Cerca nel blog

2014/07/30

Instagram, account rubabili usando Wi-Fi pubblici

Questo articolo vi arriva grazie alla gentile donazione di “stefano@gr*”.

C'è una falla in Instagram che permette di rubare gli account di chi lo usa su una rete Wi-Fi pubblica: la correzione è stata promessa, ma non è ancora attiva, per cui fino a quel momento è meglio usare Instagram soltanto su reti Wi-Fi private (o che non possano ospitare aggressori) oppure tramite la trasmissione dati della rete cellulare.

Stando alla descrizione di questa falla, rubare un account Instagram via Wi-Fi è davvero semplice a causa di una scelta tecnica ottusa da parte di Facebook, a riprova dell'idea che noi utenti, per i gestori dei social network, siamo carne da cannone: della nostra sicurezza e della nostra privacy, a loro, non frega assolutamente nulla.

Il problema è stato segnalato a Facebook da uno sviluppatore londinese, Stevie Graham, che però si è sentito dire che non verrà ricompensato per la sua segnalazione responsabile, come invece è avvenuto in altri casi, perché la falla è già nota a Facebook. Per cui ha deciso di rendere pubblica la vulnerabilità, in modo da spingere finalmente Facebook (proprietaria di Instagram) a sistemarla invece di ignorarla.

La falla sta nel fatto che l'app di Instagram usa l'HTTP per buona parte del proprio scambio di dati: il nome dell'account e il relativo numero vengono scambiati senza cifratura, per esempio, e c'è un cookie che può essere intercettato per accedere a Instagram spacciandosi per l'utente senza doversi riautenticare, potendo quindi leggere i messaggi dell'utente e postare a suo nome.

La tecnica è questa: l'aggressore si collega alla stessa rete Wi-Fi usata dalla vittima. Non importa se la rete è cifrata (Graham specifica WEP) o aperta. Poi l'aggressore mette la propria interfaccia di rete in modalità promiscua, ascoltando tutto il traffico della rete Wi-Fi, e lo filtra alla ricerca di riferimenti a i.instagram.com. Quando la vittima si collega a Instagram su quella rete Wi-Fi, l'aggressore cattura il cookie che viene trasmesso e lo usa per sostituirsi alla vittima e controllare il suo account. Tutto qui.

I dettagli sono descritti in questo post di Graham: nei miei test fatti di corsa, tuttavia, non sono riuscito a replicare l'attacco sui miei account Instagram usando dispositivi iOS e Android su una mia rete Wi-Fi senza cifratura. Se qualcuno riesce a fare di meglio, lo segnali nei commenti.

L'attacco è molto simile al Firesheep di qualche anno fa, tanto che Graham l'ha battezzato Instasheep. Un attacco praticamente identico è descritto qui da Mazin Ahmed, che consiglia di evitare l'app e di usare invece il sito Web per accedere a Instagram da dispositivi mobili.

Resta valida la raccomandazione di sempre: qualunque cosa postiate su un social network, date per scontato che sia pubblica e intercettabile.

2014/07/29

Ci vediamo ad Agrigento il 5 agosto al Festival della Scienza?

Il 4 agosto prossimo inizierà ad Agrigento, nella Valle dei Templi, il Festival della Scienza: fra gli ospiti ci saranno gli astronauti Paolo Nespoli (10 agosto, in carne e ossa) e Luca Parmitano (sempre 10 agosto, in collegamento da Houston) e molti divulgatori di scienza, in particolare di astronomia e tecnologia spaziale. Sono previste osservazioni del cielo con il telescopio insieme a molti altri eventi fra scienza e arte.

Io sarò insieme a Paolo D'Angelo e Raimondo Moncada il 5 agosto, dalle 21 in poi, per la serata Una notte di 45 anni fa: il racconto della Luna tra realtà e fantasia, nella quale io mi occuperò delle tesi di complotto lunare vere e fasulle, D'Angelo combinerà musica e testi dedicati alla Luna e alle stelle e Moncada sarà la voce narrante delle parti letterarie.

Come consueto, porterò con me una manciata di copie del mio libro sul lunacomplottismo e un po' di penne USB contenenti il mio documentario Moonscape. Vi aspetto! Per tutti i dettagli e il calendario completo degli eventi, visitate questa pagina di Notteconlestelle.it.

Record spaziale: quaranta chilometri su un altro pianeta

Questo articolo vi arriva grazie alla gentile donazione di “lawg*” e “emme-pi” ed è stato aggiornato dopo la pubblicazione iniziale.

A volte sembra che l'esplorazione spaziale sia un po' ferma, probabilmente perché dal 1972 le missioni umane, di grande impatto sul pubblico, sono limitate all'orbita terrestre, con distanze da Terra misurate in centinaia di chilometri anziché in centinaia di migliaia, ma in realtà l'avventura nello spazio è attiva come non mai, grazie alle missioni robotiche. Abbiamo sonde spaziali al lavoro un po' dappertutto nel sistema solare.

Da Marte è arrivata ieri la notizia del superamento di un record spaziale che era imbattuto dagli anni Settanta: quello per la massima distanza percorsa sulla superficie di un altro corpo celeste.

Il veicolo Opportunity della NASA, atterrato su Marte nel 2004, ha totalizzato quaranta chilometri di percorrenza sulle proprie ruotine, togliendo il primato al Lunokhod russo, che lo deteneva dal 1973 per aver percorso sulla Luna 39 chilometri. Al terzo posto c'è ora il rover di Apollo 17, che coprì quasi 36 chilometri sulla Luna nel 1972 ma si merita una menzione speciale perché aveva a bordo due astronauti.

Abbiamo costruito un robot che ha fatto quaranta chilometri su Marte ed è riuscito a durare dieci anni in un ambiente ostile senza riparazioni. Mica male. Di fronte a massacri, tragedie e continue dimostrazioni dell'idiozia umana, ogni tanto è bene ricordarsi di cosa siamo capaci quando smettiamo di litigare.

Questa è una mappa della strada fatta fin qui da Opportunity:

Credit: NASA/JPL-Caltech/MSSS/NMMNHS

La regola delle cinque W del giornalismo? La Stampa la applica alla lettera

Questo articolo vi arriva grazie alla gentile donazione di “mariantg” e alla segnalazione di @DPlavan.

In inglese le cinque W (who, what, when, where, why) sono la base assoluta della composizione giornalistica: l'articolo deve spiegare chi, cosa, quando, dove e perché è successo il fatto raccontato.

Ma a La Stampa qualcuno, specificamente Raphaël Zanotti, le ha prese un po' troppo alla lettera (link). Trattare così la morte di due persone non è una bella dimostrazione di serietà redazionale.




Fukushima, “un suicidio ogni dieci minuti” secondo il Fatto Quotidiano

Questo articolo vi arriva grazie alla gentile donazione di “rush777” e “aldo.da*” e alla segnalazione di @fabioghibli ed è stato aggiornato dopo la pubblicazione iniziale.

Regola numero uno del giornalismo: se sbagli, ammettilo.

Regola numero uno del giornalismismo: se sbagli, prova a far sparire ogni traccia dello sbaglio e fa' finta di niente, tanto su Internet si può e non ti sgama nessuno.

Indovinate qual è stata la scelta del Fatto Quotidiano: ieri ha pubblicato un articolo, a firma di Pio d'Emilia, intitolato “Fukushima, la città del disastro nucleare con un suicidio ogni dieci minuti”. Mio screenshot:



Nell'articolo c'era questo calcolo che giustificava il dato davvero impressionante sui suicidi: “Dall'aprile 2011, nella prefettura di Fukushima, si sono registrati 1500 suicidi: più di 5 l'ora, uno ogni 10 minuti”. Sì, avete letto bene. Mio screenshot per gli increduli:


Il numero dei suicidi è drammatico, ma sarà vero? Se Pio d'Emilia riesce a massacrare l'aritmetica di base in questo modo, come faccio a fidarmi di qualunque cifra che mi propone? E in subordine, come è stato possibile commettere un errore così colossale e oltretutto pubblicarlo?

Il Fatto Quotidiano a questo punto aveva un problema: l’aritmeticretinata si poteva anche togliere dall'articolo facendo finta di nulla, ma l'URL dell'articolo era basato sul titolo e quindi avrebbe conservato “un-suicidio-ogni-dieci-minuti” come chiara prova del misfatto. L'URL, infatti, era questo: http://www.ilfattoquotidiano.it/2014/07/28/fukushima-la-citta-del-disastro-nucleare-con-un-suicidio-ogni-dieci-minuti/1071175/.

Soluzione: ammettere l’umana fallibilità e chiedere scusa? Assolutamente no. Quell'URL ora porta infatti a quest'altro URL immacolato: http://www.ilfattoquotidiano.it/2014/07/28/fukushima-nella-citta-del-disastro-nucleare-1500-suicidi-da-aprile-2011/1071175/, dove c'è un articolo riscritto e corretto. Errore? Quale errore? Non c'è mai stato nessun errore. Screenshot attuali:





Ecco fatto! Problema risolto! Figuraccia evitata! Non siamo mai stati asini in aritmetica! Nessuno si accorgerà mai che abbiamo scritto una scempiaggine che squalifica tutto l'articolo e chi l'ha scritto.

...Come hai detto? La copia cache di Google? E cos'è?

Sveglia, Fatto Quotidiano. I tempi in cui le cazzate giornalistiche si coprivano cacciandole nel dimenticatoio della carta stampata, che oggi è giornale e domani è carta igienica, sono finiti da un pezzo. Oggi, se si vuole essere presi sul serio, bisogna essere trasparenti. Perché i lettori non sono scemi, non vogliono essere presi per scemi e oggi hanno a disposizione gli strumenti per farvi le pulci.

2014/07/27

L’Italia vista di notte, senza nubi, dallo spazio lascia senza parole gli astronauti


Reid Wiseman, dalla Stazione Spaziale Internazionale, ci sta regalando una serie di fotografie spettacolari del nostro pianeta. Guardate come è riuscito a fotografare l'Italia. Via Twitter (@astro_reid) ha condiviso la foto scrivendo “I looked on in awe and was rendered speechless by so much beauty”. Ha contemplato con stupore ed è stato ammutolito da così tanta bellezza.

Qualcuno riesce a recuperare l'originale ad alta risoluzione di questa foto? Sarò ad Agrigento prossimamente per parlare di Luna e di spazio, e questa è una chicca che mi piacerebbe molto presentare sul grande schermo della serata.


2014/07/30 - ufffff e peppe hanno trovato i link alla versione originale di questa foto e di un'altra molto simile: uno, due. Buona visione!

SpaceX, video dell’atterraggio sulle zampe (o quasi)

Questo articolo vi arriva grazie alla gentile donazione di “giac1983” ed è stato aggiornato dopo la pubblicazione iniziale.

Il 14 luglio scorso SpaceX ha effettuato un altro test di rientro controllato di un lanciatore spaziale. Stavolta c'è il video, anche se non nitidissimo, ripreso da una telecamera di bordo rivolta verso il basso.


Dopo che il razzo Falcon 9 ha portato in orbita con successo sei satelliti Orbcomm, il suo primo stadio ha riacceso i motori per frenare, ha abbassato le zampe d'atterraggio e ha toccato la superficie a velocità praticamente nulla. L'atterraggio in realtà è stato un ammaraggio nell'Oceano Atlantico, come previsto per sicurezza da questi primi test, per cui una volta dimostrata la capacità di frenare e stare verticale, il razzo si è coricato in acqua e a quel punto ha perso la propria integrità strutturale.

Il video è purtroppo parzialmente oscurato dalla formazione di ghiaccio sull'oblò della telecamera, ma mostra abbastanza chiaramente l'accensione del motore ad altissima quota per la frenata iniziale, la successiva riaccensione per l'atterraggio, l'apertura di due delle quattro zampe, l'impatto del getto con l'acqua e poi il coricamento del missile. SpaceflightNow dice che anche il jet privato di Elon Musk e un aereo della NASA erano nella zona per monitorare l'atterraggio ma che non è previsto il rilascio di altre riprese video, se ne esistono (aggiornamento 2014/08/15: rilasciato nuovo video).

SpaceX dice di essere fiduciosa di poter “atterrare su una rampa galleggiante o al sito di lancio e di far volare di nuovo il razzo senza manutenzione obbligatoria”. Il prossimo test sarà con il Volo 13, sempre in acqua, previsto per il 12 settembre con una capsula Dragon senza equipaggio destinata alla Stazione Spaziale Internazionale, mentre i voli 14 e 15 (di cui non ho trovato le date previste) tenteranno un atterraggio su una superficie solida.

A piccoli passi, come è giusto e prudente che sia, la visione fantascientifica di un razzo che atterra sulle proprie zampe sta diventando realtà, ed è affascinante che questo avvenga grazie a un imprenditore privato invece che tramite un elefantiaco ente governativo.

Intanto il recupero amatoriale del video del test precedente, gravemente rovinato da una trasmissione improvvisata a causa del maltempo, ha raggiunto un buon livello:

2014/07/25

Regole di sicurezza informatica semiserie per luddisti digitali

SecMeme, un sito dedicato ai memi umoristici riguardanti la sicurezza informatica, ha pubblicato l'immagine di un bizzarro articolo di giornale che propone una serie di regole di sicurezza informatica un po' particolari.

Sembra una di quelle liste classiche di consigli pratici: una “guida su come gestire quel virus informatico letale che ti sta venendo incontro”. Poi la si legge e si capisce che è un po' diversa:

1. Compra una penna e un taccuino.

2. Compra un diario vero e un giornale vero.

3. Vai a fare acquisti in un negozio reale.

4. Comprati un'enciclopedia le cui voci non possono essere cambiate per divertimento dalla gente.

5. Procurati degli amici veri.

6. Vai a un negozio di scommesse e perdi tutti i tuoi soldi.

7. Comprati un po' di riviste per adulti come si deve.

Ovviamente è una presa in giro, ma ha un fondo di verità: in effetti la maggior parte dei problemi informatici deriva dai comportamenti degli utenti, che usano Internet come diario personale, s'informano e fanno acquisti su siti totalmente inattendibili, usano impropriamente Wikipedia come fonte primaria, si confidano con sconosciuti e usano siti discutibili sui computer che poi adoperano anche per lavoro.

Chi ha inventato la correzione automatica?

Se c'è un padre della correzione automatica, secondo Wired è Dean Hachamovitch di Microsoft, che nei primi anni Novanta lavorava allo sviluppo di Word ed ebbe un'idea: Word già permetteva di memorizzare delle abbreviazioni che venivano espanse automaticamente (per esempio, dstsl poteva diventare distinti saluti). Perché non usare quest'espansione per correggere automaticamente gli errori di battitura più frequenti?

Fu un successo quasi istantaneo, ma emerse subito un problema: cosa fare con le parolacce? Non sarebbe stato molto positivo, in termini d'immagine aziendale per Microsoft, suggerire ai bambini come scrivere correttamente termini volgari o inadatti. Bisognava quindi togliere il turpiloquio dal dizionario di autocorrezione: un'impresa titanica.

Secondo quanto racconta l'incaricato di questa missione purificatrice, Christopher Thorpe, all'epoca diciannovenne, l'ispirazione giunse da una mail scritta direttamente a Bill Gates da un uomo che si lamentava di un problema serio di Word che lo riguardava: l'uomo si chiamava Bill Vignola e l'autocorrezione inglese insisteva a correggere il suo nome in Bill Vaginal. C'era anche Goldman Sachs che diventava Goddamn Sachs.

L'onnipresenza di Word all'epoca fece diventare la sua funzione di autocorrezione uno standard di fatto, tanto che nacque il cosiddetto Cupertino effect: la parola inglese cooperation, accettata da Word solo nella grafia britannica co-operation, veniva corretta automaticamente in Cupertino, con ovvio riferimento al quartiere generale di Apple, tanto che i linguisti ora usano il termine cupertino per indicare queste autocorrezioni errate entrate nel lessico a furia di sviste.

Apple spiega la “backdoor” di iOS che facilita la sorveglianza

Un ricercatore d'informatica forense, Jonathan Zdziarski, sostiene che nei dispositivi Apple che usano il sistema operativo iOS (iPhone, iPad, iPod touch) c'è una backdoor, ossia una via d'accesso che consente a un intruso di scavalcare le protezioni di sicurezza (password, PIN eccetera) a e accedere ai dati contenuti nel dispositivo nonostante siano cifrati.

La backdoor, secondo Zdiarski, funziona così: un dispositivo Apple può essere sincronizzato con un computer attraverso il pairing. In questo pairing vengono scambiate chiavi di cifratura e certificati che stabiliscono un canale di comunicazione cifrato (tunnel SSL) fra i dispositivi. Queste chiavi non vengono mai cancellate, tranne quando si ripristina il dispositivo. Un aggressore può quindi infettare il computer di una vittima, estrarne le chiavi di pairing, e poi collegarsi via WiFi al dispositivo iOS. Potrebbe, per esempio, creare una rete WiFi che ha lo stesso nome di quella usata dalla vittima, inducendo il dispositivo Apple a connettervisi automaticamente, e da lì trafugare tutti i dati contenuti nel dispositivo.

Apple ha risposto con un comunicato stampa, confermando l'accesso tramite pairing ma chiamandolo una “funzione diagnostica” necessaria per “sviluppatori, reparti informatici e Apple per la soluzione di problemi tecnici”; inoltre, sottolinea Apple, l'utente deve concedere fiducia al computer al quale si collega e i dati non vengono trasferiti senza il suo consenso (il pairing chiede all'utente un OK).

Zdziarski obietta che la quantità di dati resa accessibile tramite questa “funzione diagnostica” è assolutamente eccessiva: mail, Twitter, iCloud, tutti gli indirizzi della rubrica (comprese le voci cancellate), la cache, le geolocalizzazioni e l'intero album fotografico. C'è un servizio, com.apple.pcapd, che consente il monitoraggio senza fili di tutto il traffico di rete entrante e uscente dal dispositivo iOS. Zdziarski, fra l'altro, usa queste tecniche per sorvegliare i propri figli dotati di iPhone.

A distanza di qualche giorno, Apple ha pubblicato i dettagli tecnici di queste “funzioni diagnostiche”, ma Zdziarski continua a obiettare che i dati accessibili con questa tecnica non c'entrano nulla con la diagnosi dei problemi tecnici e che quest'accesso non dovrebbe essere possibile via Wi-Fi e non dovrebbe scavalcare la cifratura dei backup.

Fonti aggiuntive: Ars Technica.

Gli sciacalli online dei disastri aerei

Sono purtroppo arrivati puntuali, come sempre, i truffatori informatici che si approfittano delle disgrazie di interesse mondiale per truffare: stavolta la notizia riguarda l'abbattimento del volo MH17 della Malaysian Airlines nei cieli dell'Ucraina.

Il Canberra Times e la BBC segnalano che i malfattori hanno creato false pagine Facebook che usano i nomi delle vittime, compresi i bambini. Le pagine false contengono tipicamente un link a un sito che dice di avere informazioni sul disastro aereo ma in realtà scatena un bombardamento di pubblicità per il gioco d'azzardo via Internet, trucchi per fare soldi in fretta, siti pornografici e altro ancora.

Una di queste pagine, in particolare, conteneva un link che annunciava un “video ripreso al momento dello schianto di MH17 in Ucraina” ma portava a un sito porno che chiedeva un numero di telefonino per “verificare” che il visitatore fosse maggiorenne. Chi abbocca regala il proprio numero ai truffatori, che lo useranno probabilmente per intasare la vittima di spam sotto forma di SMS.

Facebook ha rimosso la pagina dopo che le è stata segnalata dalla BBC e chiede agli utenti di segnalare queste pagine truffaldine tramite gli appositi pulsanti presenti sul social network, in modo che Facebook possa venire a conoscenza di queste pagine e cancellarle.

Trend Micro, invece, ha segnalato vari tweet che fanno finta di parlare del volo MH17 ma in realtà contengono link verso spam. Il problema di questi tweet è che molti utenti hanno l'abitudine di retweetare senza verificare, per cui finiscono per promuovere inconsapevolmente questa forma di spam. Twitter, da parte sua, dice che retweetare selvaggiamente può portare alla sospensione permanente dell'account, per cui è meglio stare attenti a quel che si inoltra.

Hacker “attaccano banche svizzere”? Non proprio, risponde MELANI

Allarmati per le notizie recenti di attacchi informatici alle banche svizzere? Tranquilli: il malware Retefe di cui si parla in queste notizie è una vecchia conoscenza dei servizi di sicurezza informatica e le banche si sono già premunite da mesi per contrastarla. Lo dice MELANI, la Centrale d'annuncio e d'analisi per la sicurezza dell'informazione, in risposta a questo articolo di Trend Micro, che parla di un'operazione denominata, con grande sforzo creativo, Emmental.

L'attacco in realtà non prende di mira i siti delle banche, ma i dispositivi utilizzati dagli utenti per effettuare transazioni bancarie via Internet e in particolare la cosiddetta autenticazione a due fattori: in pratica il sito della banca, oltre a chiedere all'utente qualcosa che sa (la password), gli chiede anche qualcosa che ha (per esempio il telefonino, al quale viene inviato un ulteriore codice usa e getta di autenticazione). Se non vengono forniti entrambi i fattori di autenticazione, il sito della banca rifiuta l'accesso.

La tecnica criminale descritta da Trend Micro non si basa sulla consueta infezione del computer della vittima con malware-spia persistente: usa invece un malware che altera la configurazione del computer, specificamente i parametri DNS che indirizzano il traffico dell'utente, e poi si cancella senza lasciare tracce. Questi parametri vengono modificati in modo che quando l'utente digita il nome di un sito attendibile (per esempio la propria banca), il computer lo porti al sito dei truffatori, che è realizzato a immagine e somiglianza di quello della banca e che usa un certificato SSL di provenienza illecita per sembrare ancora più credibile.

A questo punto il sito-trappola invita l'utente a installare un'app Android, dicendo che si tratta di un generatore di codice di sessione. Invece l'app cattura gli SMS provenienti dalla banca e li dirotta su un computer o un telefonino gestiti dai truffatori. In questo modo i criminali ottengono il primo fattore di autenticazione (login e password) tramite il falso sito e il secondo fattore attraverso l'app. Hanno quindi tutto quel che serve per violare il conto della vittima.

La difesa contro questo attacco piuttosto sofisticato è in realtà semplice: basta non installare app che non provengono da Google Play. MELANI sottolinea inoltre che le banche svizzere non chiedono mai ai propri clienti di fornire informazioni di connessione o di installare un'app su uno smartphone, ricorda la necessità di installare un antivirus, di attivare e aggiornare regolarmente un firewall, di aggiornare il sistema operativo e il browser insieme a tutti gli altri software installati, e di fare attenzione alle mail di origine sconosciuta che contengono allegati o link.

Promemoria: ci vediamo stasera a Spotorno?

Come avevo preannunciato, stasera sarò a Spotorno per Scienza Fantastica, rassegna di scienza, fantascienza e dintorni organizzata dal Comune di Spotorno: oltre alla premiazione del concorso letterario di fantascienza, terrò una conferenza divulgativa sul tema di quest'anno della rassegna, ossia l'intelligenza artificiale. L'ho intitolata, con un'ovvia citazione, Gli androidi sognano pecore elettriche?

L'appuntamento è a Piazza della Vittoria alle 21,30. L'ingresso è libero per tutte le forme di vita senzienti, androidi e replicanti compresi.

2014/07/20

Se volete seguire l’allunaggio in tempo reale, fate partire questo video alle 22:03 italiane stasera

Il video Contact Light che potete vedere qui sotto (meglio se a tutto schermo) ripercorre in tempo reale l'allunaggio di Apollo 11, di cui stasera si celebra il quarantacinquesimo anniversario. Se lo fate partire esattamente alle 22:03 italiane, potrete assistere allo sbarco sulla Luna meglio di quanto fu possibile allora, durante gli eventi: infatti non furono trasmesse immagini in diretta dal veicolo di allunaggio, ma la discesa fu ripresa su pellicola cinematografica 16mm, che rimase a bordo. Dopo il ritorno a Terra dell'Apollo 11, fu sviluppata e finalmente mostrata al mondo. In diretta, 45 anni fa, ci fu soltanto la voce degli astronauti, trasmessa via radio dalla Luna.

Inoltre la traduzione di allora della RAI, complice anche un segnale molto distorto, non fu delle migliori, e ci fu anche il famoso battibecco fra Tito Stagno e Ruggero Orlando per annunciare l'esatto momento di contatto con la superficie lunare; in questo video, invece, ci sono i sottotitoli in italiano che traducono integralmente quello che dissero gli astronauti e c'è l'indicazione della quota e della velocità. Se preferite la versione sottotitolata in inglese, è qui.

Altra chicca assente nella diretta di 45 anni fa: in Contact Light c'è incluso anche quello che si dissero privatamente i due astronauti durante l'allunaggio. Le loro parole furono infatti raccolte dal registratore di bordo.


Se siete assidui frequentatori di questo blog, sapete già che questo video fa parte del mio progetto Moonscape, che ricostruisce l'allunaggio e l'escursione lunare di Neil Armstrong e Buzz Aldrin. Moonscape esiste e continua a crescere soltanto grazie al vostro contributo di lavoro e di donazioni per acquistare i diritti e i riversamenti digitali diretti delle pellicole e delle fotografie di allora. Se volete saperne di più e/o collaborare, visitate Moonscape.info.

Per i curiosi: il video s'intitola Contact Light (spia di contatto) perché queste furono le primissime parole pronunciate sulla Luna (l'annuncio di Neil Armstrong “L'Aquila è atterrata” arrivò alcuni secondi dopo). Sotto le zampe del veicolo, infatti, c'erano delle sonde di contatto, lunghe circa 170 centimetri, e quando una di queste sonde entrava in contatto con il suolo si accendeva in cabina una spia etichettata appunto Contact light. Quando Buzz Aldrin vide accendersi la spia, lo annunciò via radio, per cui le prime parole pronunciate in contatto con la superficie lunare sono sue, non di Neil Armstrong.

2014/07/19

Il 20 luglio ci vediamo a Volandia per festeggiare insieme l’allunaggio su grande schermo?

Il Museo del Volo di Volandia, a due passi dall'aeroporto di Malpensa, organizza per la sera del 20 luglio una maratona televisiva per seguire in compagnia di esperti e appassionati la trasmissione Stregati dalla Luna della Rai, che ripercorrerà in tempo reale la notte di 45 anni fa che vide i primi esseri umani mettere piede su un altro mondo, in diretta TV planetaria.

Il padiglione Spazio di Volandia sarà aperto per l'occasione dalle 20 fino all'una del mattino, con ingresso gratuito. L'evento è a numero chiuso, per cui è consigliabile prenotarsi scrivendo a booking@volandia.it oppure telefonando al numero italiano 0331-230007. Io ci sarò, e porterò con me un paio di chicche spaziali rare da condividere con i partecipanti.

Se la trasmissione rispetta il tempo reale come previsto, il momento clou dell'allunaggio verrà trasmesso alle 22:17. L'escursione degli astronauti sulla superficie della Luna è all'alba, dalle 4.57 in poi, dopo la chiusura del Museo, per cui andrà seguita sintonizzandosi su Rai Scuola (canale 147 oppure canale 33 Tivusat).

Un gruppo d'ascolto sarà aperto anche presso l'Osservatorio Astronomico di Tradate.

2014/07/18

Microsoft dice che le password deboli servono e vanno riusate. Non ha tutti i torti

È una delle regole fondamentali della sicurezza informatica, ripetuta fino alla nausea, che le password debbano essere complesse e che si debba usarne una differente per ciascun sito, allo scopo di rendere difficile agli aggressori il compito di indovinarle e ridurre la propagazione del danno (se riescono a trovarne una, non potranno riusarla sugli altri account dell'utente). Ora un trio di ricercatori della Microsoft mette in discussione questo dogma con un articolo tecnico intitolato Password portfolios and the Finite-Effort User: Sustainably Managing Large Numbers of Accounts.

La loro idea di base è che la nostra capacità di ricordare è limitata, per cui non possiamo tenere a mente tante password complicate: meglio allora andare contro il dogma e usare password semplici per i siti a basso rischio o che non comportano nessun rischio, in modo da riservare per i siti importanti le password sofisticate.

Non hanno tutti i torti: ci sono molti siti che chiedono di creare login e password per avere accesso a dati che se diventassero pubblici non comporterebbero alcun problema. Per esempio, serve davvero una password di sedici caratteri, con obbligo d'includere cifre e simboli di punteggiatura, su un sito che permette di aggiungere didascalie a immagini di gatti? Chi usa uno pseudonimo per creare su Instagram un account nel quale non pubblica foto personali o altri dati identificativi ha davvero bisogno di una password di livello bancario?

La proposta dei ricercatori di Redmond è pragmatica: posto che nonostante tutte le raccomandazioni un inglese su 25 usa la stessa password su tutti i propri account e che in media gli utenti britannici usano in tutto cinque password differenti per proteggere i propri ventisei account, tanto vale adeguarsi alla realtà.

Un altro dogma che viene messo in discussione è il reset periodico delle password, imposto spesso sui luoghi di lavoro: secondo i ricercatori, l'obbligo non rafforza la sicurezza ma la indebolisce, perché spinge gli utenti a scegliere password più facili da ricordare.

La foto del “bracconiere di dinosauri” infiamma la Rete? Un momento

Se ne parla un po' dappertutto: un utente di Facebook, Jay Branscomb, ha pubblicato una foto di Steven Spielberg scattata sul set di Jurassic Park accanto a un modello in grandezza naturale di un triceratopo, l'ha condita con una didascalia nella quale la definiva una “foto vergognosa di un cacciatore per diletto che posa allegramente accanto a un triceratopo che ha appena massacrato. Condividete, affinché il mondo possa dare un nome a quest'uomo riprovevole e svergognarlo”.

Alcuni utenti non hanno capito l'umorismo della didascalia, non hanno riconosciuto né Spielberg né tanto meno il dinosauro, e hanno preso sul serio le parole di Jay Branscomb, commentandole con indignazione. La foto è stata commentata oltre 5000 volte e condivisa oltre 30.000, spingendo alcuni a presentarla come una dimostrazione dell'ignoranza abissale degli utenti di Facebook, che non solo non sanno identificare uno dei più famosi registi contemporanei ma non sanno neppure che i dinosauri sono estinti da qualche milione di anni.

Ma in realtà non è possibile sapere se i commenti sono seri o se sono invece una risposta altrettanto umoristica alla battuta iniziale di Branscomb, e comunque 30.000 condivisioni sono nulla rispetto al miliardo e 300 milioni di utenti di Facebook: non rispecchiano di certo la visione o la cultura generale di tutti gli utenti di questo social network.

Si tratta probabilmente, insomma, di quella che in inglese viene chiamata manufactroversy, ossia una controversia fabbricata a tavolino per ottenerne un guadagno. Il guadagno, in questo caso, deriverebbe dalle visite degli utenti a siti come il Daily Mail britannico, che ospitano questa “notizia” e ne approfittano per propinare pubblicità agli utenti.


Come fa una sola persona a scrivere quasi 3 milioni di voci di Wikipedia?

Sta circolando in Rete la notizia che un uomo solo, il cinquantatreenne svedese Sverker Johansson, sarebbe l'autore di 2,7 milioni di articoli di Wikipedia. In altre parole, da solo avrebbe redatto l'8,5% di tutti gli articoli dell'enciclopedia online. Certo, ci avrebbe messo sette anni, diventando il redattore più prolifico in assoluto, ma anche così si tratterebbe di una media impressionante che potrebbe far dubitare dell'attendibilità di Wikipedia. Sembra improbabile, ma la notizia è reale. Però c'è il trucco.

Johansson, infatti, utilizza un software che genera automaticamente gli articoli attingendo a fonti attendibili. Ovviamente questo metodo funziona bene soltanto in alcuni campi nei quali l'informazione è ben strutturata e non ambigua, e infatti Johansson genera solitamente articoli sulla classificazione delle specie animali più disparate oppure sulle località filippine (sua moglie è delle Filippine).

Il suo software, chiamato Lsjbot, riesce a partorire fino a 10.000 voci dell'enciclopedia in un giorno. Certo, sono soltanto abbozzi, ma sono la base sulla quale altri, poi, possono costruire i dettagli trovandosi già pronta tutta la parte standard automatizzabile.

La pratica è controversa anche per i Wikipediani, e Johansson non è l'unico a usare software per creare articoli: anzi, la percentuale di contenuto generata in questo modo è in aumento. Del resto ci sono tantissimi argomenti per i quali non ci sono autori disposti a spendere anni a scrivere a mano contenuti, per cui il software è meglio di niente. In ogni caso le voci generate da sistemi automatici sono identificate chiaramente come tali in Wikipedia, per cui l'utente è avvisato.

La farsa del “diritto all’oblio” online: nasce il servizio che rivela cosa è stato rimosso

L'articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2016/08/13 17:00.

Di recente l'Unione Europea ha imposto a Google di rimuovere certi link dai propri risultati, in nome del “diritto all'oblio”. Ma la norma vale soltanto per le ricerche effettuati da utenti i cui computer risultano essere nell'Unione Europea.

Per cui basta usare Google.com invece di Google.it o Google.fr e simili (meglio se da un indirizzo IP non-UE reale o simulato con un tunnel/proxy, ma non sempre è necessario) per vedere anche i risultati rimossi.

Ovviamente è nato Hidden from Google, un servizio che cataloga i risultati censurati e permette di sapere che cosa non si vuole che gli utenti UE possano leggere, attirando quindi maggiore attenzione proprio su quello che si voleva nascondere.

Certo, la norma UE serve per proteggere gli innocenti. Ma guardate chi sta usando la norma per nascondersi a Google e al mondo: Scientology su Der Spiegel, banche sulla BBC, pedofili confessi e condannati, e molto altro. Non vengono rimossi blog offensivi di dilettanti rabbiosi, ma pagine di giornalismo autorevole.

Per esempio, ho cercato in Google.ch “Fred Anton” (tra virgolette) insieme a scientology da un mio IP in UE (o Svizzera): l'articolo di Der Spiegel che lo cita in relazione a Scientology, datato 1995, non compare. Compare invece questo (notate l'ultima riga e il fatto che ora viene elencato il risultato citato da Hidden from Google):


Se immetto la stessa ricerca in Google.com riappare il risultato oscurato. Se vi sembra molto simile a una censura, e se vi sembra assolutamente inutile, non siete i soli. Di certo è un Effetto Streisand perfetto: non appena vedi l'avviso di Google che mi dice che è stato rimosso qualcosa, ti viene la curiosità di sapere cos'è. E lo puoi sapere.

Disastro aereo in Ucraina, attenzione alle immagini false e alle trappole

Il disastro del volo MH17 caduto in Ucraìna (a quanto pare in seguito a un attacco missilistico) ha scatenato anche gli sciacalli della Rete. Rimbalzano infatti sui social network e in generale su Internet immagini scioccanti dell'area dello schianto, ma molte sono falsi di pessimo gusto.

Un esempio è qui accanto: si tratta di una manipolazione di un fotogramma tratto da telefilm Lost. Vedete l'originale qui sotto, tratto dagli archivi di Getty Images. Un altro esempio è questo video, che in realtà non si riferisce al volo MH17.

Come sempre in questi casi, quando una notizia crea grande clamore e interesse si scatenano i creatori di falsi siti di scoop e di campagne di mail, tweet e post su Facebook che propongono link a immagini e rivelazioni sensazionali ma portano in realtà a siti che tentano di infettare gli utenti, per esempio chiedendo di installare un apposito software visualizzatore.

Non cascateci: se vi servono informazioni su questa tragica notizia, state sui siti delle principali testate giornalistiche, su Wikipedia o Flightradar24, e non fidatevi di inviti, neppure se vi arrivano da persone che conoscete.

2014/07/16

BeppeGrillo.it e i macachi di Modena: se siete nel giusto, perché falsificate i video?

Questo articolo vi arriva grazie alla gentile donazione di “magget*”.

BeppeGrillo.it ha pubblicato una petizione affinché “sia immediatamente interrotta la sperimentazione su primati presso lo stabulario dell'Università di Modena e Reggio Emilia” e un video che mostra presunti cinismi e crudeltà dichiarate dagli sperimentatori. Nella diffusione del video è coinvolto anche Paolo Bernini (quello del microchip sottopelle), che ha contribuito alla sua realizzazione.

Pensatela come volete sulla sperimentazione animale; le opinioni sono libere, ma i fatti sono fatti e sono uguali per tutti, ed è meglio conoscerli prima di farsi un'opinione. Soprattutto se poi c'è chi vuole manipolare le opinioni presentando distorsioni e falsificazioni.

Fatto: il video è stato montato scegliendo ad arte le dichiarazioni dei ricercatori in modo da farli sembrare cinici e spietati vivisezionisti.

Per esempio, il video cita una voce che dice che si tratta di “esperimenti condotti in assenza di anestesia”. Detto così, a prima vista sembra che i ricercatori aprano la testa ai macachi mentre sono svegli, per il gusto di far soffrire una creatura. In realtà l'operazione chirurgica necessaria per preparare la sperimentazione (inserimento di elettrodi sensibilissimi nel cervello) viene effettuata eccome in anestesia; è l'esperimento che avviene senza anestesia. Differenza fondamentale, perché la sperimentazione consiste nel vedere quali impulsi viaggiano nel cervello quando il macaco esegue dei compiti e quindi sarebbe difficile farglieli fare in anestesia, e perché il cervello non prova dolore (lo si vede anche nella chirurgia umana).

Un altro esempio: il video sceglie anche una frase di una persona che dice che “essendo ricerca di base ha il puro scopo della conoscenza”. Presa così e tolta dal suo contesto, la frase dà l'impressione che questi ricercatori ficchino elettrodi nei cervelli dei macachi un po' a caso, per vedere che succede e per il puro piacere della conoscenza fine a se stessa, senza lo scopo di curare qualche malattia specifica.

Forse chi pensa ai microchip magici ha una visione poco chiara di come funziona la scienza: la ricerca di base non è astratta. Si chiama di base perché è il fondamento indispensabile sul quale poggiano le ricerche delle cure delle malattie. Niente ricerca di base, niente cure. Se qualcuno pensa che le scoperte mediche emergano belle e pronte da asettici laboratori pieni di grandi pensatori con regoli calcolatori e foglietti di carta, ha bisogno di un ripasso urgente di realtà.

Quello che stanno dicendo i ricercatori, prudentemente, è che non possono garantire che la loro ricerca fornirà specificamente una cura per questa o quella malattia: semplicemente, se non sappiamo come funziona di base il cervello, non potremo mai sviluppare cure per le sue malattie. Sarebbe come pretendere che il vostro meccanico vi ripari l'auto che non va senza sapere come funziona un motore a scoppio.

Veniamo al colpo più basso: la foto della siringa piantata vicino all'occhio di un macaco. Raccapricciante. Ma non proviene dallo stabulario di Modena e non è una crudeltà inutile: è il test della tubercolina, necessario per evitare che la tubercolosi si diffonda fra gli animali. Se avete un gatto o un cane, sapete bene che a volte le siringhe servono anche dal veterinario. Non sono un bello spettacolo, ma servono. Ma c'è chi invece sceglie di prendere un'immagine che non c'entra nulla con la situazione di Modena, la toglie dal suo contesto e la carica di emozioni che impediscono di riflettere.

Questi sono metodi disonesti. Selezionare ad arte le immagini, tagliare e rimontare le dichiarazioni, fraintendere quello che è stato realmente detto, affrontare i temi senza saperne nulla e senza consultare gli esperti, fidandosi soltanto delle proprie sensazioni di pancia e dei propri preconcetti, non è informazione: è il repertorio tipico del complottismo più inutile.

Se volete saperne di più e verificare i fatti, leggete Autismo: una speranza grazie alla ricerca sui macachi dello stabulario di Modena; La verità sullo stabulario di Modena; Esperimenti comportamentali secondo il Cittadino Paolo Bernini. Poi leggete questa guida di Telethon sui fatti della sperimentazione animale. e sentite anche la campana diretta degli accusati, ossia dei ricercatori, in questo video:


Lo so, ci vuole tempo, ed è tutto più facile se si ignorano i fatti e si decide con l'intestino invece che con il cervello: dal cervello emergono soluzioni, dall'intestino... no. A voi la scelta.

Bufale e Luna stasera a Modena

Stasera alle 19, presso i Giardini Ducali (Parco Ducale Estense) di Modena, parteciperò alla serata Sotto la Luna con un incontro pubblico sul tema delle bufale della Rete e dei complottismi online, raccontando come funziona (o non funziona) l'informazione in Rete ma anche sui media tradizionali che attingono a Internet.

Visti il titolo e la ricorrenza (45 anni fa partivano per la Luna i primi uomini a mettervi piede), parlerò anche di complottismi lunari e più seriamente dell'esplorazione spaziale. Ci sarà ampio spazio per le domande e le curiosità, e alla fine ci sarà una sonorizzazione-spettacolo musicale basato sul mio documentario Moonscape. Non chiedetemi cosa vuol dire; sarà una sorpresa anche per me.

Ci saranno stand gastronomici e di artigianato e gazebo dedicati a diverse associazioni, con un aperitivo, cena e dopocena curati da alcuni ristoratori della zona; dopo il tramonto sarà possibile partecipare alle osservazioni astronomiche curate dal Planetario Comunale “F. Martino”. Sono previsti anche altri stand di divulgazione scientifica, grazie alle associazioni culturali “J.W. Draper” e “Inco.Scienza” e mostre fotografiche.

Trovate maggior dettagli sulla scaletta della serata, che ha un'impronta decisamente informale e divulgativa, presso il sito del Comune di Modena e su Modena24.net.

2014/07/15

Stregati dalla Luna: la Rai celebra lo sbarco sulla Luna mostrando anche “Moonscape” (con trailer)

Moonscape, il mio documentario che restaura in HD e risincronizza le immagini dello sbarco sulla Luna di cui si celebra tra pochi giorni il quarantacinquesimo anniversario, verrà trasmesso dalla Rai all'interno dello speciale Stregati dalla Luna che andrà in onda come allora ininterrottamente per 12 ore, dalle 21.00 del 20 luglio alle 9 del 21 luglio su Rai Scuola, visibile sul canale 146 del digitale terrestre e sul 33 di Tivùsat e in streaming all’indirizzo www.raiscuola.rai.it/direttatv.aspx.

Il programma sarà condotto da Luigi Bignami, che lo firma insieme a Renzo Salvi e al regista Dario Barezzi. La trasmissione ripercorre tutta la diretta dell’epoca, sincronizzata al secondo (la successione e l’orario degli avvenimenti sono rigidamente rispettati), e ripropone immagini dell’epoca ritrovate nelle teche della Rai oltre a Moonscape.

Fra gli ospiti in studio ci saranno (cito il comunicato stampa Rai) “gli scienziati dell’Università di Pavia Chiara Domeneghetti e Cesare Perotti, che hanno analizzato frammenti di superficie lunare, e il direttore del Museo della Scienza e della Tecnologia di Milano, Fiorenzo Galli, che mostrerà per la prima volta la tuta che i russi avrebbero utilizzato se fossero arrivati per primi sulla luna. Il fotografo Edo Prando spiega invece come vennero scattate le fotografie dello sbarco, smontando la teoria complottista negazionista dell’allunaggio, costruita sulle incongruenze delle immagini.”

Ci sarà anche un collegamento esterno con il Museo del Volo di Volandia (Somma Lombardo), dove verrà mostrato il funzionamento del modulo di comando della missione Apollo, che è riprodotto a grandezza naturale presso il Museo, e delle tute spaziali americane.

In occasione di Stregati dalla Luna, presso l'Osservatorio Astronomico di Tradate FOAM13 (via ai Ronchi 75) si terrà una serata speciale, a partire dalle 20:30, per seguire insieme la trasmissione e fare (meteo permettendo) osservazioni astronomiche con gli esperti di astronomia ed esplorazione spaziale.

Qui sotto potete vedere il trailer della trasmissione, che avevo preannunciato qualche tempo fa:




Come dicevo alla Cena dei Disinformatici, è un risultato eccezionale che è merito dell'aiuto di tanti di voi (oltre 500) che hanno contribuito sia con donazioni per l'acquisto di filmati e software, sia con lavoro di elaborazione grafica, sottotitolazione e controllo incrociato. Grazie!


Ci vediamo a Volandia per l'allunaggio?


Sempre per la trasmissione di Stregati dalla Luna, il Museo del Volo di Volandia (dove c'è esposta la replica della capsula Apollo usata per il programma, frutto del lavoro di appassionati coordinati da Luigi Pizzimenti, curatore del padiglione Spazio del Museo) ha organizzato una proiezione del documentario su grande schermo alla presenza di esperti, a disposizione per le domande dei partecipanti. La serata a Volandia inizierà alle 20; l'allunaggio verrà trasmesso poco dopo le 22. A Volandia ci sarò anch'io, con un po' di penne USB contenenti Moonscape per chi non ha modo di scaricarsi tutti e 13 i giga di file video che lo costituiscono.

Queste sono alcune immagini scattate dietro le quinte della produzione della trasmissione: i due archeoastronauti sono Luigi Pizzimenti e Luigi Bignami.



2014/07/14

Umorismo nerd: fisica

Heisenberg e Schrödinger sono in auto insieme. Un poliziotto li fa accostare e chiede: “Sapete a che velocità stavate andando?”.

Risponde Heisenberg: “No, però so dove mi trovo”.

La risposta fa insospettire l'agente, che chiede di aprire il bagagliaio dell'auto. Ci guarda dentro ed esclama: “Ma sapevate che dentro il bagagliaio c'è un gatto morto?”

Stavolta risponde Schrödinger: “Ora sì”.


(da George Takei)

Doctor Who, la prossima puntata è finita online. Tranquilli, non faccio spoiler

Questo articolo vi arriva grazie alla gentile donazione di “lori10*” ed è stato aggiornato dopo la pubblicazione iniziale.

Sono finiti online non solo i copioni, ma anche il video integrale della prossima puntata di Doctor Who, attesissima dai fan (me compreso) per il debutto di Peter Capaldi nei panni del Dottore, previsto per il 23 agosto prossimo. Non vi preoccupate: qui non rivelo nulla della trama.

Il video (che ho visto soltanto in parte per controllarne l'attendibilità) è in bianco e nero, non ha la colonna sonora musicale, è più lungo di una puntata normale e ha gli effetti speciali ancora incompleti e la sigla della stagione precedente. Se lo guardate, quasi sicuramente vi guasterete la puntata; può essere un cimelio interessante soltanto dopo la messa in onda della puntata, per vedere le differenze rispetto al prodotto finito.

A parte questo, è interessante capire la dinamica della fuga di immagini da una produzione comprensibilmente ossessionata dal segreto come quella di Doctor Who.

Il Radio Times (copia su Archive.is) ha dato la notizia della fuga del materiale, dicendo che i file dei copioni e dei video delle prime cinque puntate erano reperibili attraverso una ricerca in Google, perché erano stati messi online, su un server della BBC di nome BBCmiami.com, piazzandoli in chiaro (senza cifrarli) e in una directory indicizzata da Google e pubblicamente accessibile senza neanche una password. E come si chiamava la directory? Doctor Who Season 8.

Credit: Graham Cluley


Un fail che ridefinisce il concetto di epic, dal punto di vista informatico. Un errore dilettantesco multiplo che conferma che c'è ancora troppa gente che ragiona in termini di security through obscurity: non c'è bisogno di proteggere i dati con la crittografia o gli accessi limitati, basta che li metti in un posto pubblico senza però dire a tutti dove sono. È l'equivalente informatico della chiave di casa sotto lo zerbino. Ma nell'era dei motori di ricerca, che vedono e catalogano qualunque cosa sia alla loro portata, questo è un modo di pensare pericolosamente stupido.

Se ve lo state chiedendo, il Marcelo Camargo at Drei Marc nel sottotitolo è presumibilmente un riferimento a questa azienda brasiliana di sottotitolazione.


Aggiornamento (2014/07/14 11:50): La BBC dice che la fuga di materiale è stata causata da un ufficio della BBC negli Stati Uniti (“BBC Worldwide said the breach was caused by a BBC office in the US”).


Aggiornamento (2014/07/14 13:20): Guardate questa sigla iniziale amatoriale per la nuova stagione di Doctor Who: ha attirato l'attenzione del Radio Times e a giudicare dai credits nei copioni trafugati (immagine qui accanto) la BBC avrebbe deciso di usarla come ispirazione per la sigla effettiva, con tanto di riconoscimento ufficiale all'autore, Billy Hanshaw.

Se confermata, sarebbe una bella dimostrazione di come i fan possono essere visti come alleati da coltivare invece che come pirati da reprimere.

2014/07/13

Si avvicina il 45° anniversario dello sbarco sulla Luna: gli orari italiani degli eventi salienti



Sto producendo un livetweet (già in corso su @AttivissimoLIVE) e un blog fotografico (Apollo 11 Timeline) per celebrare in tempo reale il quarantacinquesimo anniversario dello sbarco sulla Luna di Apollo 11, a partire dal decollo della missione il 16 luglio.

Se per caso avete intenzione di festeggiare in tempo reale le tappe salienti del viaggio, magari possono esservi utili alcuni orari italiani di riferimento, tratti dalla documentazione dell'epoca: quello che vedete qui sopra è un campione della mia collezione di giornali e riviste originali di 45 anni fa, donatimi gentilmente da Renato e Giorgio Villella e da Daniele Bolognari.

Fra l'altro, il quarantacinquesimo anniversario cade negli stessi giorni della settimana nei quali si svolsero gli eventi originali, per cui l'effetto “tempo reale” è ancora più forte.

– Decollo dalla Terra: 15:32 italiane, 9:32 della Florida, 8:32 di Houston di mercoledì 16 luglio
– Allunaggio: 22:17 italiane di domenica 20 luglio
– Primo passo di Neil Armstrong sulla Luna: 4:57 italiane di lunedì 21 luglio
– Ripartenza dalla Luna: 19:54 italiane di lunedì 21 luglio
– Riaggancio del modulo lunare Eagle al modulo di comando e servizio Columbia in orbita lunare: 23:34 italiane di lunedì 21 luglio
– Ammaraggio nell'Oceano Pacifico e fine della missione: 18:50 italiane, 11:50 di Houston di giovedì 24 luglio

12 regole per fiutare un articolo di scienza fuffaldina

Questo articolo vi arriva grazie alla gentile donazione di “rsigno*” e grazie alla segnalazione di @happy_cactus. Il suo testo, essendo traduzione di un documento su licenza Creative Commons, è liberamente copiabile e usabile secondo le norme della suddetta licenza.

Compoundchem.com ha pubblicato qualche tempo fa una bella infografica su come riconoscere un articolo che si ammanta di un'apparenza scientifica ma in realtà è fuffa nel migliore dei casi e truffa nel peggiore. L'ho tradotta al volo; se trovate errori o migliorie possibili, segnalatemele.

Guida rapida per riconoscere la cattiva scienza

1. Titoli sensazionalisti

I titoli degli articoli vengono concepiti normalmente per indurre i lettori a cliccare e leggere l'articolo. Nel caso migliore semplificano eccessivamente i risultati della ricerca; nel peggiore li esprimono con toni sensazionalisti e li presentano in modo distorto.


2. Risultati fraintesi

Gli articoli dei media generalisti a volte distorcono o interpretano male, intenzionalmente o meno, i risultati di una ricerca pur di tirarne fuori una buona storia. Se possibile, cercate di informarvi leggendo la ricerca originale invece di affidarvi all'articolo che l'ha usata come base.


3. Conflitto d'interessi

Molte aziende stipendiano gli scienziati per svolgere e pubblicare ricerche: anche se questo non invalida necessariamente una ricerca, occorre analizzarla tenendo presente questo fatto. La ricerca può inoltre essere presentata in modo ingannevole per un tornaconto personale o economico.


4. Correlazione e causalità

Diffidate della confusione fra correlazione e causalità. La correlazione tra due variabili non implica automaticamente che una sia la causa dell'altra. Il riscaldamento globale è aumentato dal 1800 e il numero dei pirati è diminuito, ma la penuria di pirati non causa il riscaldamento globale.


5. Linguaggio ipotetico

Le ipotesi che derivano da una ricerca sono semplicemente, appunto, ipotesi: fate attenzione a parole come “potrebbe”, “forse” e simili, perché è improbabile che la ricerca fornisca sostegno concreto alle conclusioni proposte dopo queste parole.


6. Campione troppo piccolo

Negli esperimenti, più è piccolo il campione, meno sono affidabili i risultati ottenuti da quel campione. Le conclusioni che vengono tratte vanno valutate tenendone conto, anche se a volte un campione ristretto è inevitabile. Se un campione più grande era disponibile ma non è stato usato, questo può essere motivo di sospetto.


7. Campioni non rappresentativi

Nella sperimentazione umana, i ricercatori tendono a selezionare individui che rappresentano una popolazione più ampia. Se il campione è differente dall'intera popolazione, le conclusioni possono essere altrettanto differenti.


8. Mancanza di un gruppo di controllo

Nei test clinici, i risultati dei soggetti di un test vanno confrontati con un “gruppo di controllo” al quale non è stata somministrata la sostanza testata. I gruppi dovrebbero inoltre essere assegnati in modo casuale. Negli esperimenti generali, è necessario usare un test di controllo nel quale sono controllate tutte le variabili.


9. Mancato uso di test in cieco

Per evitare qualunque distorsione, i soggetti non devono sapere se fanno parte del gruppo di test o del gruppo di controllo. Nei test in doppio cieco, neppure i ricercatori devono sapere a quale dei due gruppi appartiene un soggetto fino a dopo la conclusione del test. Va notato che il test in cieco non è sempre fattibile o eticamente accettabile.


10. Risultati selezionati ad arte

La selezione ad arte sceglie dagli esperimenti i dati che avvalorano la conclusione di una ricerca e ignora quelli contrari. Se un articolo di ricerca trae conclusioni da una selezione dei propri risultati invece che da tutti, può darsi che stia facendo selezione ad arte (cherry-picking).


11. Risultati non replicabili

I risultati devono essere replicabili da una ricerca indipendente e verificati in una vasta gamma di condizioni (se possibile) per assicurarsi che siano generalizzabili. Affermazioni straordinarie richiedono prove straordinarie: in altre parole, richiedono molto più di un singolo studio indipendente.


12. Riviste e citazioni

Una ricerca pubblicata nelle riviste scientifiche più importanti avrà subìto un processo di revisione, ma può essere comunque difettosa, per cui va valutata tenendo conto di questi fatti. Allo stesso modo, un numero elevato di citazioni non implica necessariamente che una ricerca è tenuta in alta considerazione.

Comunicazione di servizio: sui commenti e sulla libertà d’espressione

Ogni tanto arriva qui, come in tanti altri blog, qualcuno che fa lo splendido e poi s'adira quando i suoi commenti non vengono accettati, insinuando che è stata lesa la sua libertà d'espressione. Vorrei ricordare un concetto che a molti di questi cavalieri del commento pare sfuggire:

Il diritto d'espressione non implica che qualcuno debba stare a sentire o ospitare le tue stronzate. Non ti mette al riparo dalle critiche o dalle conseguenze di quello che dici. Se ti prendono in giro, ti boicottano, ti bloccano, ti bandiscono da un forum, il tuo diritto d'espressione non è stato violato. Non ti stanno censurando. Semplicemente, le persone che ti hanno ascoltato pensano che tu sia uno stronzo e ti stanno accompagnando alla porta.


Questa comunicazione di servizio è stata ispirata da xkcd.

2014/07/12

Disinformatico radiofonico di ieri, podcast scaricabile; disponibile l’archivio completo

La Radiotelevisione Svizzera ha messo online il podcast della puntata di ieri del Disinformatico radiofonico. Questi sono i link agli articoli di accompagnamento:

Archeoinformatica: il Millennium Bug e l'esercito degli zombi

Quanti informatici ci vogliono per cambiare una lampadina “smart” vulnerabile?

Yo, l’app inutile diventa utile. Dopo essere stata violata

Youtube, come attivare dei controlli parentali. O quasi

I dispositivi Android azzerati non sono davvero azzerati, ma niente panico


Fra l'altro, dato che gran parte delle puntate del Disinformatico non sono più disponibili sul sito della RSI, le ho messe online. Trovate tutte le annate, a partire dall'ormai lontano 2006. Abbiate pietà.

2014/07/11

Archeoinformatica: il Millennium Bug e l’esercito degli zombi

Ricordate il Millennium Bug? La catastrofe tecnologica che si sarebbe dovuta abbattere sull'umanità informatizzata alla fine del 1999 a causa del fatto che i computer, usando soltanto due cifre per rappresentare gli anni, non avrebbero gestito correttamente il passaggio al 2000 e avrebbero interpretato l'anno nuovo come 1900?

All'epoca c'era chi prevedeva che gli aerei in volo sarebbero precipitati e che le banche sarebbero crollate. Invece la data fatidica passò tutto sommato senza grandi incidenti, tanto che molti oggi pensano che si trattasse di un falso allarme inventato per lucrare sulle paure tecnologiche.

Chi lavorava in quel periodo nel settore informatico, invece, sa che il problema era reale e fu risolto investendo risorse ingenti per controllare e correggere il software sia nei computer, sia nei dispositivi elettronici. Infatti il Millennium Bug ogni tanto torna a colpire, anche a distanza di quattordici anni, chi non ha fatto bene questi controlli.

Per esempio, dalla Pennsylvania arriva la notizia che il governo dello stato ha inviato perentorie richieste scritte di annunciarsi per il servizio militare a circa 14.000 persone, informandole che la mancata comunicazione delle coordinate di reperibilità in caso di chiamata alle armi era “punibile con una sanzione e con una pena detentiva”. Solo che queste persone erano nate fra il 1893 e il 1897 e quindi non più in grado di svolgere il servizio militare per ovvie ragioni: il più giovane avrebbe oggi 117 anni.

A quanto risulta, il governo federale degli Stati Uniti non voleva creare un corpo speciale di soldati zombi; si è trattato della coda lunga del Millennium Bug. Un impiegato del Dipartimento dei Trasporti della Pennsylvania aveva trasferito al Selective Service (che si occupa del tracciamento dei cittadini convocabili per la leva in caso di guerra) i dati di circa 400.000 persone senza selezionare il secolo, per cui aveva messo insieme i maschi nati fra il 1993 e il 1997 e quelli nati un secolo prima.

L'errore non era stato notato perché la Pennsylvania utilizza ancora un campo a due sole cifre per indicare l'anno di nascita; l'hanno fatto notare i discendenti dei candidati soldati zombi, quando hanno iniziato a ricevere lettere intestate a nonni e bisnonni.

Il Dipartimento dei Trasporti ha chiesto scusa e ha detto che le lettere errate possono essere cestinate.

Quanti informatici ci vogliono per cambiare una lampadina “smart” vulnerabile?

“Internet delle cose” è lo slogan del momento e rappresenta l'idea che gli oggetti più disparati e impensabili dialoghino tra loro via Internet e senza fili; orologi, bilance televisori, lampadine, allarmi antifumo, defibrillatori, telecamere di sorveglianza. Si stima che entro il 2020 ci saranno oltre 26 miliardi di oggetti con Internet integrata. Sembra un'idea geniale, perché l'interconnessione consente di fornire servizi nuovi e utili e ridurre i costi, ma se non è realizzata con criterio diventa un rischio.

Molte aziende che non hanno esperienza di sicurezza informatica stanno integrando Internet nei propri dispositivi senza le dovute cautele e competenze, e i risultati si vedono: per esempio, è emersa di recente una falla che permetteva a chiunque fosse a portata di Wi-Fi di prendere il controllo delle lampadine “intelligenti” della LIFX.

Queste lampadine LED sono appunto interconnesse via Wi-Fi in modo da poter essere accese e spente tramite uno smartphone abilitato. Ma condividevano le credenziali di accesso alla rete Wi-Fi senza protezione adeguata, per cui era facile rubare queste credenziali semplicemente studiando come erano fatte le lampadine, analizzando il traffico di dati diffuso via Wi-Fi e imitando via computer il segnale di una lampadina “smart”.

Gli effetti di attacchi di questo genere sono notevoli: immaginate un virus che invece di bloccarvi il computer vi lascia al buio un intero edificio o vi assilla facendo accendere a caso le luci nel cuore della notte. Cosa forse peggiore, se le lampadine sono sulla stessa rete Wi-Fi utilizzata dai computer di un'azienda, possono essere usate come punto debole del sistema per captare la password della rete.

I ricercatori della Context Information Security che hanno scoperto la falla hanno agito responsabilmente e hanno allertato la casa produttrice delle lampadine, che ha reso disponibile un aggiornamento di firmware che risolve la falla. Ma resta il problema di informare gli acquirenti e nasce la situazione surreale di dover chiamare un informatico per aggiustare una lampadina.

Yo, l’app inutile diventa utile. Dopo essere stata violata

Ricordate Yo, l'app che non fa altro che permettere ai suoi utenti di scambiarsi il messaggio fisso “Yo”? Ci sono due novità.

La prima è che Yo era completamente privo di sicurezza, per cui era possibile spacciarsi per chiunque, raccogliere i numeri di telefono degli utenti e bombardare gli utenti con un numero illimitato di “Yo”, come dimostrato da un trio di studenti di un college statunitense.

Non c'è da sorprendersi, dato che Yo era stata creata in otto ore di lavoro; quello che stupisce è che qualcuno abbia investito 1,2 milioni di dollari per quest'app e che Yo sia entrata in Google Play e iTunes senza un minimo di controllo di qualità.

La seconda novità è che ora Yo ha una funzione utile. Tristemente utile: ora viene utilizzata in Israele, accanto alle normali sirene, per allertare gli utenti quando da Gaza vengono lanciati missili.

Youtube, come attivare dei controlli parentali. O quasi

Su Youtube c'è un po' di tutto: tanti video divertenti, tanti cartoni animati che piacciono molto anche ai bambini, ma anche tanti video fatti appositamente per scioccare o spaventare e decisamente non adatti ai giovanissimi.

Purtroppo non c'è un filtro automatico che seleziona i contenuti, per cui capita a genitori e familiari di fare l'errore di lasciare i bambini davanti allo schermo e poi accorgersi che sono esposti a immagini o situazioni decisamente inadatte, per esempio tramite i video correlati che vengono proposti oppure tramite i commenti.

La soluzione migliore è, ovviamente, non lasciare i bambini davanti a Youtube senza accompagnarli, ma se questa strada non è praticabile si può ridurre il rischio di esporli a contenuti inadatti usando le impostazioni di sicurezza di Youtube.

Per prima cosa create un account Google per la persona da proteggere e non datele la password. Poi accedete a Youtube con quell'account e andate in fondo alla schermata iniziale di Youtube, dove troverete un pulsante etichettato Sicurezza, che sarà probabilmente disattivato. Cliccatevi sopra per attivarlo e poi scegliete Attiva e Blocca la modalità di protezione su questo browser. Vi verrà chiesta la password: datela. Ripetete il procedimento per gli altri browser installati, se ce ne sono.

A questo punto i video che sono stati segnalati come inadatti da altri utenti verranno nascosti. Come bonus, anche le ricerche in Google, specialmente per le immagini, saranno filtrate. Non è un sistema perfetto, ma è meglio di niente.




I dispositivi Android azzerati non sono davvero azzerati, ma niente panico

S'è diffuso un certo panico in Rete per la notizia che i dispositivi Android cancellati con la funzione di ripristino (Impostazioni - Account - Backup e ripristino - Ripristina dati di fabbrica), come avviene quando si rivende o regala un tablet o un cellulare, in realtà contengono ancora i dati dell'utente.

La società di sicurezza Avast che ha lanciato l'allarme ha acquistato su eBay dei telefonini Android usati i cui proprietari erano convinti di aver cancellato tutti i dati. Avast ha invece recuperato fotografie anche intime, mail e messaggi, adoperando tecniche di recupero dati tipiche dell'informatica forense. La normale cancellazione di un file, infatti, in realtà non cancella nel senso tradizionale del termine, ma si limita a dire “questo spazio è riscrivibile”. Finché non viene riscritto, lo spazio di memoria contiene ancora i dati.

Non è certo una sorpresa che Avast consigli di risolvere il problema usando il proprio prodotto apposito, ma c'è un trucco che permette di fare a meno di qualunque prodotto aggiuntivo: basta infatti attivare la cifratura del dispositivo, incorporata di serie in Android, prima di azzerare.

Si procede così: si toglie l'eventuale scheda di memoria aggiuntiva (che può essere riutilizzata su un nuovo dispositivo) e poi si va in Impostazioni - Altro - Sicurezza e si sceglie Crittografia dispositivo. Bisogna dare una password (almeno sei caratteri e una cifra, che verrà chiesta a ogni accensione) e poi attendere che il dispositivo effettui la crittografia dell'intera memoria. Questo può richiedere alcune decine di minuti e può inoltre causare lievi rallentamenti, ma se state comunque per cedere il dispositivo, questo non è un problema: quando il dispositivo verrà azzerato dal nuovo proprietario il rallentamento sparirà.

Fatto questo, il normale azzeramento (ripristino) del dispositivo renderà davvero irrecuperabili i dati, perché saranno ancora presenti ma scritti in forma cifrata con una password che il dispositivo non contiene più.

Consiglio pratico: non attivate la crittografia su un dispositivo che non intendete cedere. La crittografia obbliga infatti a usare una password di sblocco complessa, che è scomodissima da dover digitare ogni volta che si vuole usare il dispositivo.

Per i dispositivi recenti che usano iOS, invece, non occorre questa procedura, perché dall'iPhone 3GS in poi i dati sono già crittografati automaticamente; lo stesso vale per tutti gli iPad e qualunque iPod touch dalla terza generazione in poi.

Fonti: Ars Technica, Lifehacker.