è un’azienda che, senza rendersene conto, ha condannato James e Theresa Arnold a un supplizio squisitamente informatico dal nome piuttosto criptico: il default di localizzazione degli indirizzi IP.

Questa è la storia di come una scelta informatica apparentemente banale può trasformare in un inferno la vita di persone innocenti.

Benvenuti al Disinformatico, il podcast della Radiotelevisione Svizzera dedicato alle storie insolite dell’informatica. Io sono Paolo Attivissimo.

SIGLA DI APERTURA

La fattoria di James e Theresa Arnold non è maledetta o posseduta dagli spiriti, e non nasconde un covo segreto di ladri e ricettatori. Lo sa bene il loro locatore, l’anziana signora Taylor: è tutto in regola e non c’è nessun deposito di refurtiva, ma misteriosamente tutte le persone che affittano la sua fattoria vengono bersagliate da richieste di pagamenti di tasse evase e da visite di agenti di polizia, di giorno e di notte, alla ricerca di merci rubate o persone scomparse. Ogni volta è necessario spiegare pazientemente che no, la refurtiva che la polizia sta cercando non è lì e nella fattoria non sono nascosti bambini scappati. E la cosa va avanti da almeno una decina d’anni. Lo sceriffo locale ha fatto mettere un cartello all’ingresso della fattoria avvisando tutti, e soprattutto i rappresentanti del fisco o delle forze dell’ordine federali, di non avvicinarsi e di contattarlo per chiarimenti.

Per venire a capo di questo mistero ci vorranno altri cinque anni e ci vorrà un uomo di nome Kashmir Hill. No, non è un detective: è un giornalista informatico. Arriviamo così al 2016, quando Hill, nell’ambito di un’indagine su un caso analogo avvenuto ad Atlanta, fa una scoperta che cambierà la vita della famiglia Arnold e la libererà (o quasi) dalla persecuzione.

Per capire questa scoperta bisogna fare un passo indietro e parlare di una cosa che a prima vista non c’entra nulla: la cartografia digitale, e specificamente la localizzazione degli indirizzi IP. Ogni dispositivo che si collega a Internet riceve un indirizzo IP, che è un identificativo unico che gli serve per comunicare con gli altri dispositivi. Quando visitate un sito con il vostro computer o smartphone, per esempio, il sito viene informato del vostro indirizzo IP. Ci sono aziende (per esempio Whatismyipaddress.com) che associano gli indirizzi IP ai luoghi geografici, per cui un sito può sapere se un visitatore si trova, che so, in Francia o negli Stati Uniti. Spesso questa associazione è abbastanza precisa da poter indicare la città esatta nella quale si trova l’utente, o addirittura l’edificio specifico. Spesso, ma non sempre.

CLIP: Maxmind

Maxmind, che ha sede in Massachusetts, è una delle aziende che vendono questo tipo di informazione, molto ambita per esempio dai pubblicitari, che la usano per mostrare a ogni utente pubblicità pertinenti alla sua regione. La usano anche le agenzie governative, per sapere dove si trovano le persone che si rivolgono a loro. MaxMind offre i propri servizi a oltre 5000 aziende.

Ma c’è un problema: l’associazione fra indirizzo IP e indirizzo geografico a volte sbaglia di grosso. In alcuni casi viene fatta facendo il cosiddetto wardriving, ossia mandando in giro automobili dotate di GPS e computer che cercano le reti Wi-Fi aperte, ne identificano gli indirizzi IP e li abbinano alle coordinate geografiche del posto in cui si trovano in quel momento. Altre volte viene fatta usando allo stesso modo gli smartphone degli utenti quando vanno in giro. In altri casi ancora viene ottenuta guardando l’indirizzo IP di un’azienda e guardando dove si trova fisicamente la sede di quell’azienda.

Ma in alcuni casi non è possibile risalire all’ubicazione geografica precisa di un certo indirizzo IP e quindi nei registri di aziende come MaxMind si annotano, al posto delle coordinate geografiche reali, delle coordinate di default. Se si sa soltanto che un certo indirizzo IP si trova da qualche parte in una certa città, allora a quell’indirizzo IP verranno abbinate le coordinate geografiche del centro di quella città.

E se MaxMind non ha proprio nessun dato geografico da abbinare a un certo indirizzo IP, nasce un problema: qualcosa bisogna pur scrivere nel database delle coordinate, e così MaxMind assegna delle coordinate completamente arbitrarie. Specificamente, nel caso di qualunque indirizzo IP di cui sa solo che è statunitense, assegna le coordinate del centro geografico degli Stati Uniti, arrotondate per non avere troppe cifre decimali: 38 gradi nord, 97 gradi ovest. 

Indovinate cosa c’è a quelle coordinate. Esatto: la fattoria degli Arnold.

In altre parole, qualunque reato o inadempienza fiscale associati a un indirizzo IP di cui MaxMind non ha informazioni geografiche punta a quella fattoria. Se funzionari governativi, inquirenti, ispettori delle tasse, forze dell’ordine chiedono a MaxMind dove si trova un certo indirizzo IP di cui MaxMind non sa nulla, l’azienda non risponde con un sincero “boh, non ne ho la minima idea”, ma fornisce le coordinate geografiche di James e Theresa Arnold. Che così si sono trovati accusati di reati informatici, furti di identità, molestie informatiche e persino di “detenzione di ragazze presso l’abitazione allo scopo di realizzare film pornografici”: così dicono i documenti legali.

Il giornalista informatico, Kashmir Hill, insieme all’esperto di sicurezza Dave Maynor, consulta un database pubblico di MaxMind e scopre che gli indirizzi IP di cui l’azienda non ha nessuna informazione reale di localizzazione sono oltre seicento milioni. Se uno di questi indirizzi IP viene usato da un truffatore o da un criminale informatico o da una persona in difficoltà che contatta un servizio di soccorso, MaxMind dirà che quel malfattore o quella persona nei guai sta a casa degli Arnold, a Potwin, in Kansas. Nessuno, alla MaxMind, si è chiesto se per caso alle coordinate geografiche di default immesse automaticamente nei loro archivi ci fosse qualcuno. Nessuno nell’azienda ha pensato di assegnare delle coordinate geografiche che non potessero causare problemi a persone innocenti e inconsapevoli.

Kashmir Hill, nel 2016, contatta i signori Arnold e spiega la sua scoperta. I coniugi, capita la causa dei loro problemi, avviano subito un’azione legale contro MaxMind, chiedendo un risarcimento di oltre 75.000 dollari. L’azienda si impegna a posizionare le coordinate di default nel centro di specchi d’acqua, boschi o parchi invece che davanti alle case delle persone. Ma molti dei clienti di MaxMind non aggiornano regolarmente i propri archivi, per cui la persecuzione non è ancora del tutto terminata.

La vicenda dei coniugi in Kansas non è l’unica del suo genere: il giornalista Hill cita molti altri casi, come quello del signor Tony Pav, che vive ad Ashburn, in Virginia, dove si trovano i grandi datacenter di Google e Facebook. Di conseguenza, oltre 17 milioni di indirizzi IP puntano ad Ashburn, e MaxMind aveva scelto, come coordinate geografiche generiche di Ashburn, proprio la casa di Tony Pav, che così una sera ha trovato la polizia che stava per sfondargli la porta alla ricerca di un laptop del governo che risultava trovarsi lì, perlomeno stando al suo indirizzo IP. Il povero signor Pav è perseguitato da situazioni di questo genere e teme che qualcuno che ha subìto un torto, prima o poi, venga di persona a casa sua a farsi giustizia sommaria. MaxMind ha cambiato anche queste coordinate.

E poi c’è anche il caso del signor Dobson di Las Vegas, che si vede perennemente incolpato ingiustamente di aver rubato telefonini perché casa sua si trova proprio davanti a un’antenna di telefonia mobile geolocalizzata.

Fra l’altro, questo non è un problema limitato agli Stati Uniti. Tre anni più tardi, nel 2019, a Pretoria, in Sud Africa, un uomo e sua madre si trovano accusati di rapimento da un investigatore privato che è sulle tracce di una bambina rapita ed è stato portato davanti alla casa dei due da un dispositivo di tracciamento che secondo lui è infallibile. La famiglia si trova spesso in situazioni del genere, a volte anche pericolosamente aggressive, perché la casa, come le precedenti, si trova in un punto geografico informaticamente maledetto.

In questo caso sudafricano, l’artefice della maledizione digitale è nientemeno che un’agenzia governativa di intelligence statunitense, la National Geospatial-Intelligence Agency.

CLIP: NGA

Quest’agenzia fa parte del Dipartimento della Difesa e fornisce anche servizi di geolocalizzazione aperti al pubblico. Per questi servizi ha scelto, per indicare l’intera città di Pretoria, le coordinate esatte della casa dei due malcapitati. E in questo caso non c’è nulla da fare, se non traslocare.

---

Questi episodi assurdi di persecuzione digitale dimostrano la noncuranza con la quale troppo spesso in informatica si scelgono valori predefiniti arbitrari senza pensare alle loro conseguenze nel mondo reale, ma mettono anche in luce due errori molto diffusi fra gli utenti: il primo è un’eccessiva e mal riposta fiducia nei servizi di localizzazione basati sugli indirizzi IP, che spesso contengono dati errati o inventati; il secondo è pensare che delle coordinate geografiche con tanti decimali siano precisissime, mentre in realtà quei decimali sono soltanto il risultato di approssimazioni e arrotondamenti. 

Questi servizi, infatti, non sono pensati per trovare una specifica abitazione ma solo per dare un’indicazione approssimativa della zona geografica in cui dovrebbe trovarsi un certo dispositivo. Per cui se usate un sito come Iplocation.net, prendete i suoi risultati con molta cautela. A me, per esempio, dice che sono in questo momento a Zurigo, mentre in realtà mi trovo a Lugano, e dice di sapere dove mi trovo con ben dodici cifre decimali di precisione. In teoria, mi sta dicendo che sa dove mi trovo con una precisione di meno di un milionesimo di millimetro, ma in realtà sbaglia di circa 155 chilometri in linea d’aria.

Morale della storia: la geolocalizzazione è una cosa seria, ma se usata male può causare guai a non finire a persone che non hanno nessuna colpa. Per cui non andate a bussare a casa di sconosciuti perché la vostra app preferita di localizzazione tramite indirizzo IP vi ha portato davanti a una certa abitazione. E pregate di non abitare in una casa che qualche azienda, dall’altra parte del pianeta, ha scelto come coordinate di default per i propri archivi senza pensare alle conseguenze.

Fonti aggiuntive: Half As Interesting, Sophos, Ars Technica.

Steve Stich, della NASA, ha comunicato oggi che il lancio della Crew-4 slitterà di un giorno, dal 19 al 20 aprile, per lasciare più tempo fra il lancio di Axiom-1 e la partenza di Crew-4.

Per noi DragonChaser i margini di tempo per essere presenti al decollo si assottigliano, ma ci stiamo ancora dentro.

Intanto si è tenuta una conferenza stampa di un’ora con l’equipaggio della Crew-4 dal Johnson Space Center. La potete rivedere qui su YouTube o nell’embed qui sotto. 

A 5m25s, Bob Hines conferma che Samantha Cristoforetti potrebbe avere l’occasione di una EVA con i russi. A 10m00s, Hines spiega l’origine del suo nome da pilota, Farmer: l’agricoltura non c’entra e si tratta di un riferimento scherzoso a un aviogetto militare russo, la cui designazione NATO è appunto Farmer. Subito dopo, Jessica Watkins spiega che la chiamano Watty semplicemente sulla base del suo cognome. Kjell Lindgren spiega il senso della patch, concepita dalla figlia, e nota che la libellula che mostra è in parte ispirata dal fatto che una libellula si è posata sulla spalla di uno degli astronauti poco prima di salire a bordo di una delle prime missioni con equipaggio di SpaceX e molti l’hanno considerato un buon auspicio.

A 15m30s interviene Samantha a spiegare che prossimamente non sarà più l’unica donna nel corpo astronauti dell’ESA, grazie alla nuova campagna di selezione.

A 18m40s Lindgren nota che fra le migliorie della nuova capsula Crew Dragon ci sono le porte USB per la ricarica dei tablet di bordo, ispirate dalle esigenze della missione privata Inspiration 4 :-)

A 23m20s Samantha spiega il feedback ricevuto dagli equipaggi precedenti grazie ai debriefing approfonditi e alle mitiche pizza evening che sono ricche di spunti informali su come si vive a bordo della capsula.

A 36m circa si parla delle tradizioni di lancio, e pare che i novellini debbano pagare sempre da bere ai veterani. Samantha accenna all’importanza della ritualità e di quanto sia confortante, specialmente in Russia, e non vede l’ora di scoprire le tradizioni del Kennedy Space Center. 

A 40m30s arriva una domanda sui rapporti con i colleghi russi in considerazione della situazione in Ucrania, e Kjell Lindgren risponde molto diplomaticamente e pragmaticamente: la sola priorità è lavorare insieme ai colleghi russi per la manutenzione e il funzionamento della Stazione.

A 46m circa Hines parla delle possibilità di restare in contatto con la famiglia quando si è a bordo della Stazione, grazie anche a un telefono IP (solo voce) che possono usare frequentemente, più una videoconferenza settimanale.

A 54m circa Lindgren racconta l’esperienza magica di assistere tutti insieme, dallo spazio, al decollo notturno di una delle capsule cargo che riforniscono la Stazione e accenna alla possibilità che questo equipaggio assista al decollo del vettore gigante Artemis 1.

A 55:00 Samantha spiega che per questa missione non si è addestrata per l’uso delle tute da EVA statunitensi ma solo con la Orlan russa e ribadisce che la sua EVA è “al 100% non certa”.

L’impressione generale della conferenza stampa è di grande affiatamento e rilassatezza dell’intero equipaggio. Ad astra!

All’inizio dell’invasione russa dell’Ucraina, il 24 febbraio scorso, una parte significativa delle comunicazioni militari ucraine è diventata impossibile a causa di un attacco informatico al sistema di telecomunicazioni satellitari di Viasat usato appunto dalle forze militari del paese. L’attacco ha avuto ripercussioni anche in altri paesi che usano Viasat, dal Regno Unito alla Repubblica Ceca al Marocco. Fra i sistemi colpiti dagli effetti collaterali dell’attacco ci sono anche circa 2000 pale eoliche in Germania. Non risultano interessate le compagnie aeree che usano i sistemi Viasat o i clienti Viasat del governo statunitense. I modem degli utenti colpiti sono stati resi inservibili.

ℹ️ Commercial satellite operator Viasat is investigating a suspected cyberattack that caused a partial outage of its KA-SAT network in Europe.

Network data indicate that the incident began on 24 February ~4 a.m. UTC and is currently ongoing 📉

📰 https://t.co/vsg9NA2V03 pic.twitter.com/vW8qQwF5TF

— NetBlocks (@netblocks) February 28, 2022

La vicenda è stata raccontata inizialmente dal Washington Post, da The Hill e in dettaglio da Ars Technica.  Anche Wired.it ne ha parlato in questo articolo, indicando che sarebbero stati colpiti dall’attacco circa 27.000 utenti.

Oggi, finalmente, l’azienda direttamente interessata, Viasat, ha pubblicato il proprio resoconto dell’attacco, che spiega come si è svolto e quale punto debole dell’infrastruttura è stato sfruttato. La lettura è molto interessante, perché mostra un modo poco hollywoodiano e per nulla intuitivo di portare alla paralisi una rete di telecomunicazioni satellitari. Non c’è bisogno di “hackerare il satellite” se qualcuno configura maldestramente un accesso VPN al sistema di gestione della rete a terra e da lì qualcun altro manda comandi ai modem degli utenti, inducendoli a sovrascrivere le proprie memorie flash e diventare incapaci di ricollegarsi.

Lo scenario più plausibile è un attacco da parte russa o di affiliati o simpatizzanti del governo russo, ma al momento non ci sono prove.

Mi sono ripromesso di tenermi fuori dal teatrino dei complottismi intorno all'invasione russa dell’Ucraina, ma faccio un’eccezione per questo servizio di Ros Atkins, della BBC, che spiega e smonta bene la polemica artificiosa sul presunto neonazismo che, secondo i russi, dominerebbe in Ucraina e in particolare nel cosiddetto “battaglione Azov". Notate come si fa a comunicare bene, con parole nette, dati concreti, fonti esperte, toni pacati e soprattutto difesa della realtà pura e semplice, senza troppi giri di parole. Nove minuti che valgono novanta minuti di qualunque logorroico talk-show con ospiti chiamati a creare polemica e battibecco invece di informare.

You’ll have seen the multiple false claims that Putin and his supporters are making about ‘Nazis’ in Ukraine. We’ve looked at them in detail. pic.twitter.com/vERMtStdhI

— Ros Atkins (@BBCRosAtkins) March 25, 2022

È disponibile, con sottotitoli, anche su Youtube:

Questa è la trascrizione dei sottotitoli e del parlato. Se a qualcuno interessa, ne preparo una traduzione in italiano.

ATKINS: Vladimir Putin has given several reasons for his invasion of Ukraine. This is one of them.

PUTIN: We will be aiming at demilitarization and de-Nazification of Ukraine.

ATKINS:  At a recent Putin rally, a banner declared “for a world without Nazism” and Putin has described a “gang of drug addicts and neo-Nazis, who settled in Kyiv and took the entire Ukrainian people hostage”. But Russia's claims about Nazis in Ukraine are a mix of falsehoods and distortions. For a start, Ukrainians are not being held hostage by Nazis. Their president’s Volodymyr Zelensky; he's Jewish, he has relatives who died in the Holocaust and he's president because he won 73% of the vote in 2019. The main far-right candidate reached 1.6% and that result is part of a broader shift. In the 2012 parliamentary election, the main far-right party won 10%. In 2014 it was 6%; in 2019 it was 2%. No far-right groups have any formal political power in Ukraine and based on polling and results, the far right's much less popular in Ukraine than, for example, the leader of the far-right in France, Marine Le Pen. Far-right groups, though, do exist in Ukraine and Russia's focus on them is not new.

IZABELLA TAVAROVKSY (Wilson Center): The word “de-Nazify”, the idea that Ukraine has been overrun by the Nazis, is something that Russian propaganda has been talking about for eight years, since the first invasion of Ukraine in 2014. 

ATKINS: Ukraine wasn't and isn't being overrun by Nazis. But what happened eight years ago is relevant here. That's because in late 2013, under pressure from Putin, Ukraine's then president Victor Yanukovych backed out of a cooperation deal with the EU. Huge protests followed, as would a crackdown. In time, Yanukovych would flee to Russia. This was a challenge to Putin's ability to influence Ukraine, and he retaliated. First, Russia annexed Crimea; then it backed separatists in parts of eastern Ukraine. And this is where the story connects back to the far right, because in 2014 the Ukrainian military was much smaller than it is now. It was struggling, and brigades of volunteers joined the fight against the separatists. Some of them had far-right elements. The most high profile was this one: the Azov battalion. It was set up by this man, Andre Baletsky, who has a history of racist and anti-semitic views and in 2014 the BBC's Steve Rosenberg spoke to him.

ROSENBERG: Much has been written about Azov. About it being ultranationalist and even neo-Nazi. What is Azov's ideology?

BALETSKY: Yes, we’re nationalists. We’ve never hidden that. Our whole ideology is in our symbol. It’s a combination of the letters I and N. It means “Idea of the Nation”.

ATKINS: This is the Azov emblem being shown to Steve there. It's a pagan symbol known as “Wolfsangel”, and a version of it was used by some SS units in Nazi Germany. Andreas Umland is an expert on Ukrainian nationalism. He's looked at this, writing “The Wolfsangel has far-right connotations... but it's not considered a fascist symbol by the population in Ukraine.” That may be, but back in 2015 Azov acknowledged that some of its fighters held Nazi views. A spokesperson told USA Today that only 10 to 20 percent of the group's members are Nazis, and he sought to make a distinction using one fighter as an example. “I know Alex is a Nazi”, he said, “but it's his personal ideology, it has nothing to do with the official ideology of the Azov”. Now the degree of Nazi sentiment in Azov is impossible to verify, but this 2015 quote is relevant, because by this time Azov had become part of Ukraine's National Guard. It was under government command, and there was one main reason for that happening.

KACPER REKAWEK (University of Oslo): We have to be honest, they were just good fighters in 2014, and they seem to be pretty good fighters now in Mariupol. That's why they were taken on the books.

ATKINS: And in 2014, with Russia backing separatists, urgent military considerations trumped all others. Ukraine was under attack and its then president Petro Poroshenko called Azov “our best warriors”. But when in 2015 he was asked by the BBC about the group's far-right links, his reply was blunt.

POROSHENKO: Please, don't listen to Russian propaganda.

ATKINS: Russia has used Azov in its propaganda for years, and as we assess claims about Azov's role in Ukraine, context is vital here. Ukraine's armed forces total 250,000 plus 50,000 National Guard. Azov is part of the National Guard, with around a thousand volunteer fighters. It's a tiny fraction of the Ukrainian military. It's also not the same force as it was in 2014. 

ADRIEN NONJON (National Institute of Oriental Languages & Civilizations): Azov opened its recruitment to the whole of Ukrainian society and eventually this radical core was drowned out by the mass of newcomers who joined the regiment because it was an elite unit.

ATKINS: And while the membership, was evolving the founder also left to start a new far-right political party. A party which has failed to achieve any electoral success. But the Azov regiment that he left behind is high-profile and mainstream. This is the view of the Ukrainian government.

ANTON HERASHCHENKO (Adviser to Ukraine’s Interior Minister): The only Nazi elements we have on the territory of Ukraine now are the Russian fascist army.

ATKINS: In the last few days, President Zelensky announced that Azov's commander in Mariupol will receive the highest national military award. But despite this acclaim, despite the evolving membership, questions about neo-Nazi links remain. In January, Buzzfeed's Christopher Miller reported that he'd seen an Azov veteran wearing white supremacists and Nazi symbols. There is, though, no evidence such sentiment is widespread. Here's Vitaliy Shevchenko from BBC Monitoring.

SHEVCHENKO: I was looking at the Azov battalion's social media activity and its website and all they talk about is fighting the Russian forces, and there's very little in terms of extremist, anti-migrant or xenophobic rhetoric there.

ATKINS: And so it is this Azov regiment that is part of Ukraine's resistance, and just as in 2014 its focus is the Donbass region that includes the two breakaway republics and the city of Mariupol. It is close to the Sea of Azov which gives the regiment its name. It's also where Azov made its name. Back in 2014, Azov successfully defended the city. As Mariupol is bombarded by the Russians now, alongside other Ukrainian forces, it's trying to do so again. And Azov's presence in Mariupol once more makes it central to Russia's false narratives. You'll remember the horror of Russia bombing a maternity hospital in the city. Afterwards the Russians said this.

SERGEI LAVROV (Russian Foreign Minister): At the UN Security Council, facts were proffered by our delegation, saying that the maternity hospital had been taken over by Azov battalion and other radicals.

ATKINS: But there's no evidence Azov were based there; no evidence it was a military facility. Then there's Russia's attack on a theater in Mariupol that was sheltering civilians. Russia accuses Azov of doing this; there's absolutely no evidence this is true. And so, while any Azov volunteers having neo-Nazi sympathies is shocking and worthy of note, neo-Nazis are not the threat that Russia describes. But perhaps this is not about an actual threat and rather about something else entirely. The New York Times writes of how the word “Nazi” appears geared towards Russians, for whom remembrance of the Soviet Union's victory over Nazi Germany remains perhaps the single most powerful element of a unifying national identity. Putin is looking to the past to create motivation in the present. This is the historian Shane O'Rourke.

SHANE O’ROURKE: What the regime is doing is using the memory of the war, the very deep feelings it arouses, to legitimize its actions not just in Ukraine but but in many other places as well.

ATKINS: Putin has his reasons to do this, but he doesn't have the facts. Just after Russia's invasion, 150 historians who study genocide, Nazism and World War II released a statement. In it, they argue “This rhetoric is factually wrong, morally repugnant and deeply offensive to the memory of millions of victims of nazism and those who courageously fought against it”. The rhetoric is factually wrong: Nazis don't hold Ukraine hostage, they're not launching attacks on Ukrainians. There's no evidence to support this kind of claim.

SERGEI MAKROV (Former Russian MP): Most of the Ukrainians hate these neo-Nazi groups and they pray for Russia and for somebody else to liberate Ukrainian society from a Nazi group.

ATKINS: Ukrainians don't need liberating from Nazis; to their president, this idea is pure fiction.

VOLODYMYR ZELENSKY: It's already the 25th day of the Russian military trying in vain to find imaginary Nazis from whom they allegedly want to defend our people, just as they're trying in vain to find Ukrainians who would greet them with flowers.

ATKINS: That search will continue to be in vain because while the evolution of the Azov regiment deserves scrutiny, neo-Nazis and the far-right do not play the role in Ukraine that Russia falsely describes. They didn't in 2014; they don't now.

Apprezzo le intenzioni, ma per me (e immagino anche per molti altri) è una scocciatura, perché blocca anche lo scaricamento dei file MP3 da siti https che usano http per il download. Me ne sono accorto quando ho provato a scaricare una puntata del mio podcast dal sito della RSI (per esempio da questo link, che non è quello presente nella pagina web RSI ma è quello che mi arriva nel feed RSS, che leggo tramite Feedly).

Il guaio è che Firefox non avvisa che lo scaricamento non è stato fatto. Per accorgersene bisogna andare nell’elenco dei download, e solo allora compare l’avviso “File not downloaded: Potential security risk” che vedete nello screenshot qui sopra.

Per disattivare questo “aiuto”, Techradar consiglia di digitare about:config nella casella dell’URL di Firefox, cliccare sul pulsante di accettazione del rischio, cercare block_download_insecure e impostarlo a false. Non occorre riavviare Firefox.

ATTENZIONE: Questa modifica ovviamente riduce la protezione offerta dal browser e può portare a situazioni pericolose, quindi usatela con giudizio.

Giada Oricchio su Il Tempo ci spiega che le immagini TV si trasmettono in onde corte e che addirittura lo si faceva già durante la Seconda Guerra Mondiale (copia permanente). Grazie a berner*** per la segnalazione.

Repubblica ci delizia con la grafica che spiega come portare avanti le lancette. Grazie a @santebande per la segnalazione. Copia permanente: archive.ph/lwJPX

TrevisoToday si premura di scrivere “le iniziali” e poi pubblica ripetutamente nome e cognome. Ho aggiunto io le pecette.

La foto scelta dalla RSI propone addirittura di sostituire gli orologi invece di spostare le lancette (grazie a @MieleMielee per la segnalazione):

Intanto Repubblica scrive (a firma di Gennaro Totorizzo) che a una persona hanno rubato la “sedia elettrica”. E lo scrive ripetutamente: “La sua sedia elettrica era fondamentale per avere un minimo di "libertà"... Facciamo un appello a chi ha compiuto questo gesto a riconsegnare la sedia elettrica”. Copia permanente: https://archive.ph/Iwtty. Grazie a LW per la segnalazione. Ho un déjà vu.

È disponibile subito il podcast di oggi de Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto: lo trovate presso www.rsi.ch/ildisinformatico (link diretto) e qui sotto.

I podcast del Disinformatico sono ascoltabili anche tramite feed RSS, iTunes, Google Podcasts e Spotify.

Buon ascolto, e se vi interessano i testi e i link alle fonti di questa puntata, sono qui sotto.

• La guerra dei deepfake
• Attenzione alle false proposte di aiutare l’Ucraina. Anche a quelle sexy
• Insolita tecnica rubapassword: il BITB o “Browser in the Browser”
• Addio a Stephen Wilhite, papà dei GIF

Quando si insegnano le basi della sicurezza informatica e in particolare come difendersi dai ladri di password, una delle regole più importanti, ripetute fino alla noia, è che prima di digitare la propria password bisogna sempre verificare di essere nel sito vero e non in una sua imitazione fabbricata dai truffatori.

Per fare questa verifica in modo facile e usabile anche da persone non esperte, si consiglia di ignorare l’eventuale contenuto grafico della pagina che sta chiedendo le credenziali di accesso e di guardare con attenzione il nome del sito, ossia l’URL (quello indicato in alto nella schermata).

Per esempio, se voglio verificare di essere davvero nella schermata di login di Google e non in quella imitata da un truffatore, dovrò controllare che in alto ci sia scritto accounts.google.com e non pincopallino.com oppure googIe.com.

Come ulteriore verifica, cercherò anche l’icona di un lucchetto chiuso accanto al nome del sito: se non c’è, saprò per certo che mi trovo nel sito di un truffatore e quindi non digiterò la mia password. Se c’è, invece, non mi potrò fidare, perché i truffatori più abili possono fare in modo che il lucchetto chiuso compaia; ma se manca, sarò sicuro di aver evitato un raggiro.

Semplice e pratico, insomma: due piccoli abitudini (guarda il nome, cerca il lucchetto) che si imparano facilmente e diventano automatiche come guardare a sinistra e a destra prima di attraversare la strada.

Ma lascia fare agli informatici: è stata pubblicata da poco una tecnica che sovverte queste regole di sicurezza, perché è in grado di imitare quasi perfettamente sia il nome del sito, sia la presenza del lucchetto.

Questa tecnica si chiama Browser in the Browser, abbreviato in BITB, ed è stata annunciata da un ricercatore di sicurezza che si fa chiamare semplicemente mr.d0x.

Funziona così: avete presente quelle finestre di dialogo che compaiono spesso quando si accede la prima volta a un sito? Quelle che per evitarvi di dover creare un account e una password appositamente vi dicono “login con Facebook”, “login con Microsoft”, “continua con Apple”, “collegati usando Google” o cose simili e vi propongono appunto di usare un vostro account esistente per il nuovo sito? Il ricercatore mostra che è estremamente semplice, per un esperto, creare una versione fraudolenta di queste finestre di dialogo e farla apparire sullo schermo della vittima.

Fin qui niente di speciale, ma il trucco di mr.d0x è che aggiunge alla finestra di dialogo un bordo superiore che imita la testata di un browser.

La vittima, di conseguenza, crede che la finestra di dialogo sia la finestra del browser, e quando va a controllare il nome del sito e la presenza del lucchetto, seguendo le classiche regole di sicurezza, guarda il nome del sito mostrato nella finta testata del browser, che è sotto il controllo del truffatore.

Il ladro di password, infatti, può far comparire in questa testata un nome di sito a suo piacimento, per cui se vuole per esempio rubare una password di un account Google metterà in questa falsa testata accounts.google.com. E per di più potrà anche inserire l’icona del lucchetto, fintamente rassicurante.

Un video pubblicato su YouTube illustra in dettaglio il procedimento necessario per creare un sito rubapassword che usi questa tecnica, con tanto di modelli predefiniti (anche qui) e sito dimostrativo (Getgophish.com). La semplicità di questo metodo è preoccupante, ed è inevitabile che questa tecnica verrà utilizzata dai truffatori e non solo dai ricercatori di sicurezza.

Anzi, è già stata usata almeno una volta, nel 2020, per rubare password del servizio di distribuzione di videogiochi Steam.

A questo punto occorre insomma aggiornare le regole di sicurezza: non basta più controllare il nome del sito e l’eventuale assenza del lucchetto. Gli esperti notano che c’è un modo abbastanza semplice per distinguere un sito fraudolento che usa questa tecnica rubapassword da un sito autentico. Consiste nel provare a spostare la finestra di dialogo: se è vera, sarà possibile spostarla in modo che si sovrapponga alla vera testata del browser; se è falsa, questo spostamento la farà finire sotto la vera testata. Ma l’utente medio si ricorderà di fare ogni volta tutti questi controlli?

È improbabile, per cui si consiglia di usare un approccio differente, di prevenzione: attivare l’autenticazione a due fattori su ogni account, usando le istruzioni apposite facilmente reperibili in Google. In questo modo, se si sbaglia e si digita la propria password in un sito che la ruba, i ladri non potranno comunque prendere il controllo dell’account e si dovrà semplicemente cambiare la password.

Come sempre, anche in informatica, prevenire è meglio che curare.