Aprile, 2023

ALLERTA SPOILER: Questo è il testo di accompagnamento al podcast
Il Disinformatico della Radiotelevisione Svizzera che uscirà questo
venerdì presso
www.rsi.ch/ildisinformatico.

—

Teaser

Attenzione a quello che leggete su Twitter: da pochi giorni le spunte blu, che
un tempo indicavano che un utente era autenticato, non vogliono dire più nulla
ed è diventato impossibile capire se un utente ha la spunta blu perché è chi
dice di essere o se è semplicemente un impostore che ha pagato otto dollari
per avere la spunta blu. Attori, sportivi e celebrità stanno boicottando in
massa la proposta di Elon Musk di pagare per usare Twitter, perché la spunta
blu ormai non vale più nulla.

Intanto le foto del Papa, di Putin, Macron, Julian Assange e di tanti altri
nomi di spicco generate dall’intelligenza artificiale hanno ingannato milioni
di persone, per cui è importante conoscere le tecniche per accorgersi di
queste manipolazioni.

Dagli Stati Uniti arriva l’allarme per gli antifurto e apricancello della
Nexx, che sono vulnerabilissimi perché incredibilmente hanno tutti la stessa
password e quindi è banale prendere il controllo dei dispositivi altrui. E infine, due parole sul blocco di ChatGPT in Italia.

Benvenuti alla puntata del 7 aprile 2023 del Disinformatico, il podcast
della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane
dell’informatica. Io sono Paolo Attivissimo.

[SIGLA di apertura]

Ribellione su Twitter: quasi nessuno vuole pagare

Ci sono novità importanti per chi ha un account su Twitter o consulta Twitter
per avere informazioni e notizie: è diventato quasi impossibile distinguere
gli account reali da quelli falsi e quindi bisogna fare molta attenzione a non
cadere nella trappola delle fake news o delle truffe create da account
che fingono di essere fonti autorevoli e ora possono farlo in maniera molto
credibile perché hanno lo stesso aspetto visivo, con tanto di spunta blu di
apparente autenticazione.

Il problema deriva dalla decisione, presa alcuni mesi fa, di cambiare
radicalmente il significato della spunta blu, quella che per anni è stata
appunto simbolo di autenticazione dell’account e permetteva di sapere che il
tweet che si stava leggendo proveniva da una fonte verificata. Ora non è più
così: chiunque può comprare la spunta blu per pochi dollari al mese,
abbonandosi a Twitter Blue, e non c’è nessuna verifica di identità preliminare
su chi la compra. Eppure chi ha la spunta blu viene presentato da Twitter come
“account verificato”.

Il bello di Twitter, nonostante la sua infestazione da parte di troll,
provocatori, complottisti e altri personaggi poco piacevoli, era che si poteva
comunicare direttamente con le celebrità e si potevano ricevere notizie
attendibili in tempo reale dalle testate giornalistiche di tutto il mondo. I
loro account erano chiaramente distinguibili dai loro imitatori e impostori
grazie alla spunta blu, che veniva assegnata da Twitter soltanto a chi inviava
una scansione di un documento di identità ed era considerato sufficientemente
notorio. Sotto la gestione di Elon Musk quest’era sembra ormai essere chiusa
definitivamente.

Infatti Twitter ha annunciato che dal primo di aprile gli account autenticati
avrebbero gradualmente perso la spunta blu se non avessero deciso di pagare un
abbonamento. Ma pochissimi utenti autenticati hanno aderito a questa
richiesta. 

Molte testate giornalistiche hanno annunciato che non avrebbero
pagato per la spunta, che per loro non è blu ma è color oro e costa mille
dollari al mese più altri cinquanta al mese per ciascun dipendente affiliato.
Si sono rifiutati per esempio il New York Times, il
Los Angeles Times, il Washington Post, BuzzFeed, Politico e Vox.
La Radiotelevisione Svizzera di lingua italiana (@rsionline) ha ancora la spunta blu gratuita; [@Rainews, invece, ha la spunta oro; non se se a pagamento o gratis]. La Casa Bianca
ha annunciato che non pagherà per avere la spunta grigia che identifica le
organizzazioni governative. Molte celebrità hanno detto chiaramente che non
pagheranno:
Jack Black,
Ben Stiller,
Seth Rogen,
Mark Hamill,
William Shatner
(il capitano Kirk originale di Star Trek),
Karl Urban, Jason Alexander, la modella
Chrissy Teigen,
Patton Oswalt, il cestista statunitense
LeBron James
(50 milioni di follower), il rapper
Ice-T,
Dionne Warwick
e molti altri esponenti dello sport e dello spettacolo [elencati per esempio
da
Iheart,
Cracked
e
Gizmodo].

Ovviamente non è questione di soldi, ma di significato: la spunta blu adesso
non solo è inutile, perché non autentica più nulla, ma è anche imbarazzante,
perché fa sembrare che sei
“il tipo di persona che pagherebbe otto dollari al mese per sentirsi
speciale”, per citare le
parole
del comico Mike Drucker. Se per caso ve lo state chiedendo: la mia spunta blu
è quella originale gratuita.

I
dati raccolti dal ricercatore informatico Travis Brown
parlano molto chiaro: dei circa 420.000 account verificati secondo il vecchio
sistema, quindi appartenenti ai power user che sono la linfa vitale di
qualunque social network, finora solo circa dodicimila hanno pagato: poco più
del tre per cento. E la battuta del comico statunitense Drucker sul pagare per
sentirsi speciale sembra azzeccata: metà degli utenti paganti di Twitter ha
meno di mille follower. In tutto, questi account paganti sono poco meno di
mezzo milione, ossia meno dello 0,2% degli utenti giornalieri totali di
Twitter.

La reazione di Twitter a questo rifiuto collettivo è stata che le spunte blu
autenticate non sono state rimosse in massa come era stato invece annunciato.
Cosa più importante, Twitter ha aggiunto a questo dietrofront una scelta
particolarmente infelice e pericolosa dal punto di vista della sicurezza
informatica: ha disattivato l’avviso che permetteva di distinguere facilmente
gli account realmente autenticati da quelli semplicemente paganti. Dal 3
aprile scorso, infatti, cliccando sulla spunta blu di entrambi i tipi di
account compare un avviso che dice semplicemente che
“Questo account è verificato in quanto è abbonato a Twitter Blue o poiché è
stato verificato secondo i criteri precedenti”.

Prima, invece, questo avviso specificava se un account era autenticato
oppure a pagamento usando due diciture differenti.

C’è insomma grande confusione, e il rischio di truffe e inganni è altissimo:
per esempio, per qualche ora l’account di Bill Oakley, una persona che a scopo
dimostrativo ha finto di essere il New York Times su Twitter, ha avuto
un aspetto più attendibile rispetto a quello dell’account vero del giornale:
l’account finto, infatti, aveva la
spunta blu, mentre quello vero no [forse in seguito a un intervento personale di Elon Musk].

Cominciano già a comparire account con la spunta blu che fingono di essere
qualcun altro, per esempio a scopo politico o satirico, come “MFA Russia”, che sembra l’account Twitter del Ministero per gli Affari Esteri della
Federazione Russa, con tanto di logo, bandiera e ovviamente spunta blu, ma è
tutt’altro; e Monica Lewinsky (sì, proprio lei) ha
dimostrato
bene l’entità del problema elencando tutti gli account che usano il suo nome e
sono oltretutto “verificati” secondo le nuove regole, mentre lei lo è secondo
quelle vecchie e quindi la sua spunta blu è destinata in teoria a scomparire.

Al momento esistono solo alcuni
modi piuttosto macchinosi
per capire se un account Twitter è autenticato o è un impostore a pagamento,
per cui è consigliabile semplicemente non fidarsi ciecamente di
nessun account.

Fonti aggiuntive: Gizmodo, Mashable.

Distinguere le foto vere da quelle generate

Le foto del Papa che indossa un enorme giubbotto e di Donald Trump in fuga dai
poliziotti hanno fatto il giro del mondo e hanno dimostrato la viralità e la
potenza delle immagini generate dai software di intelligenza artificiale come
Midjourney
e DALL-E 2. Ne ho parlato
nella
puntata del 23 marzo 2023, e torno sull’argomento per segnalare le guide preparate da AFP e
FullFact per
aiutare i giornalisti e anche gli utenti comuni a non farsi ingannare da
queste immagini sempre più realistiche.

Il consiglio principale di questi esperti è chiedersi prima di tutto se
l’immagine sia plausibile. Per esempio, è realistico che il presidente
francese Macron si trovi da solo in mezzo a una protesta violenta per le
strade di Parigi, come sembrano mostrare certe
foto? Certo, a volte le fotografie bizzarre e sorprendenti di persone molto
conosciute sono reali, e poi tendiamo a credere alle immagini che confermano
le nostre opinioni, ma come regola generale se un foto sembra troppo bella per
essere vera, ricordiamoci che probabilmente non è vera.

Il secondo consiglio è cercare l’immagine originale, usando le funzioni di
ricerca di immagini di Google o Yandex: questo potrebbe far emergere l’autore
della foto, oppure una versione a maggiore risoluzione che permette un’analisi
più dettagliata oppure ancora un sito che spiega se la foto è falsa o reale.

Queste funzioni di ricerca permettono anche di scoprire se l’immagine è
presente solo sui social network, cosa che la rende molto sospetta, oppure se
è stata pubblicata anche da siti giornalistici autorevoli. Si può inoltre
cercare se esistono altre angolazioni della stessa scena: questo capita spesso
nelle foto reali ed è invece difficile da generare con i software di
intelligenza artificiale.

Anche l’ambientazione può rivelare eventuali falsificazioni. È successo per
esempio con le foto false di Putin che si inginocchia apparentemente davanti a
Xi Jinping, in cui l’arredamento, generato dal software, non corrisponde a
quello del luogo del loro incontro.

Poi ci sono gli errori classici di questi software: le mani distorte o un
numero di dita eccessivo o insufficiente, troppi denti, occhiali e capelli
deformati e asimmetrici, oppure oggetti troncati o distorti, specialmente
sullo sfondo. Nelle foto sintetiche si nota spesso anche che la pelle delle
persone è troppo lucida e uniforme, come se fosse stato applicato un “filtro
bellezza” o qualcosa di simile. Le foto reali, specialmente se scattate con
fotocamere professionali, non hanno questo effetto. Ma i nuovi software di
intelligenza artificiale stanno man mano eliminando questi errori.

Un altro indizio rivelatore è il testo. Le didascalie, le insegne dei negozi o
le scritte sui cartelli, per esempio, vengono generate molto maldestramente
dai software: guardandole bene si nota che sembrano lettere ma non lo sono.

Per notare tutti questi indizi, però, occorre sviluppare un’abilità insolita,
che è quella di non farsi travolgere dall’emotività e non farsi distrarre dal
soggetto principale della foto e invece concentrarsi sull’esame spassionato
dei dettagli. E questa è una cosa che nessuna app può fare per noi. Nel
dubbio, comunque, rimane valida la regola che è meglio non condividere nulla
di cui non si sia assolutamente certi.

Aprire cancelli in tutto il mondo, grazie all’IoT

[CLIP: la combinazione da “Balle spaziali”]

Gli informatici dicono spesso, ridendo, che
“la S nella sigla IoT (quella dell’Internet delle Cose)
sta per ‘sicurezza’”, e quando qualcuno immancabilmente fa notare nella
sigla IOT non c’è la S, rispondono “Appunto”. È un modo umoristico per
sottolineare che troppo spesso nei dispositivi connessi a Internet per la
gestione remota di apparecchi di vario genere la sicurezza è scadente se non
addirittura inesistente.

I toni del CISA, il dipartimento per la sicurezza informatica e delle
infrastrutture degli Stati Uniti, sono stati invece molto meno umoristici
quando questo ente ha
avvisato
pubblicamente che tutti gli apricancello, le porte automatiche e i sistemi di
gestione degli antifurto della marca Nexx, una delle più popolari nel settore [oltre 40.000 dispositivi residenziali e commerciali],
sono incredibilmente vulnerabili.

Tutti questi dispositivi, infatti, hanno una stessa password universale,
facile da trovare, e trasmettono in chiaro, senza alcuna crittografia,
l’indirizzo di mail, l’identificativo del dispositivo e altri dati insieme a
ogni messaggio di apertura o chiusura o programmazione. In altre parole, come
scrive
Ars Technica, chiunque abbia competenze tecniche anche modeste può frugare nei server
della Nexx, cercare un dato indirizzo di mail associato a un dispositivo che
gli interessa, e poi dare comandi a quel dispositivo, per esempio
disabilitando un antifurto o aprendo la porta di un garage altrui.

L’azienda è stata contattata da Sam Sabetan, il ricercatore di sicurezza che
ha notato queste falle, ma non ha risposto, neanche quando è stata raggiunta
dal Dipartimento per la Sicurezza Nazionale. L’esperto consiglia di scollegare
qualunque dispositivo di questa marca e il CISA raccomanda di isolare i
prodotti Nexx da Internet e dalle reti aziendali, di proteggerli con un
firewall
e di usare una VPN per gli accessi.

Gli errori di progettazione rivelati dal ricercatore sono davvero elementari:
è da incoscienti usare una password identica in tutti i dispositivi di
controllo remoto, perché questo permette a un aggressore di comandare i
dispositivi degli altri, come ha fatto appunto Sam Sabetan in un video per
dimostrare l’entità della falla. Ed è ancora più preoccupante che l’azienda
non si sia finora degnata di rimediare.

Non è il primo caso del suo genere, e quindi resta da chiedersi quanti altri
dispositivi domotici e di controllo remoto, i cosiddetti dispositivi
smart, sono progettati altrettanto maldestramente e non sono ancora stati
scoperti.

Fonti aggiuntive: Sophos, Ars Technica, Graham Cluley.

Due parole sul blocco di ChatGPT

Per finire, spendo due parole a proposito di quello che molti hanno definito
impropriamente il blocco di ChatGPT in Italia voluto dal Garante per la
Privacy nazionale. In realtà [come nota per esempio Cybersecurity360.it] è stata OpenAI, l’azienda che gestisce ChatGPT,
ad autosospendere il servizio per gli utenti italiani in attesa di
regolarizzare la propria posizione legale, visto che il Garante italiano le ha
segnalato che non rispettava il regolamento europeo sulla privacy e sul
trattamento dei dati, per esempio dando libero accesso anche ai minori di 13
anni.

[Nota: anche il Canada ha avviato un’istruttoria; Germania, Francia e Irlanda si appresterebbero a seguire l’esempio del Garante italiano, secondo La Regione/Ats/Reuters]

È molto probabile che questa autosospensione cessi presto, quando OpenAI si
metterà in regola. Però nel frattempo molti utenti si sono indignati e si sono
affrettati a tentare di aggirare questa autosospensione, usando software di
VPN e simili per far sembrare di non essere in Italia. Tuttavia la questione
della privacy dei dati degli utenti, con questi software di intelligenza
artificiale, è seria e fondata: lo sanno bene i dipendenti di Samsung, per
esempio, che hanno subìto una fuga di dati sensibili su progetti industriali
perché hanno immesso in ChatGPT il codice sorgente dei loro software aziendali
per farselo controllare. Ma OpenAI avvisa che quello che si immette può essere
letto dai dipendenti dell’azienda [dalle sue FAQ: “Your conversations may be reviewed by our AI trainers to improve our systems”; informativa sulla privacy].

Se immaginate un medico che carica in ChatGPT un referto per farselo
riassumere o analizzare, con nomi e cognomi, o un ragazzo che si rivolge a
ChatGPT per avere risposte su argomenti delicati come la sessualità e i
rapporti interpersonali pensando che sia uno spazio privato, forse le
motivazioni del Garante diventano più chiare. Anche perché è già stato
segnalato il primo caso documentato di una persona incoraggiata a suicidarsi
da un servizio di chat basato sull’intelligenza artificiale.

ChatGPT e simili sono degli strumenti utili, ma è essenziale conoscerne i
limiti e il reale funzionamento: non sono veramente intelligenti, danno
facilmente suggerimenti falsi o pericolosi, e quello che vi immettete non
resta segreto.