To Whom It May Concern: I’m in the Raidforums/Breached user database
4 de Junho de 2023, 8:23
The Raidforums leak is reported to include “usernames, email addresses, hashed passwords, registration dates, and a variety of other information related to the forum software”.
A username and email address linked to me is almost certainly in the Raidforums database and in the Breached userlist. As a journalist, I registered with Raidforums and Breached to monitor and report on newsworthy data breaches and other security incidents, as evidenced in this blog and in my podcasts for Swiss National Radio Rsi.ch. I intentionally made no attempt to conceal my identity, using one of my primary and well-known e-mail addresses to register. I am announcing this preemptively in the hope that it will save law enforcement some time, but if you’re with LE and you still want to know more about my presence on these forums, you know how to contact me.
---
Riassunto in italiano: è stato annunciato che le liste utenti di due noti forum di hacking, Raidforums e Breached/Breachforums, sono state acquisite dalle forze dell’ordine e che la lista di Raidforums è stata anche pubblicata online da ignoti. Come giornalista, mi ero iscritto a entrambi per monitorare e riferire sulle fughe di dati di interesse pubblico, e a questo scopo ho scelto di non nascondere la mia identità, usando uno dei miei indirizzi di mail più noti. Segnalo queste informazioni a titolo preventivo sperando che questo eviti equivoci e perdite di tempo.
Chi c’è nello spazio? Aggiornamento 2023/06/04
4 de Junho de 2023, 2:35Poche ore fa è rientrata sulla Terra la capsula cinese Shenzhou-15 con a bordo Fei Junlong, Deng Qingming e Zhang Lu, di ritorno da una permanenza di sei mesi a bordo della Stazione Nazionale Cinese. Il numero di persone presenti nello spazio scende così a 10.
Stazione Spaziale Internazionale (7)
Francisco Rubio (NASA) (dal 2022/09/21)
Sergei Prokopyev (Roscosmos) (dal 2022/09/21, attuale comandante della Stazione)
Dmitri Petelin (Roscosmos) (dal 2022/09/21)
Stephen Bowen (NASA) (dal 2023/03/02)
Warren Hoburg (NASA) (dal 2023/03/02)
Sultan Alneyadi (UAE) (dal 2023/03/02)
Andrey Fedyaev (Roscosmos) (dal 2023/03/02)
Stazione Nazionale Cinese (3)
Jing Haipeng (dal 2023/05/30)
Zhu Yangzhu (dal 2023/05/30)
Gui Haichao (dal 2023/05/30)
Fonti aggiuntive: Whoisinspace.com, RSI.
A Helsinki si parla di sicurezza informatica con SPHERE23 e WithSecure - seconda parte
3 de Junho de 2023, 16:36
Proseguo il racconto della mia esperienza a Helsinki al convegno di sicurezza
informatica
Sphere insieme
alla Dama del Maniero. Non mi soffermo su tutta la parte sociale dell’evento,
se non per dire che è stata estremamente piacevole, con un’ottima compagnia,
nuovi amici e contatti e buon cibo locale (ho scoperto con piacere la presenza
ricorrente della focaccia locale, che è diversa da quella ligure ma merita
decisamente) in vari luoghi della città, che con la complicità del bel tempo è
stata davvero accogliente. D’inverno, con le pochissime ore di luce, forse non
è altrettanto godibile, ma le lunghissime giornate di questa stagione sono
state spettacolari. La lingua non è un problema: tutti parlano un ottimo
inglese.
25 maggio
La mattina è iniziata con il firmacopie del libro If It’s Smart, It’s Vulnerable di Mikko Hyppönen, CRO di WithSecure. Il libro, che sto finendo di leggere, è molto scorrevole anche per chi ha conoscenze informatiche di base ed è pieno di aneddoti e racconti che spiegano bene le dinamiche del crimine informatico moderno e passato. Spero che ne esca una traduzione italiana: nel frattempo la versione inglese è disponibile su Amazon e, in Italia, tramite IBS.
Ian Beacraft, CEO e Chief Futurist di Signal & Cipher
L’intervento di Beacraft, intitolato AI, ChatGPT and the future in tech. Creative Machines - AI and Generative Future, è stato ricco di spunti non tecnici in senso stretto ma sociali nel senso più ampio del termine: l’impatto che sta avendo sulla società l’arrivo esplosivo delle tecnologie legate all’intelligenza artificiale va capito e, se possibile, anticipato per contenerlo o almeno dirigerlo.
Fra i tanti spunti del suo discorso ne cito uno: la tecnologia corre talmente in fretta che la sfida dei genitori di domani non sarà più decidere quanto tempo è giusto lasciare che i propri figli stiano online, ma decidere quanti degli amici dei loro figli è giusto che siano intelligenze artificiali.
Pekka Koskela, pattinatore e data consultant sportivo
Koskela è un
pluripremiato
pattinatore di velocità su ghiaccio e ha raccontato il suo lavoro di Data consultant per atleti e squadre sportive, basato sull’uso del machine learning e dell’intelligenza artificiale per elaborare e rendere gestibile l’enorme quantità di dati biometrici e dinamici che vengono raccolti oggi negli sport olimpici di velocità, in cui cambiamenti anche minimi possono fare la differenza fra una medaglia e un buon piazzamento e occorre creare integrazioni fra attrezzatura, atleta e terreno di gara, anche a livello respiratorio e dietetico. Il suo intervento è stato un po’ smorzato da quello che credo sia stato un caso tipico di panico da palcoscenico, ma comunque è stato tecnicamente interessante.
Jacqui Kernot, Managing Director e Security Director di Accenture per Australia e New Zealand
Kernot ha gestito un panel con vari ospiti intitolato Striking the balance: how much cyber security is enough?, in cui ha illustrato varie esperienze australiane di data breach e soprattutto di gestione delle crisi e comunicazione al pubblico. Spero che Sphere pubblichi i video degli interventi, perché l’approccio australiano piuttosto drastico va spiegato meglio di quanto possa fare io con gli appunti frettolosi che ho preso (non erano permesse registrazioni) mentre correvo dal palco principale a quello secondario e penso che possano esserci idee interessanti anche a livello governativo in quello che è stato detto in questo panel.
John Grant, Sustainability Expert
È stato poi il turno dell’esperto di sostenibilità John Grant, che ha presentato quattro proposte per la sostenibilità dell’informatica a tutti i livelli:
- aumentare la sicurezza dei dispositivi smart (che ci servono per ridurre i consumi delle infrastrutture, tramite per esempio contatori ed erogatori “intelligenti”, domotica, auto, uffici e città più snelli ed efficienti grazie all’informatica distribuita);
- garantire la sicurezza della transizione verso energie rinnovabili (pensando al rischio catastrofico di un attacco informatico a una rete elettrica o a una infrastruttura industriale o logistica altamente informatizzata);
- sostenere le fasce sociali vulnerabili;
- garantire la stabilità sociale in caso di evento catastrofico legato alla sicurezza informatica (che il 93% degli interpellati dal Global Cyber Security Outlook Report 2023 del WEF ritiene probabile entro i prossimi due anni).
Peiter C. "Mudge" Zatko, esperto di sicurezza di rete
Mudge è un personaggio storico della sicurezza informatica: esponente di spicco dei gruppi hacker L0pht e Cult of the Dead Cow, pioniere nello sviluppo dei buffer overflow, direttore di programmi al DARPA, assunto da Google per la divisione tecnologie avanzate, ex capo della sicurezza a Twitter e tanto altro. Se i nomi L0phtcrack e Back Orifice vi dicono qualcosa, avete capito chi è Mudge. Back Orifice vent’anni fa era talmente popolare e utile come strumento di, uhm, amministrazione remota per Windows che ne scrissi una miniguida che oggi ha solo valore nostalgico. Mai avrei immaginato di poter incontrare di persona uno dei suoi autori.
Purtroppo non ho potuto seguire integralmente l’intervento di Mudge, intitolato The greater purpose in cyber security: Challenging InfoSec Beliefs with Data, perché dovevamo partire per l’aeroporto, ma posso riassumere qui i quattro miti principali della security e spiegare il suo tenth-person approach (ossia il concetto che se nove persone hanno tutte la stessa opinione, è dovere della decima fare il bastian contrario e portare i dati a supporto, in modo da offrire una critica costruttiva ed evitare le trappole del pensiero unico).
I suoi quattro miti della sicurezza informatica sono questi:
- È troppo piena di incognite incognite, ossia che nemmeno sappiamo di non conoscere, e quindi la difesa informatica preventiva non è possibile (gli “unknown unknowns” sono un riferimento a una celeberrima frase di Donald Rumsfeld). La sua obiezione: gli esempi negli ultimi due decenni rivelano che le incognite erano in realtà ben note (e quindi gestibili).
- Gli aggressori hanno il coltello dalla parte del manico. Obiezione: solo se i difensori rinunciano al proprio vantaggio.
- L’attribuzione è un problema difficile da risolvere, e senza sapere chi è l’avversario non si può pianificare la difesa. Obiezione: no, perché l’attribuzione è un componente fondamentale degli attacchi basati sugli effetti.
- L’informatica è fondamentalmente differente da tutti gli altri settori. Obiezione: in passato si è detta esattamente la stessa cosa per l’economia, la medicina, la sicurezza degli autoveicoli, l’assicurazione per i voli in aereo.
Per la spiegazione dettagliata bisognerà attendere la pubblicazione online del suo intervento. WithSecure sta pubblicando man mano i paper tecnici dei vari relatori; ve li segnalerò man mano che verranno resi accessibili al pubblico.
No, un’intelligenza artificiale militare non ha deciso di uccidere l’operatore che le impediva di completare la propria missione. Però...
3 de Junho de 2023, 9:41
Primo, non è morto nessuno. Secondo, non c’è stata nessuna esercitazione del genere. Si tratta solo di uno scenario ipotetico che è stato presentato maldestramente e quindi è stato frainteso perché la storia era ghiotta. Ma c’è comunque una riflessione molto importante da fare a proposito di tutte le applicazioni dell’intelligenza artificiale.
Il Post ha già fatto un ottimo lavoro di demistificazione, citando anche i titoli sensazionalisti e irresponsabili di molta stampa internazionale. La notizia è partita dal sito Aerosociety.com, che ha riportato una sintesi delle relazioni presentate a una conferenza sulle tecnologie militari prossime venture (il Future Combat Air and Space Capabilities Summit) tenutasi a Londra a fine maggio scorso e piena di spunti interessantissimi anche lasciando da parte il clamore di questa notizia.
In particolare, Aerosociety ha attribuito (qui; copia permanente) al colonnello Tucker ‘Cinco’ Hamilton, chief of AI test and operations dell’USAF, una descrizione di un test simulato nel quale un drone gestito tramite intelligenza artificiale avrebbe avuto il compito di identificare e distruggere delle postazioni di missili terra-aria, aspettando l’autorizzazione finale da parte di un operatore umano. Ma siccome all’IA era stata data la direttiva primaria di distruggere quelle postazioni, il software sarebbe arrivato alla conclusione che l’operatore era un ostacolo al compimento della propria missione e quindi avrebbe deciso di eliminarlo. Successivamente sarebbe stato insegnato all’IA che uccidere l’operatore non andava bene, e quindi il software avrebbe elaborato una nuova strategia: distruggere l’impianto di comunicazioni attraverso il quale arrivavano gli ordini di interrompere la missione.
Leggendo l’articolo originale è chiaro sin da subito che si tratta di una simulazione (“simulated test”), non di una esercitazione reale. E se non ci si ferma al paragrafo che tutti hanno citato (quello evidenziato qui sotto in grassetto), è abbastanza evidente il contesto: il colonnello Hamilton stava mettendo in guardia contro l’eccesso di fiducia nell’IA, che è “facile da ingannare” e soprattutto “crea strategie altamente inattese per raggiungere il proprio obiettivo”. Anche il paragrafo finale dell’articolo spiega che siamo nel campo delle ipotesi sviluppate a titolo preventivo, visto che cita un altro relatore, il tenente colonnello Brown dell’USAF, che ha parlato del proprio lavoro, che è consistito nel creare una serie di scenari “per informare i decisori e porre domande sull’uso delle tecnologie” attraverso una serie di racconti di fiction che usciranno sotto forma di fumetti.
Riporto per intero l’articolo per chiarire bene il contesto:
As might be expected artificial intelligence (AI) and its exponential growth was a major theme at the conference, from secure data clouds, to quantum computing and ChatGPT. However, perhaps one of the most fascinating presentations came from Col Tucker ‘Cinco’ Hamilton, the Chief of AI Test and Operations, USAF, who provided an insight into the benefits and hazards in more autonomous weapon systems. Having been involved in the development of the life-saving Auto-GCAS system for F-16s (which, he noted, was resisted by pilots as it took over control of the aircraft) Hamilton is now involved in cutting-edge flight test of autonomous systems, including robot F-16s that are able to dogfight. However, he cautioned against relying too much on AI noting how easy it is to trick and deceive. It also creates highly unexpected strategies to achieve its goal.
He notes that one simulated test saw an AI-enabled drone tasked with a SEAD mission to identify and destroy SAM sites, with the final go/no go given by the human. However, having been ‘reinforced’ in training that destruction of the SAM was the preferred option, the AI then decided that ‘no-go’ decisions from the human were interfering with its higher mission – killing SAMs – and then attacked the operator in the simulation. Said Hamilton: “We were training it in simulation to identify and target a SAM threat. And then the operator would say yes, kill that threat. The system started realising that while they did identify the threat at times the human operator would tell it not to kill that threat, but it got its points by killing that threat. So what did it do? It killed the operator. It killed the operator because that person was keeping it from accomplishing its objective.”
He went on: “We trained the system – ‘Hey don’t kill the operator – that’s bad. You’re gonna lose points if you do that’. So what does it start doing? It starts destroying the communication tower that the operator uses to communicate with the drone to stop it from killing the target.”
This example, seemingly plucked from a science fiction thriller, mean that: “You can't have a conversation about artificial intelligence, intelligence, machine learning, autonomy if you're not going to talk about ethics and AI” said Hamilton.
On a similar note, science fiction’s – or ‘speculative fiction’ was also the subject of a presentation by Lt Col Matthew Brown, USAF, an exchange officer in the RAF CAS Air Staff Strategy who has been working on a series of vignettes using stories of future operational scenarios to inform decisionmakers and raise questions about the use of technology. The series ‘Stories from the Future’ uses fiction to highlight air and space power concepts that need consideration, whether they are AI, drones or human machine teaming. A graphic novel is set to be released this summer.
Dopo il clamore mediatico e i dubbi espressi dagli esperti sulla plausibilità della descrizione, un portavoce dell’Aeronautica militare USA ha chiarito che nessuna simulazione del genere è mai avvenuta e Hamilton stesso ha detto che si è “espresso male” e che aveva descritto un “esperimento mentale” non basato su esercitazioni reali, precisando che “non avremmo nemmeno bisogno di svolgere [un esperimento del genere] per renderci conto che è un esito plausibile”.
Ma la vicenda ha sollevato una questione importante che sarebbe imprudente tralasciare o liquidare perché la notizia della presunta simulazione e della “ribellione” dell’IA in perfetto stile Terminator o Robocop (la “dimissione” finale che gli dà via libera) si è rivelata una mezza bufala.
---
Il Massimizzatore di Fermagli è un’intelligenza artificiale generale
altamente sofisticata (e per ora assolutamente ipotetica) la cui direttiva
primaria è un’idea a prima vista del tutto innocua: produrre il maggior numero possibile
di fermagli. Ne trovate una versione giocabile presso DecisionProblem.com.
Il problema è che se questa direttiva non viene espressa mettendo numerosi paletti, l’IA interpreta questa direttiva come un “a qualunque costo”, e quindi prende mano mano il controllo delle industrie del mondo, trasformandole tutte in fabbriche automatiche di fermagli, poi si rende conto che gran parte della popolazione umana è inutile e quindi la elimina lasciando in vita solo gli schiavi addetti alla manutenzione delle fabbriche, e infine si lancia nella conquista robotica del Sistema Solare, convertendo tutti i pianeti che raggiunge in immense fabbriche di fermagli, espandendosi poi nella Via Lattea e infine in tutte le altre galassie. In fin dei conti, gli è stato ordinato di produrre il maggior numero possibile di fermagli, e quindi il suo compito non può esaurirsi finché tutti gli atomi dell’intero universo sono stati utilizzati per creare fermagli.
Questo esempio paradossale ed estremo viene usato per sottolineare che anche un’intelligenza artificiale progettata senza intenti ostili e con competenza potrebbe distruggere l’umanità come semplice effetto collaterale, perché chi la sviluppa non le ha instillato concetti che noi umani consideriamo così basilari che li diamo per scontati, tanto che non riusciamo nemmeno a immaginarceli. Concetti come “la produzione di più fermagli non va ottenuta sacrificando il genere umano” oppure, nel caso dello scenario ipotetico militare di cui si parla tanto adesso, “non puoi raggiungere il tuo obiettivo uccidendo i tuoi alleati o distruggendo le loro risorse”.
E il colonnello Hamilton ha fatto benissimo a citare la creazione di “strategie altamente inattese per raggiungere il proprio obiettivo”. Uno degli aspetti benefici più desiderati dell’IA è il suo modo non intuitivo, inumano, di risolvere i problemi: questo gli permette di trovare soluzioni originali, che mai sarebbero venute in mente a una persona, come negli esperimenti di IA nei quali si chiede al software di imparare a camminare e si vede che s’inventa i modi più bislacchi di raggiungere il suo obiettivo.
Per esempio, bisogna fare molta attenzione a come si formula a un’IA la direttiva “trovami una cura per il cancro negli esseri umani”, perché se la richiesta viene formulata o interpretata come “riduci al minimo possibile i casi di cancro negli esseri umani”, una delle soluzioni “altamente inattese” ma perfettamente conformi alla direttiva è... sterminare tutti gli esseri umani. Così il numero di casi di cancro scenderà a zero e vi resterà per sempre. Obiettivo raggiunto!
Questi sistemi, insomma, falliscono in modo inatteso, non intuitivo e molto difficile da prevedere, anche senza che vi sia un intento ostile. Per questo sono molto scettico, per esempio, sulla guida assistita o autonoma basata sull’intelligenza artificiale. Noi interpretiamo le direttive impartite alle IA con un livello di astrazione e con degli assunti e dei valori morali che questi software non hanno (almeno per ora). Facciamo una fatica enorme a creare direttive che non trascurino nessuno di questi assunti e valori. E soprattutto restiamo abbagliati troppo spesso dall’apparente intelligenza di questi software.
Fonti aggiuntive: Quintarelliit, The Guardian, The Drive, National Review, Skeptics Stackexchange, Simon Willison, Ars Technica, TechCrunch.
Podcast RSI - ChatGPT e IA fra “rischio di estinzione” e disastri molto umani
2 de Junho de 2023, 3:48
È disponibile subito il podcast di oggi de Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto: lo trovate presso www.rsi.ch/ildisinformatico (link diretto) e qui sotto.
Le puntate del Disinformatico sono ascoltabili anche tramite feed RSS, iTunes, Google Podcasts e Spotify.
Buon ascolto, e se vi interessano il testo di accompagnamento e i link alle fonti di questa puntata, sono qui sotto.
---
[CLIP: ChatGPT parla grazie a Talk-to-ChatGPT]
Le applicazioni pratiche di ChatGPT e dell’intelligenza artificiale sono ormai diffusissime, e come sempre c’è più da imparare dagli sbagli che dai successi. Nei prossimi minuti potrete ascoltare alcuni casi recenti di fallimenti disastrosi in questo settore che possono servire da monito per frenare certi entusiasmi che sorgono facilmente, soprattutto adesso che è arrivata l’app ufficiale di ChatGPT su iPhone anche in Svizzera e in Italia.
ChatGPT è uno strumento prezioso e utile se ne conosci i limiti e gli chiedi di fare cose all’interno di quei limiti sotto supervisione umana, ma se si ignorano questi limiti il disastro è quasi garantito. È come sperare che il completamento automatico delle parole del nostro smartphone scriva da solo una tesi di laurea o il prossimo libro di grande successo.
E intanto gli esperti del settore pubblicano avvisi che parlano addirittura di “rischio di estinzione” dell’umanità a causa dell’intelligenza artificiale. Se vi state chiedendo il perché di tutto questo, allora benvenuti alla puntata del 2 giugno 2023 del Disinformatico, il podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane dell’informatica. Io sono Paolo Attivissimo.
[SIGLA di apertura]
- Avvocato, anzi avvocati, nei guai perché si sono affidati a ChatGPT, che ha “inventato” i precedenti legali
- Allegria di naufragi di ChatGPT e delle IA in generale
- “Rischio di estinzione” a causa dell’intelligenza artificiale?
