Archivi tag: punto-informatico

Un altro colpo di LK

Lastknight playing.... Matteo Flora, aka LastKnight, non è certo ignoto a chi bazzica nel mondo della sicurezza informatica italiana. Non è nuovo neppure allo scoprire falle (di vario genere), anche in siti web piuttosto noti, o delicati.
L’ultimo colpo, di cui si è avuta notizia da Punto-Informatico questa notte, è di quelle che mettono i brividi: “cross site scripting” con accesso ai dati di Comune di Milano, Rosso Alice e (nientepopodimenoche) Camera dei Deputati.

Interessante la replica di Alessandro Musumeci (direttore dei Servizi Informativi del Comune di Milano), che si trova coinvolto nell’ennesima rogna (dopo quelle dei sistemi ballerini dei primi giorni dell’Ecopass, ad esempio), che parla di “più fondi” e di “riprogettazioni in corso”. Tutto sicuramente vero, ma (aggiungo io nella mia ignoranza), un passo fondamentale è progettare da buon principio i servizi in modo che tengano in mente il problema della sicurezza, e farlo per il dovere di farlo, non per far bella figura all’Expo 2015.

Tornando a Matteo, però, una piccola anticipazione la voglio lanciare (visto che mi ha dato il permesso di farlo, ieri sera :P): da lunedì, proprio Matteo terrà una rubrica su Punto Informatico dedicata alla (in)sicurezza informatica, andando ad aggiungere ulteriore prestigio alla squadra di “stelle” che scrivono per il noto portale di informazione diretto da Paolo De Andreis, tra i quali troviamo già gente del calibro di Marco Calamari.

E le novità, da quel poco che posso capire, non sono finite. Stay tuned… 😛

Di privacy ed anonimato

The Big Brother is watching youGaia Bottà propone oggi, su Punto Informatico, un’interessante riflessione in materia di “deprivacy”, riportando criticamente la posizione di Donald Kerr, capo dell’Office of the Director of National Intelligence americano, il quale ritiene che il concetto di privacy debba cambiare, passando dalla possibilità di mantenere l’anonimato in rete al controllo dell’uso che viene fatto di questi dati.
Avevo affrontato l’argomento, anche se con pochissimo tempo a mia disposizione, a Firenze, qualche settimana fa, come primo relatore di QuiFree. Proprio le prime slides di quell’intervento, cercando di spiegare in pochi minuti cosa fosse la “privacy”, accennavano, dandolo per scontato, al fatto che la privacy online sia passata dal controllo dei destinatari dei nostri dati personali, al controllo di cosa venga fatto di questi dati.
Si tratta però indubbiamente di una pesante sconfitta e non, come invece sembra voler far passare Kerr, di un cambiamento inevitabile. Proprio il controllo di cosa viene fatto dei miei dati da parte di un’azienda e/o di un Governo infatti, deve prevedere la possibilità di rifiutare che questi dati vengano in alcun modo utilizzati.

La rete è un mezzo incredibile di scambio di informazioni, probabilmente più potente di quanto non sia comunemente percepito da politici e comuni cittadini. Pochi infatti, paradossalmente, hanno idea di quali e quante informazioni seminano in giro per la rete semplicemente “navigando”.
Non si tratta solo della risoluzione del monitor, o dell’attivazione o meno dei cookies o di Javascript, del browser e/o del sistema operativo utilizzato. Si tratta di cookie, di referrer, di parole chiave, di tracking, di profilazione.

Chi di voi abbia messo le mani su Google Analytics (io lo sto testando proprio su questo blog), ha potuto rendersi conto di quale quantità di dati si possa raccogliere con un semplice javascript (invisibile di fatto alla maggior parte degli utenti) e della massa di informazioni derivate che questi pur pochi dati possono generare: frequenze di rimbalzo, aree geografiche di provenienza, campagne pubblicitarie mirate, strutturazione del sito per migliorarne il layout (magari allo scopo di influenzare il consumatore).
Ora, solo Google rappresenta solitamente oltre il 70% dei referrer di ogni sito web, e Google Analytics ha un fattore di pervasività assolutamente inimmaginabile, come ha efficacemente riportato Matteo Flora all’ultima edizione dell’End Summer Camp. In questo modo, la quantità di informazioni che Google può raccogliere sugli utenti è di quelle da mettere i brividi. E lo stesso meccanismo potrebbe senza troppe difficoltà (pur non arrivando a questi numeri) essere messo efficacemente in pratica da chiunque (magari tramite l’uso di un banale proxy aziendale trasparente).

Il problema del tecnocontrollo non è piu solamente una questione di paranoia di pochi utenti. Quanti sono ancora convinti che i servizi di Google siano offerti gratuitamente? Un potentissimo sistema di ricerca, un efficace sistema di lettura di feed RSS, un sistema di gestione statistiche spaventosamente potente, giga e giga di spazio email, senza dove scucire un solo dollaro. Ma è questo gratuito? Google continua a guadagnare, e la sua principale fonte di guadagno è la pubblicità mirata, alla quale ognuno di noi contribuisce con l’assidua fornitura dei propri dati di navigazione. Si tratta di un rapporto commerciale, di un modello di business: forse differente da quello che normalmente gli utenti assimilano (banconota e/o monetina contro prestazione e/o servizio), ma assolutamente efficace, al punto che anche strutture dimensionalmente più piccole di quelle con sede a Mountain View ci si sono buttate e sopravvivono discretamente bene.

Che Kerr riporti l’esempio dei giovani di oggi, che rinunciano alla propria privacy esponendo i propri dati su MySpace o Facebook come una dimostrazione dell’apparire di una nuova concezione di “privacy” (dati in cambio di servizi appunto), altro non è che la dimostrazione di quanta ignoranza e di quanta poca lungimiranza ci sia nell’attività in rete di ognuno di noi. Io stesso, su questo blog, pubblico una quantità impressionante di informazioni, alcune delle quali anche personali (c’è persino il mio curriculum, se lo si cerca bene). Io lo faccio coscientemente, consapevole dei rischi a cui mi espongo, almeno per quello che la mia esperienza mi porta ad immaginare per il futuro.

Ma quanti utenti sanno di cosa si parla, quando si nomina la “privacy”, il “diritto all’oblio”, il “tecnocontrollo”?

Si può condividere con Kerr la necessità di creare un sistema di leggi, che dotandosi di un’infrastruttura di garanti e commissioni di vigilanza, ma questo non deve rappresentare l’imposizione della fine della possibilità di anonimato: il controllo sulla sorte dei propri dati deve consentire anche la possibilià di non cederli a chi che sia. Ogni tanto Giovanni mi riporta una frase, che in questo contesto è particolarmente significativa: “un buon silenzio non fu mai scritto”; per esteso, un dato veramente privato non deve essere memorizzato da nessuna parte, perché le mani che oggi riteniamo fidate potrebbero improvvisamente (ed irrimediabilmente) scoprirsi bucate…

Standard OpenXML?

Punto-Informatico da oggi notizia che sembrerebbe esserci stato un primo passo, da parte della ISO, verso la standardizzazione ufficiale di OpenXML.
Ci tengo a ribadire, prima ancora di cominciare il discorso, che non ho nessuna particolare antipatia nei confronti ne di Microsoft, ne dell’ISO, ne tantomeno di OpenXML in se per se (visto che poi qualcuno cercherà comunque di mettermi in bocca questi concetti, vedo di essere chiaro sin da buon principio).
Le mie obiezioni in materia sono diverse, non ultimo, il fatto che esiste già uno standard documentale funzionante e standardizzato (si chiama ODF) per cui non vedo la necessità di averne un secondo. E’ sufficiente che Microsoft integri (esiste già, lo ha commissionato lei stessa) il convertitore ODF-OpenXML nelle proprie suite per l’ufficio, ed il gioco sarebbe risolto.
Invece no. Si spinge uno “standard” composto da 6000 pagine, in un orribile balletto “politico” che mi ricorda un po troppo da vicino il discorso fatto con i brevetti software.
Ha senso uno standard i 6000 pagine? Lo si può definire standard? Uno standard dovrebbe avere come fine ultimo la garanzia dell’interoperabilità, la costituzione di un’interfaccia chiara ed implementabile per tutti gli operatori che vogliono usare quello standard. 6000 pagine sono “chiare ed implementabili”? Che bisogno c’è di 6000 pagine di testo, quando lo standard ODF ne prevede forse un centesimo?
Soprattutto, che senso ha portare avanti uno standard bacato ancora in fase di progettazione (qualcuno quelle 6000 pagine se le è lette ed ha scoperto che il calendario gregoriano è gestito in modo scorretto)?
Microsoft è davvero intenzionata a lasciar usare lo “standard” royalty-free oppure (come capitato con i .doc) comincerà a pretendere un balzello per ogni documento esportato in quel formato?
Se poi intendono implementare il loro stesso standard come hanno fatto con gli altri standard “de jure” o “de facto” che siano (HTML? CSS? Javascript?), penso che aggiungeremo un ulteriore livello di incompatibilità tra i vari applicativi per l’ufficio, come se non ce ne fossero già a sufficienza…