Archivi tag: sicurezza

Sicurezza dei dati “web-2.0”?

Aristocrat via Flickr

Aristocrat via Flickr

Oltre ai problemi legati alla privacy (di cui si è parlato in lungo ed in largo negli ultimi giorni, anche grazie alla risonanza data alla questione “Policy Facebook” e sulla cui questione quindi non spenderò ulteriori parole), il mondo delle web-applications nasconde alcuni ulteriori rischi, di cui siamo forse ancora meno coscenti di quanto non lo siamo in tema di protezione dei nostri dati personali.

Lo spunto me lo dà un post di Nicola Losito sulla fine di Ma.gnolia.com, la piattaforma di Social Bookmarking (analoga a delicious.com): dove sono i nostri dati, e come vengono salvaguardati? Finché riesiedono sul nostro pc, i nostri files, email, bookmarks e tag sono sotto il nostro diretto controllo e soprattutto sotto la nostra diretta responsabilità: spetta evidentemente a noi l’onere di mantenerne una copia di backup, in modo da poterli recuperare in caso di guasti o inavvertite cancellazioni.
Nel momento in cui, però, i nostri dati vanno in remoto, l’onere del backup a chi spetta? E’ vero che i grossi provider di web-applications (Google su tutti) hanno sistemi di storage in grado di gestire senza problemi di alcun genere eventuali guasti ai sistemi, ma ogni volta che sottoscriviamo un servizio online verifichiamo le strutture informatiche che lo sostengono (o ce ne viene in qualche caso data la possibilità)? Non è forse per di più capitato che Google “perdesse” le email di alcuni suoi utenti?

E’ poi vero che possiamo mantenere una copia di backup dei dati che carichiamo online in locale? Una parte significativa dei contenuti che carichiamo online è rappresentata dall’interazione di questi con le piattaforme su cui vengono caricate o gli altri servizi online che vi fanno riferimento; cerco di spiegarmi: qual’è il valore del mio elenco dei miei bookmarks su Delicious.com? In se per se, poco o nulla (ne ho per altro una copia in locale, visto che vengono sistematicamente backuppati e sincronizzati), ma i tag che vi ho assegnato, l’interazione della piattaforma di delicious.com con altre web-application, siano queste Facebook, Friendfeed o altre, queste si che sono informazioni di valore, difficili anche da sottoporre a backup. Lo stesso discorso vale per le foto caricate su Flickr: mantenerne una copia di backup in locale mi permetterà di recuperare le foto, magari i tag (se ho avuto l’accortezza di esportare questi dati da applicativi “avanzati” come F-Spot), ma la geolocalizzazione? I commenti? La parte “sociale” di Flickr?
Tutto questo è ovviamente parte integrante del valore della web-application di turno (e spesso il motivo principale per cui ne facciamo uso) ed è comprensibile che vi sia una certa ritrosia a consentirne l’esportazione (e quindi il backup).

Ancora una volta ci si rende conto di quanto la vera merce di scambio online siano i dati e non direttamente il vil denaro, di quanto non abbiamo ancora maturato una reale percezione della cosa e di quanto (quindi) ci esponiamo al caso e/o alla serietà delle entità con cui ci troviamo a dialogare, spesso a noi sconosciute…

Annunci

Smettiamola di scrivere stronzate

gruntzooki via Flickr

gruntzooki via Flickr

Sono giorni che ne leggo, alla fine ho deciso di scrivere due righe per commentare la crescente paura riguardo l’impossibilità di effettuare intercettazioni con Skype, venuta alla luce in concomitanza con la scoperta che strumenti analoghi sarebbero usato da terroristi e mafiosi di tutto il mondo per comunicare segretamente tra di loro.

Tralasciando l’imbarazzante livello tecnico dell’articolo appena uscito su BlogVoip (che consideravo attendibile, con ovvio mio errore di valutazione: mi sarei aspettato un articolo simile da una testata generalistica come Repubblica, non da un blog tecnico come questo), la notizia è già stata ripresa da più parti e se ne è discusso abbondantemente.
Troppe le opinioni che sembrano puntare decise verso il trovare una valida possibilità per applicare il meccanismo delle intercettazioni telefoniche anche al VoIP e non escludo (visto l’andazzo degli ultimi anni) che venga avanzata una proposta di legge che rende illegare l’uso della crittografia su internet (-.-).

Anche stavolta (curiosamente dirà qualcuno) mi trovo a fare la voce fuori dal coro: ma perché, i cellulari criptati non esistono? O vogliamo impedire ai mafiosi di usare parole in codice nelle loro frasi? Facciamogli impostare l’evil bit (per i nerd che capiscono la battuta)!

Si parla di privacy su internet, di necessità di essere padroni delle nostre informazioni e ci si spaventa di fronte alle prime conseguenze dirette di tutto ciò? In ogni caso i malintenzionati troveranno una strada per aggirare qualsiasi normativa di legge in questo senso: la crittografia esiste ed è inviolabile, non ci sono santi che tengano. Urlare contro “babau” e “uomo nero” non aiuterà a renderla meno efficace e (soprattutto) non impedirà ai malintenzionati di utilizzarla.

Cerchiamo di usare il cervello e di evitare che questa storia finisca come il Decreto Pisanu, che tutt’ora ci impedisce di usare wifi libero nelle nostre città perché “potrebbe essere usato dai terroristi per comunicare”…

Delle Olimpiadi di Pechino e delle loro conseguenze

Beijing National Olympic Stadium 14 Sono terminate, ormai da diversi giorni, le Olimpiadi cinesi. Si è trattato indubbiamente di una delle edizioni più discusse (anche se in generale l’evento olimpico si presta parecchio alle polemiche) , prima e durante il suo svolgimento: dapprima la questione tibetana, con gli appelli al rispetto dei diritti umani e le minacce di boicottaggio, poi con la questione russo-georgiana, con le polemiche legate all’arbitraggio, all’età di alcuni dei partecipanti (pare piuttosto inferiore ai 16 anni minimi previsti dal regolamento). Come tutti gli eventi però, la parte fondamentale da analizzare (e che solitamente rimane poi quella meno trattata) è costituta dalle conseguenze, sicuramente più durevoli nel tempo che non la diatriba sull’età di questa o quella ginnasta locale, o sull’opportunità o meno di assegnare l’ottavo oro a Phelps.

Indubbiamente il primo aspetto da trattare è quello legato al boicottaggio ed alla questione del rispetto dei diritti umani in Cina. Come avevo già avuto modo di dire abbondantemente prima dell’inizio dei giochi, l’unica occasione per intervenire concretamente sulla questione, consisteva nel rifiutare la candidatura cinese per i giochi del 2008: che senso può avere assegnare i giochi olimpici alla Cina (ben conoscendo la situazione politica e sociale del Paese) e poi urlare allo scandalo e minacciare boicottaggi? Soprattutto facendolo coscienti che per motivi politici ed economici la cerimonia d’apertura non avrebbe potuto in ogni caso essere realmente boicottata (avete pensato a che conseguenze potrebbe avere un “irrigidimento” delle importazioni e/o esportazioni di un colosso dell’economia mondiale come la Cina?). Ogni pressione successiva all’assegnazione dei giochi è stata come si poteva prevedere, agevolmente aggirata dal governo (ad esempio il CIO aveva imposto alla Cina di sospendere i sistemi di censura di internet per tutto lo svolgimento delle olimpiadi, cosa che a quanto ne so’ è stata bellamente ignorata dagli organizzatori, senza incorrere per altro in particolari sanzioni).
Indubbiamente le Olimpiadi sono servite a risvegliare l’attenzione dei mass media e della società civile sulla questione tibetana, ma proprio l’attenzione dedicata al Tibet ha tolto il fuoco degli obiettivi sul rispetto dei diritti umani all’interno della Cina (non solo in Tibet vengono violati), dalla questione del rispetto della privacy e della censura, dalle persecuzioni che ancora vengono attuate a discapito di minoranze religiose nel paese: gli organizzatori hanno sapientemente riportato l’attenzione sui giochi e messo così sufficientemente a tacere le proteste che sono pur continuate per tutta la durata dei giochi, tranquillamente ignorate dalla stampa internazionale presente sul posto.

Le Olimpiadi di Pechino hanno oltretutto costituito per il governo cinese un’ottima occasione per incrementare ulteriormente i sistemi tecnologici volti al controllo della popolazione: con la scusa infatti di garantire la sicurezza di spettatori ed atleti, sono stati chiesti alla popolazione cinese i soliti sacrifici in termini di privacy (gli stessi che vengono costantemente chiesti a noi “occidentali” in nome della lotta al terrorismo), consentendo l’installazione di tutta una serie di telecamere ed impianti di sorveglianza che, manco a dirlo, resteranno in funzione anche ora che i giochi olimpici sono terminati, andando così a rendere ancora più gravi i problemi esposti nel paragrafo precedente (violazione dei diritti umani, persecuzioni e via discorrendo)

La grande vittoria della Cina con queste olimpiadi, sotto ogni profilo, è indubbiamente quella dell’immagine: la Cina che emerge dalle Olimpiadi 2008 è forte e determinata, moderna ed “occidentale”. Sul piano mediatico interno, grazie alla fortissima propaganda del governo (paragonabile negli ultimi anni solo a quella della Cina di Mao), abbiamo assistito alla vittoria, olimpica (con la impressionante raccolta di ori) e politica, della Grande Cina (ricordiamo che per i cinesi la Cina non è un paese emergente, ma un paese che torna in primo piano sulla scena internazionale dopo aver dominato il mondo fino al XIX secolo). Vittoria conseguita per altro contro il resto del mondo, che tra minacce di boicottaggi e palesi atti d’accusa (ricordate la questione della torcia olimpica?) aveva tentato in ogni modo di fermare la rinascita politica del paese del sol levante, estorcendole ciò che spettava loro di diritto (i giochi, per l’appunto).
Sul piano internazionale invece, la Cina emerge rafforzata dai quindici giorni olimpici: alla resa dei conti, l’impressione è che le Olimpiadi abbiano avvallato di fatto le politiche attuate dalla Cina (dopotutto, ancora una volta, gliele abbiamo assegnate e si sono svolte, no?), consacrandola definitivamente tra i grandi paesi del mondo industrializzato (le minuscole sono volute). Come si potrà, ora, tenerli fuori ad esempio dal G8?

Michal Zalewski – Il rumore dell’hacking

Immagine di Il rumore dell'hacking
Il più grande errore che un informatico di professione possa commettere, è ritenere (ad un certo punto) di aver capito qualcosa della materia della quale si occupa; ci si fossilizza su alcune idee, si cominciano a trattare sempre le stesse tipologie di problemi e via dicendo, correndo verso quel baratro di noia che è la routine. E’ tanto più facile incorrere in questo errore, tanto più approfondite sono le competenze che si possono vantare e l’umiltà di continuare a cercare in giro, in mezzo alla montagna di argomenti “obsoleti” o “già noti” alla ricerca di qualcosa di nuovo ed interessante, a volte scoraggia, lo ammetto.

Poi capita che un amico ti segnali (e ti presti) un libro del cui autore non conosci neppure il nome (e in realtà scoprirai che è solo la maledetta abitudine acara di usare il nickname) e ti capita che questo libro di faccia accendere tante di quelle lampadine nella mente, a rischiarare il buio che il tempo ci ha portato, che puoi solo sperare di non dover pagare la bolletta all’Enel.

Michal Zalewski è uno dei mostri sacri del fingerprinting, un “white hat” estremamente giovane (è dell’81, in Polonia) eppure già oggetti di stima ed ammirazione. In questo libro, Zalewski mette banalmente a disposizione del lettore parte della sua conoscenza, conducendolo per mano nel mondo del fingerprinting passivo (ed attivo), tra cose stupefacenti ed incredibili eppure ogni volta giungendo a dimostrarne la fattibilità.

Un libro assolutamente consigliato a tutti coloro che si occupano di informatica, di sicurezza e di telecomunicazioni e che non lo annoverino già nella propria biblioteca.

Commento su Anobii.com:

In questo libro, il giovane polacco, mostro sacro del fingerprinting, Michal Zalewski mette banalmente a disposizione del lettore parte della sua conoscenza, conducendolo per mano nel mondo del fingerprinting, tra cose stupefacenti ed incredibili eppure ogni volta giungendo a dimostrarne la fattibilità.
Un libro assolutamente consigliato a tutti coloro che si occupano di informatica, di sicurezza e di telecomunicazioni e che non lo annoverino già nella propria biblioteca.

Gad Lerner sui fatti di Verona

[ Fonte: Gad Lerner – Il blog del Bastardo – » Verona, non solo skinheads ]

skinhead...Se la vittima del pestaggio di Verona fosse stato uno straniero anziché il povero Nicola Tommasoli, un giovane dei “nostri”, oggi la città vivrebbe il medesimo turbamento? Ne dubito, visto lo scarso rilievo attribuito finora alle scorribande contro gli immigrati perpetrate sistematicamente da anni in quel territorio dal “Fronte Veneto Skinheads” e da altre squadracce fasciste e padane, sedicenti cristiane o pagane, nel nome della lotta contro la società multietnica e il “mondialismo”. Nessun leader politico si è mai sognato di impostare la sua campagna elettorale contro i soprusi fisici, sessuali, culturali, inflitti ai nostri nuovi vicini di casa colpevoli di generare allarme sociale. Il tema non sarebbe redditizio come lo è invece ergersi a paladini della sicurezza minacciata dall’invasione degli “estranei”.
Se al contrario fosse stato un criminale straniero a ridurre in fin di vita Nicola Tommasoli nel centro di Verona, non oso immaginare la rincorsa dei proclami e delle fiaccolate.

Dove devo mettere la firma? Gad Lerner tocca le corde giuste, ancora una volta. Purtroppo su questo aspetto è la sinistra, che dovrebbe per sua natura spingere per l’integrazione e la denuncia di soprusi simili, a mancare maggiormente. Sono anni ormai che “la questione sicurezza” è la migliore delle corde della destra più estrema (ed i risultati di Lega e estremisti la dice lunga sotto questo aspetto), mentre noi siamo assolutamente incapaci di reagire, di fornire risposte a questo problema sociale e tutt’al più ci mettiamo a fare coro comune con i neo-fascisti (come successo a Roma, in piena campagna elettorale).

Consiglio sentitamente la lettura dell’articolo di Gad… Povera Italia…

Il diffondersi di OpenID

OpenID logo OpenID non è certo una novità, per gli addetti ai lavori. Il concetto di un’autenticazione centralizzata, accessibile a tutti i servizi web, è una idea che balenava in mente agli informatici già da molti anni, e la semplicità dell’implementazione di OpenID ha rapidamente mietuto successi, fino ad essere in fase di adozione da parte di Google (il che garantisce al progetto una visibilità non indifferente e ne segnala il raggiunto stadio di maturità) e di Yahoo (prevedibile notizia arrivata proprio poche ore fa), oltre che il supporto da parte di una larga fetta di software (spesso liberi) estremamente diffusi sul web, cominciando da Drupal e da WordPress (per ora tramite l’uso di un plugin).
Il grande limite, al momento, di OpenID, è la mancanza di una reale integrazione (per default) nei principali browser. Già Firefox-3.0 però contribuirà a risolvere il problema: il nuovo venuto nella famiglia Mozilla infatti, dovrebbe includere la possibilità di eseguire automaticamente i login nei siti che supportano OpenID, ed autenticarsi automaticamente sul proprio fornitore OpenID al momento dell’apertura del browser.

Il primo, evidente, vantaggio dell’uso di OpenID è l’eliminazione del fastidio del moltiplicarsi degli account su siti diversi, che significano form da riempire, password da ricordare (o la stessa password per tutti i siti, il che non è certo meglio) e da cambiare su tutti i siti (quando decidere che la vostra password singola è troppo datata per essere ancora sicura), autenticazioni da fare innumerevoli volte durante ogni giornata su internet, e via dicendo. Già questo potrebbe essere una giustificazione valida per spingere all’utilizzo di OpenID.

In realtà però, i veri vantaggi di OpenID sono legati a “sicurezza” e “privacy”. Usando OpenID infatti, potrete utilizzare una singola autenticazione per tutti i siti che vorrete visitare, ma potrete scegliere se consentire loro l’autenticazione una sola volta o “a vita”, potrete definire delle liste di siti “fidati”, potrete utilizzare più “personalità” a seconda della fiducia che volete assegnare al sito che state visitando. Tutto questo senza dover inventare password su password, che poi vanno scritte o ricordate.

Inoltre vi sarà possibile definire quali dati cedere al sito in questione, proteggendo la vostra privacy: se vi volete solo autenticare, non sarà necessario fornire la vostra data di nascita, no? Bene, con OpenID potrete impostare il vostro account in modo che, a quel determinato sito, vengano forniti solamente i dati relativi all’autenticazione, e nulla più; di quell’altro sito invece vi fidate, e volete dargli anche la data di nascita in modo che possa inviarvi i bigliettini d’auguri? Tanto meglio, un segno di spunta e ha accesso alla data di nascita, e voi ai vostri bigliettini d’auguri. Cambia un dato? Non dovrete più fare il giro per tutti i siti che visitate abitualmente ad aggiornare i profili: basterà modificare il vostro account OpenID e “magicamente” il nuovo dato sarà disponibile su tutti quei siti ai quali avete dato accesso a quel dato (e solo a quelli!).

Voglia di fare un giro? Recuperate il vostro url OpenID url, e cominciate a navigare 🙂

Un’altra Columbine, 8 anni dopo

norris_hall.jpg33 morti (compreso il killer) ufficialmente. 15 feriti, ufficialmente. In realtà a morire o a restare gravemente feriti, ieri mattina presso il campus universitario di Blacksburg, sono gli Stati Uniti d’America stessi.

La strage di del 1999 aveva lasciato tutti sotto chock, con quei 13 morti per mano di alcuni loro compagni. Aveva soprattutto stupito l’inutilità di quegli omicidi: mancanza di integrazione sociale (si, non si riferisce solo agli extracomunitari come vorrebbero far credere in Italia), situazioni lasciate marcire, odio, bisogno di sfogo. Si era aperto un dibattito, sull’uso delle armi, che negli USA si possono acquistare praticamente al supermercato. Dibattito lungo ed intenso, che aveva persino portato il famoso regista Michel Moore a realizzare un film sull’argomento, “Bowling for Columbine”. Dibattito, eppure, inutile, perchè ieri un ragazzo di 20 anni ha potuto prendere le sue due armi semiautomatiche, e andaresene in giro per il campus della Virginia per praticamente 2 ore, sparando ai passanti ed organizzando vere e proprie esecuzioni sommarie, con tanto di “prigionieri” allineati contro i muri e “giustiziati”.

C’è anche spazio per le recriminazioni. Dopo i primi 2 omicidi, sono passate quasi 2 ore prima che il killer riprendesse la mattanza. Due ore durante le quali è sfuggito alla polizia (ormai sul luogo del delitto), spostandosi da un capo all’altro del campus. Due ore durante le quali si sarebbe potuto evaquare il campus, per salvare delle vite. Invece, un duplice omicidio in un dormitorio, deve essere una cosa normale negli USA, al punto che si pensa ad un “caso isolato” e quindi ad intervenire su un unico edificio.

Oggi, il giorno dopo, a mente fredda, il presidente degli USA Geroge W. Bush dichiara che è necessario ribadire il “diritto di possedere armi”, pur nei limiti previsti dalla legge. A questo punto io mi chiedo cos’abbia imparato l’America (gli USA) da Columbine, e cosa imparerà da Blacksbourg (che diventerà inevitabilmente famosa e ricordata per anni per questo drammatico episodio). E la risposta, purtroppo, è li, ben visibile, quasi palese: nulla.

Il diritto alle armi. Il diritto di uccidere. Il diritto di esportare la democrazia. Il diritto alla giustizia sommaria. La pena di morte. Il diritto alla violenza.