Antibufala: burundanga, l’allarme (falso) è tornato
febrero 1, 2018 20:04 |
| Credit: Davidpuente.it. |
Si tratta infatti di una notizia falsa: una droga con questo nome esiste, ma non agisce per semplice contatto con la pelle o per inalazione di biglietti impregnati, e il brigadiere mi ha confermato personalmente che (cito) “si tratta di un racconto "BUFALA" che girava sulla posta elettronica”.
Il brigadiere mi ha spiegato che l’ha inoltrata a qualcuno dal proprio indirizzo istituzionale, che è rimasto in calce all’appello, e mi ha chiesto di non inviarla a nessuno e di cestinarla.
Ma c’è una particolarità: l’allarme circola in questi giorni, ma la smentita da parte del brigadiere mi è arrivata quasi nove anni fa. Infatti questa stessa, identica storia gira su Internet da anni con gli stessi dettagli: la stessa vittima, una donna, che viene avvicinata ad una stazione di servizio, riceve un biglietto da visita da un uomo, che si offre sempre come imbianchino, e inizia a sentirsi confusa e stordita; e lo stesso brigadiere che fa da testimone. Il brigadiere me la smentì a ottobre del 2009. Smentita purtroppo inutile, visto che la storia continua a diffondersi, sempre con il nome, cognome, indirizzo e numero di telefono del brigadiere.
L’allarme è falso non solo perché l’ha smentito un membro della Guardia di Finanza, ma anche perché una ricerca online rivela che quest'esatta scena sarebbe successa negli Stati Uniti, in Canada, nel Regno Unito e in Svizzera, oltre che in Italia. Sembra improbabile che esista una gang intercontinentale di finti imbianchini che da anni frequentano impunemente le stazioni di servizio di mezzo mondo.
Si tratta infatti del classico fenomeno del “garante apparente”: una figura autorevole, come per esempio un agente di polizia, riceve un appello fasullo come questo e lo inoltra ai colleghi e agli amici dal proprio indirizzo di mail di lavoro. Il suo sistema di gestione della mail appone automaticamente in calce le sue coordinate professionali (nome, cognome, professione, numero di telefono) e quindi sembra che l’allarme sia stato autenticato dalle autorità.
Chi riceve questo appello così apparentemente autorevole lo inoltra ai propri amici, senza fermarsi a controllarlo perché è appunto garantito da una fonte affidabile, e così la notizia falsa si propaga e sopravvive per anni. Se lo ricevete, cestinatelo: non solo per evitare angosce inutili ai vostri amici, ma anche per aiutare quel povero brigadiere emiliano che da anni viene tormentato da questa storia, come i suoi colleghi statunitensi, canadesi, britannici e svizzeri che l’hanno inoltrata dal posto di lavoro. E se occupate un posto di lavoro autorevole, non usate la mail di lavoro per inoltrare allarmi di nessun genere. Altrimenti finirete tormentati anche voi.
Questo articolo è il testo preparato per il mio servizio La Rete in 3 minuti per Radio Inblu dell’1 febbraio 2018.
Da oggi il Disinformatico è in HTTPS: aspettatevi magagne
febrero 1, 2018 18:17
Da parecchio tempo (un paio d’anni) Google avvisa che i siti in HTTP verranno considerati "non sicuri" e declassati nei risultati di ricerca ("we plan to label all HTTP pages as non-secure, and change the HTTP security indicator to the red triangle that we use for broken HTTPS").
Google e il resto della Rete stanno andando verso un "HTTPS ovunque", per motivi di sicurezza (il visitatore capisce più chiaramente che sta visitando il sito vero e non una sua versione fraudolenta) e di privacy (i ficcanaso fanno più fatica a sapere con precisione quale pagina di un sito state visitando e a intercettarla o modificarla in transito).
Da anni, inoltre, Google incentiva l’adozione dell’HTTPS dando un ranking migliore ai siti che lo usano, compreso Blogspot.com (che lo supporta dal 2016).
In sintesi, questa novità offre maggiore sicurezza e privacy a tutti voi che frequentate questo blog.
Vorrei ringraziare pubblicamente Axlman, che si è occupato della complessa transizione, e vorrei avvisarvi che probabilmente vi imbatterete in link non più funzionanti o immagini e video non più visualizzati (perché sono ancora in HTTP e non c’è modo di convertirli automaticamente). Vi prego di segnalarmeli nei commenti oppure via mail (al solito paolo.attivissimo@gmail.com) in modo che io li possa correggere.
Grazie della pazienza.
Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.
App di fitness rivela attività militari di tutto il mondo. E anche quelle dei civili
enero 30, 2018 6:52Ultimo aggiornamento: 2018/01/30 9:50.
Quando gli esperti di sicurezza parlano della necessità di tutelare la privacy digitale e di non lasciare che le aziende possano raccogliere disinvoltamente dati sulle nostre attività capita spesso di sentire l’obiezione “Ma tanto io non ho niente da nascondere, e poi cosa vuoi che se ne facciano dei miei dati?”.
Una dimostrazione eloquente e un po' inquietante di quello che si può fare con dati apparentemente innocui se li si aggrega e analizza è arrivata proprio pochi giorni fa: gli esperti si sono accorti che i dati combinati dei braccialetti digitali di fitness rivelano l’ubicazione delle basi militari in vari paesi del mondo, compresi molti luoghi estremamente sensibili o segreti.
Molti utenti di questi dispositivi riversano le proprie passeggiate, corse, pedalate, nuotate, sciate o vogate in app come Strava, che si definisce un “social network per atleti”. Lo fanno per tracciare i propri progressi o per competere via Internet con altri utenti. Questi dati includono la distanza percorsa, la velocità e le calorie consumate e anche la geolocalizzazione. Gli utenti possono scegliere di non condividere questi dati, ma molti li lasciano liberamente accessibili. Tanto che male c’è? Anzi, magari c’è da mostrare agli amici qualche risultato.
Ma a novembre scorso Strava ha deciso di rendere pubblica su Internet una dettagliatissima mappa mondiale interattiva dei percorsi seguiti dai suoi utenti [circa 27 milioni] nel corso del tempo: circa un miliardo di attività [tre trilioni di coordinate latitudine-longitudine, 10 terabyte di dati]. In questa mappa i percorsi più frequentati sono evidenziati da linee più luminose.
Bell’idea, però quando queste linee tracciano percorsi in zone desertiche o interessate da conflitti, rivelano la presenza di una categoria di persone che comprensibilmente svolgono molta attività fisica: i militari, che per esempio fanno jogging dentro e intorno alle proprie basi, facendole così spiccare luminose nelle zone altrimenti disabitate e disegnandone i contorni e le forme interne, perché non hanno disabilitato la geolocalizzazione e non hanno attivato le opzioni di protezione della privacy offerte da Strava.
Strava released their global heatmap. 13 trillion GPS points from their users (turning off data sharing is an option). https://t.co/hA6jcxfBQI … It looks very pretty, but not amazing for Op-Sec. US Bases are clearly identifiable and mappable pic.twitter.com/rBgGnOzasq— Nathan Ruser (@Nrg8000) 27 gennaio 2018
Fitbit heatmap inside GCHQ building (left) is more hot than inside NSA building, probably because it rains all the time in the UK. https://t.co/a4a5AV4BCD pic.twitter.com/BCf8Hux2T2— Mustafa Al-Bassam (@musalbas) 28 gennaio 2018
Pretty faint but data from the Strava exercise app shows like China has deployed joggers to its disputed Woody Island in the South China Sea, in addition to fighter jets and HQ-9 SAMs pic.twitter.com/HG6zkb8tcw— Adam Rawnsley (@arawnsley) 27 gennaio 2018
A Russian soldier apparently went through the Kuzminsky base (largest of the new Russian bases near Ukrainian border) with their Strava tracking enabled. pic.twitter.com/4DdPfvvSkz— Aric Toler (@AricToler) 28 gennaio 2018
Looks like someone with a Fitbit was jogging a bit too close to the Korean DMZ https://t.co/6GgksVROTU pic.twitter.com/gV0vJy5VQM— Mustafa Al-Bassam (@musalbas) 28 gennaio 2018
North Korean and South Korean soldiers with Fitbits jogging in front of each other on both sides of the DMZ 🌈🌈🌈 https://t.co/ltjeLAPzlV pic.twitter.com/vm3Nnw88Fw— Mustafa Al-Bassam (@musalbas) 28 gennaio 2018
If soldiers use the app like normal people do, by turning it on tracking when they go to do exercise, it could be especially dangerous. This particular track looks like it logs a regular jogging route. I shouldn't be able to establish any Pattern of life info from this far away pic.twitter.com/Rf5mpAKme2— Nathan Ruser (@Nrg8000) 27 gennaio 2018
All activity + cycling routes around and inside Pine Gap military facility, Australia #Strava https://t.co/ZRYpYyMVvq https://t.co/K9dtVn3iVp pic.twitter.com/CE9jNWU6F5— Ketan Joshi (@KetanJ0) 28 gennaio 2018
This is Strava fitness tracker data at HMNB Clyde, a military base where Britain's nuclear weapons are stored. How are the security checks so bad in these places, that employees are allowed to bring arbitrary electronic devices in close proximity to nukes? https://t.co/5BtgiZ4NNK pic.twitter.com/e9mQpPbGD4— Mustafa Al-Bassam (@musalbas) 29 gennaio 2018
It gets better, someone even created a Strava run segment in the UK nuclear weapons military base (HMNB Clyde) called "You shouldn't be using Strava here", but it was clearly ignored by employees. pic.twitter.com/RCzktTefpS— Mustafa Al-Bassam (@musalbas) 29 gennaio 2018
So you could find out which hero did this? https://t.co/u06WLZsXPq pic.twitter.com/xsepQAR1pt— Dave Clark (@DaveClark_AFP) 29 gennaio 2018
Nei paesi in guerra questi dati rischiano di essere sfruttabili per esempio per un’imboscata o un attacco. La mappa, infatti, è consultabile da chiunque, ed è facile anche estrarne i dati individuali e scoprire i nomi degli utenti e i rispettivi percorsi abituali: dati perfetti per pedinare o rapire qualcuno. Su Twitter fioccano così le segnalazioni di installazioni militari sensibili di vari paesi, per esempio in Siria e in Afganistan, messe a nudo dalla decisione di Strava di rendere pubblici i propri dati senza pensare alle conseguenze, ma anche dalla mancanza di consapevolezza da parte di chi usa questi dispositivi e queste app di fitness in zone a rischio.
It just keeps getting deeper. You can also trivially scrape segments, to get a list of people who travelled a route, and trivially obtain a list of users. #Strava pic.twitter.com/U9DnPsyHUD— Paul D (@Paulmd199) 28 gennaio 2018
The Strava heatmap data leak just got a whole lot worse:— WIRED UK (@WiredUK) 29 gennaio 2018
- The data can be de-anonymised
- Includes names and running routes of people at high-security military facilities
- A quick search shows the names of 50 US personnel at a base in Afghanistan
https://t.co/JZCi7sINf8
Outside GCHQ: "Snowden's Way" (2,301 attempts by 573 people). pic.twitter.com/T7AQD1S9DH— Tobias Schneider (@tobiaschneider) 29 gennaio 2018
Anche se non vivete in una zona di guerra e non siete militari, affidare informazioni sensibili come la vostra posizione e i vostri percorsi abituali ad aziende che poi le pubblicano e le offrono a chiunque vi espone al rischio di stalking e altre molestie. Ne vale la pena, per potersi vantare delle proprie prodezze sportive? Pensateci: se la risposta è no, trovate la maniera di spegnere la geolocalizzazione.
You can see individuals that are using Strava by zooming it to houses that have a short line. Strava gives the ability to set up privacy zones, but it's not on by default. pic.twitter.com/azqZFXiVQZ— Brian (@BrianHaugli) 28 gennaio 2018
Questo articolo è il testo preparato per il mio servizio La Rete in 3 minuti per Radio Inblu del 30 gennaio 2018. Fonti: The Verge, Hacker News, Ars Technica, The Register, Washington Post, Electronic Frontier Foundation.
Aggiornamento: 2018/01/30 9:50
Strava ha pubblicato un post di chiarimento, dal quale cito e traduco: “ci siamo resi conto nel corso del fine settimana che i membri di Strava nelle forze armate, fra gli operatori umanitari e altri che vivono all’estero possono aver condiviso la propria localizzazione in zone prive di altra densità di attività e così facendo possono aver inavvertitamente aumentato la consapevolezza di luoghi sensibili”. Ma pensarci prima di pubblicare la mappa no? Il post ricorda anche le istruzioni di privacy di Strava.
Più in generale, questa vicenda sottolinea tre principi di fondo:
- ogni dato personale è abusabile;
- affidare i propri dati personali a un’azienda motivata dal guadagno su quei dati è irresponsabile;
- sperare che quella società commerciale custodisca diligentemente i nostri dati invece di monetizzarli è una pia illusione.
Ora pensate a tutto quello che avete riversato in Facebook in questi anni. Non dite che non ve l’avevamo detto.
Podcast del Disinformatico del 2018/01/26
enero 28, 2018 6:29
È disponibile per lo scaricamento il podcast della puntata di venerdì del Disinformatico della Radiotelevisione Svizzera. Buon ascolto!
No, Facebook non ferma le fake news
enero 27, 2018 5:10
Per esempio, una fake news di una nota fabbrica di fandonie, Yournewswire.com, dice (link intenzionalmente rotto) che un medico del CDC statunitense ha affermato che il vaccino antinfluenzale causa l’influenza, è stata condivisa su Facebook circa 729.000 volte (immagine qui accanto). La notizia non è soltanto falsa: è pericolosa. Eppure Facebook non ha fatto nulla per segnalarla o ridurne la visibilità.
Come nota Thinkprogress, “Facebook ha il controllo completo sulle storie che i suoi utenti vedono nella loro timeline e usa questo potere per incoraggiare le persone a pagare per promuovere i post. Potrebbe usare altrettanto facilmente questo potere per smorzare le notizie false pericolose come questa, ma questo produrrebbe un minore coinvolgimento [engagement] degli utenti e quindi meno soldi per Facebook.”
