Vai al contenuto
Ancora una volta qualcuno propone di vietare i social a chi ha meno di tredici anni. Naturalmente senza uno straccio d’idea su come farlo in pratica. Stavolta in Italia ci prova Azione

Ancora una volta qualcuno propone di vietare i social a chi ha meno di tredici anni. Naturalmente senza uno straccio d’idea su come farlo in pratica. Stavolta in Italia ci prova Azione

Ultimo aggiornamento: 2023/06/09 8:45.

Oggi (8 giugno) in Italia il partito Azione ha pubblicato questo tweet che
propone
“di vietare l’utilizzo agli under13 e la possibilità di accesso solo con il
consenso dei genitori per gli under15, in linea con la normativa europea.
L’età dovrà essere certificaita
[sic]
attraverso un meccanismo in grado di confermare in modo sicuro i requisiti
e che potrà essere utilizzato anche per tutti gli altri siti a maggior
rischio.”

La proposta è stata descritta da Azione in
questo documento, la cui unica parte vagamente tecnica è questa, che già contiene una
contraddizione: si dice che quando l’utente italiano chiederà di registrarsi a
un social network verrà rimandato a un servizio di identità digitale, e poi si
dice che
“la proposta non avrà un impatto sul funzionamento dei social media”.
Ma se si introduce questo rimando, allora l’impatto c’è eccome.

Gli anni passano, ma i politici proprio non riescono a mettersi in testa il
concetto che la certificazione dell’età per usare i social network non si può
fare e che non basta invocare un magico “meccanismo” per risolvere i
problemi tecnici.

Ci siamo già passati
di recente, per cui mi sono permesso di
rispondere
al tweet di Azione come segue.

Buongiorno, avete provato a consultarvi con gli addetti ai lavori prima di
proporre questo divieto? Capisco le buone intenzioni, ma per l’ennesima
volta si fanno proposte senza pensare a come si implementerebbero.

Queste
sono le obiezioni degli esperti:

1. Introdurre un divieto significa trovare il modo di farlo rispettare,
altrimenti è inutile. Farlo rispettare significa identificare gli utenti.
Chi farà questo lavoro? Chi lo pagherà? Chi vigilerà contro abusi?

2. A chi affidiamo i dati dei minori? A Facebook, Twitter, Instagram,
Tinder, Ask, Vkontakte, WhatsApp, Telegram? A quante aziende dovremmo dare i
documenti dei nostri figli?

3. Pensate che un dodicenne non sappia come creare un account non italiano
usando una VPN per simulare di stare all’estero? [I video su YouTube sono pieni di sponsorizzazioni da parte di una nota marca produttrice di VPN; il browser Opera ha una VPN gratuita incorporata]

4. L’anonimato online è un diritto sancito dalla Dichiarazione dei diritti
in Internet, approvata all’unanimità a Montecitorio nel 2015. Lo ignoriamo?

5. Cosa si fa per gli account esistenti? Li sospendiamo in massa fino a che
non depositano un documento? E se un utente esistente si rifiuta di dare un
documento, che si fa? E se il social network decide che non se la sente di
accollarsi questo fardello tecnico immenso?

6. Se il documento andasse dato ai social network, significherebbe dare una
copia di un documento d’identità ad aziende il cui mestiere per definizione
è vendere i nostri dati.

7. Equivale a una schedatura di massa. Creerebbe un enorme database
centralizzato di dati, attività e opinioni personali di milioni di
cittadini, messo in mano a un’azienda o a un governo. E necessariamente
consultabile da governi esteri.

8. Avete provato a parlarne con il Garante per la Privacy? La volta scorsa
che qualcuno ha fatto una proposta analoga, la sua risposta fu
questa
[“Pensare di imbrigliare infrastrutture mondiali con una nostra leggina
nazionale è velleitario e consegnare l’intera anagrafica a privati è
pericoloso”]

9. C’è già adesso un limite di età indicato nelle condizioni d’uso dei vari
social network. Chiaramente i social non riescono a farlo rispettare. In che
modo pensate di riuscire a fare quello che società miliardarie non sono in
grado di fare?

10. Suggerisco di non proporre SPID o altre certificazioni digitali di
identità. Non solo milioni di utenti non le hanno e non le sanno usare, ma
resterebbe il problema degli account esistenti.

Basta, per
favore, con le proposte tecnicamente insensate.

11. Fare questo genere di proposte senza avere un piano tecnico già discusso
con gli esperti rischia di essere un autogol. Capisco che “per salvare i
bambini” sia uno slogan sempreverde, ma non è così che si salveranno i
bambini. Le carriere politiche, forse. I bambini, no.

12. Gli esperti italiani non mancano. Sentiteli. Vi diranno che, per
l’ennesima volta, la proposta è irrealizzabile.

Buon lavoro.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Ho chiesto a Twitter di diventare utente verificato. Ecco com’è andata

Ho chiesto a Twitter di diventare utente verificato. Ecco com’è andata

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle
donazioni dei
lettori. Se vi piace, potete
farne una
anche voi (con
Paypal,
regalandomi una
ricarica telefonica dati
o pescando dalla mia
wishlist su Amazon)
per incoraggiarmi a scrivere ancora.

Erano mesi che rimuginavo di farlo e finalmente mi sono deciso ad affrontare la
trafila dell’autenticazione di Twitter per far diventare @disinformatico
un “account verificato”. In passato era Twitter che decideva se offrire o meno
la verifica (il bollino azzurro accanto al nome), ma da qualche tempo la
procedura è stata aperta a tutti. Ecco com’è andata.

2016/12/11. Il primo passo, naturalmente, è stato trovare la
pagina di richiesta di verifica account
e leggere attentamente la relativa
pagina di spiegazione.

Il primo tentativo di compilare la richiesta è fallito miseramente: non avevo
mai messo la data di nascita nel mio profilo. L’ho aggiunta, impostandola in
modo che sia visibile solo a me, visto che la data di nascita è uno dei criteri
di “autenticazione” utilizzato spesso dai servizi commerciali poco furbi (anche
di grandi aziende).

Il secondo tentativo è andato un po’ meglio: mi è stato chiesto di citare almeno
due siti che permettano a Twitter di identificarmi. Ne ho messi cinque, insieme
alla spiegazione delle ragioni per le quali credo che questo account debba
essere verificato e a una foto della mia patente di guida (che,
mi dice Twitter,
verrà distrutta dopo la procedura; la foto, non la patente).

Poi ho confermato il tutto, dichiarando di garantire personalmente l’autenticità
dell’account.

La risposta di Twitter è stata questa: hanno confermato di aver ricevuto la
richiesta e che l’avrebbero esaminata, rispondendo con il verdetto via mail.

A questo punto dovevo solo attendere che arrivasse una mail di Twitter con la
decisione: se fossi stato rifiutato, avrei potuto ritentare 30 giorni dopo aver
ricevuto il rifiuto; se fossero servite ulteriori informazioni o modifiche
all’account, avrei potuto ritentare subito dopo aver fornito il necessario.

2016/12/15. Stamattina mi è arrivato un
tweet di congratulazioni
da @verifiedstats di Twopcharts.com e così ho scoperto di aver ricevuto
il bollino blu di “autenticazione”.

Poi ho controllato la mail e ho visto che era appena arrivata una mail da
Twitter che mi informava di questa novità e mi consigliava di visitare la
pagina informativa
dedicata alle funzioni riservate agli account verificati (niente di speciale,
solo dei filtri aggiuntivi e un’impostazione per disattivare i messaggi diretti
di gruppo) e a qualche precauzione di sicurezza supplementare, visto che gli
account verificati fanno gola ai ladri. C’è anche un monito: l’autenticazione è
revocabile.

Bene! È stato più facile del previsto. Fatta anche questa, torno a lavorare come
prima.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Perché identificare tutti sui social network è una pessima idea? Rispieghiamolo con gli esperti

Perché identificare tutti sui social network è una pessima idea? Rispieghiamolo con gli esperti

Pubblicazione iniziale: 2019/11/01. Ultimo aggiornamento: 2022/10/12
11:10.

La recente
proposta
di un deputato e responsabile economico di un movimento politico italiano,
Luigi Marattin (@marattin), di
obbligare
“chiunque apra un profilo social a farlo con un valido documento
d’identità”, usando poi eventualmente un nickname, allo scopo di contrastare la
violenza verbale, il razzismo e l’odio online, a prima vista sembra sensata e
ragionevole, ma non lo è.

Ci siamo già passati
un annetto fa, ma evidentemente serve un ripasso.

Ecco, in sintesi, perché la proposta non funziona ed esperti come
Stefano Zanero
(anche
qui)
e Massimo Mantellini la criticano duramente e la definiscono schiettamente
“una cretinata”
e il Garante per la Privacy italiano ha
usato
aggettivi come “velleitario” e “pericoloso” per descriverla.

1. Gli hater esteri non sarebbero toccati. Una legge nazionale avrebbe
efficacia solo nel paese che la emanasse. Qualunque utente di qualunque altro paese sarebbe
libero di continuare come prima. Se anche la si estendesse
all’Europa, chi non vive in Europa non ne sarebbe toccato.

2. Gli hater non si nascondono dietro l’anonimato: ci mettono nome e
cognome già adesso.
Lo ha fatto lo stesso Marattin. Spessissimo chi fa bullismo o odio online è ben conosciuto dalla vittima. 

 

Scambio su Facebook fra Michele Boldrin, economista, accademico ed ex politico italiano nonché utente autenticato (bollino blu), e un utente non autenticato, 11 ottobre 2022. Screenshot di Stefano Barazzetta. Approfondimento su Giornalettismo.

3. Gli unici penalizzati sarebbero coloro che hanno bisogno dell’anonimato
per proteggersi, come le donne maltrattate che vogliono sfuggire ai loro torturatori online
e lo possono fare solo se restano anonime o usano pseudonimi fortemente
protetti.

4. L’anonimato online è un diritto sancito dalla
Dichiarazione dei diritti in Internet, approvata all’unanimità a Montecitorio nel 2015.
Art.10: “Ogni persona può accedere alla Rete e comunicare elettronicamente usando strumenti anche di natura tecnica che proteggano l’anonimato ed evitino la raccolta di dati personali, in particolare per esercitare le libertà civili e politiche senza subire discriminazioni o censure.

5. Gestire i documenti d’identità di milioni di utenti costa ed è
complicato. Gli italiani su Facebook i sono circa
29 milioni. Ciascuno dovrebbe depositare un documento. Chi paga? Chi organizza? Chi
verifica? Chi custodisce i dati, vista la facilità con la quale
vengono rubati?

6. Cosa si fa per gli account esistenti? Li sospendiamo in massa fino a che non depositano un documento? E se un utente esistente si rifiuta
di dare un documento, che si fa? E se il social network decide che non se la sente di accollarsi questo fardello tecnico immenso?

7. Che si fa con i turisti? Cosa succede a un turista che arriva nel paese e vuole usare il suo account social? Deve prima depositare un
documento? Chi controlla se lo fa o no? E come fa a controllare? Se non lo fa,
quali sarebbero le conseguenze? Lo si deporta?

8. La procedura andrebbe ripetuta per ogni social network
e per ogni spazio digitale pubblico. Facebook, Twitter, Instagram,
Tinder, Ask, Vkontakte, WhatsApp, Telegram… più tutti gli spazi di
commento dei giornali e dei blog. A quante aziende dovremmo dare i nostri
documenti?
A che titolo un blogger dovrebbe gestire i dati personali dei
propri commentatori? Forse si potrebbe attenuare il problema dando il
documento solo a un ente che rilascia un codice di autenticazione da dare ai
vari social, ma resterebbe una trafila con tutti i problemi già citati.

9. Se il documento andasse dato ai social network, significherebbe dare una
copia di un documento d’identità ad aziende il cui mestiere è vendere i
nostri dati.
E no, non è come dare la carta d’identità a un operatore telefonico per
aprire un’utenza cellulare: l’operatore è soggetto alle leggi europee sulla
privacy e non ha come scopo commerciale la vendita dei fatti nostri.
E non
è come lasciare un documento alla reception dell’albergo:
in realtà non lo si lascia, ma si viene identificati dal portiere tramite
il documento, e i dati vengono raccolti dalla polizia quotidianamente, non
finiscono in un gigantesco database gestito da privati, come spiega
Stefano Zanero.
Anche qui, come al punto precedente, questo problema potrebbe essere
attenuabile mettendo in mezzo un ente di autenticazione nazionale, ma la
trafila resterebbe.

10. Significherebbe delegare ad aziende estere la certificazione della
nostra identità.
Siamo sicuri che per esempio Facebook, quella di Cambridge Analytica, sia
un’azienda alla quale affidare la garanzia di chi siamo?
Quali sanzioni
ci sarebbero se Facebook si facesse scappare i nostri dati d’identità? E una
volta scappati, che si fa? Mica possiamo cambiare tutti faccia e nome.

11. Equivale a una schedatura di massa. Creerebbe un enorme
database centralizzato di dati, attività e opinioni personali di milioni di cittadini,
messo in mano a un’azienda o a un governo. E necessariamente consultabile da governi esteri.

12. Equivale a introdurre l’obbligo di presentare un documento d’identità
per spedire una lettera.
Sì, perché minacce e odio si possono mandare anche con lettere
anonime. Ma nessuno chiede obblighi di identificarsi per
spedire cartoline o scanner d’identità accanto a ogni
cassetta postale.
Perché per Internet
dovrebbe essere diverso?

13. È facile procurarsi scansioni di carte d’identità altrui. Ci
sono software appositi per crearle e ci sono i
furti in massa di scansioni di documenti reali. Questo permetterebbe agli hater di dare a qualcun altro la colpa delle
proprie azioni, con tanto di “certificazione”.

14. È dannatamente facile usare una VPN o Tor per creare account
apparentemente esteri.
Gli hater imparerebbero in fretta come fare. Molti lo sanno già fare.

15. Sarebbe facilissimo, per un hater, farsi aprire da terzi un account
all’estero, dove non vige l’obbligo, e poi usarlo.
Come farebbero le autorità ad accorgersene? Sorvegliando tutte le attività
online di tutti?

16. È inutile introdurre questo obbligo se le forze di polizia e di
giustizia sono insufficienti già adesso
per perseguire i casi di bullismo o molestia nei quali nomi e cognomi sono già
perfettamente noti.
Avere in archivio la carta d’identità non ridurrà la coda di pratiche inevase:
per questo serve più personale, non una legge in più.

17. Esistono già ora procedure tecniche e giuridiche che consentono di
identificare gli hater.
Ma gli hater non vengono quasi mai perseguiti perché non c’è personale
inquirente o giudiziario sufficiente, o perché i costi sono altissimi, non
perché non si sa chi sia il colpevole.

Per i tanti che hanno criticato gli esperti, lamentando che sanno solo
criticare ma non fanno proposte concrete: a volte capita di non avere una
soluzione a un problema, ma di essere in grado di dire quali azioni non lo
risolvono. Se un malato di cancro pensa di guarire prendendo un unguento
magico da diecimila euro a dose, un medico magari non sa come guarirlo, ma
sa che quell’unguento non farà nulla.

In ogni caso, le proposte concrete ci sono: sono quelle negli ultimi due
punti.

Per chi invece argomenta
“Ma se non dici niente di male e sei una brava persona, non hai niente
da temere da un’identificazione obbligatoria”: se sono una brava persona, perché mi si vuole schedare?

Per tutti quelli che dicono “Ma qualcosa bisogna pur fare!”:
certo, ma fare qualcosa non significa agire di pancia seguendo la prima
idea che viene lanciata. Significa ragionare, sentire gli esperti, e poi
procedere seguendo i loro suggerimenti.

Siamo tutti d’accordo nel voler rendere Internet più pulita. Ma questa
proposta è come cercare di spurgare una fogna con un colapasta.

2022/05/18 15:10. In particolare per il punto 16 (insufficienza delle
forze di polizia e di giustizia), segnalo l’esperienza dell’amico e collega
David Puente, raccontata in una
serie di tweet:

Penso a quanti “anonimi conigli” ho denunciato, individuando e provando la
loro identità, per poi trovarmi un Pm che richiede l’archiviazione. Non
perché mancano le prove per dimostrare l’identità, ma perché non viene
ritenuto un fatto da perseguire. 🧵👇

Faccio alcuni esempi. Il signor Stefano P. aveva pubblicato in un gruppo
Facebook (per niente piccolo e con tante interazioni) un commento dove mi
definiva “quello che pur di difendere il governo (da cui è pagato) si
venderebbe pure la madre”. Come è andata la denuncia?

Il Pm non ha chiesto l’archiviazione perché il soggetto non è stato
identificato. La decisione è arrivata dopo che l’indagato è stato
interrogato! Talmente assurdo che con un Pm del genere neanche faccio
opposizione. Da 1 a 10, quanto il signor Stefano P. si sente intoccabile?

Il Pm che ha chiesto l’archiviazione farebbe altrettanto se Stefano P.
pubblicasse un commento simile nei suoi confronti?  Non è l’unico
esempio, ne ho molti altri simili e le racconto quello di due persone
parecchio seguite sui social, non di “Tontolina68”.

Un complottista di una città del Sud, per niente sconosciuto, pubblica
diversi post nel suo canale Telegram (molto seguito) dove mi diffama
pesantemente. Quei testi sono stati copiati e incollati dai suoi seguaci su
Facebook. Una schifosa shitstorm che non ho tollerato.

Vengo chiamato per rispondere alle domande del Pm, il quale mi chiede come
avevo individuato l’identità dell’accusato. Faccio presente che tale
personaggio pubblica il suo volto nel canale, il suo profilo Facebook è
pubblico ed è noto per fatti di cronaca nazionali.

Mi viene richiesto uno screenshot “più dettagliato” del post dove vengo
diffamato. Avevo fornito anche il link del post Telegram, ancora oggi
pubblico, ma rendetevi conto che i miei legali avevano ottenuto anche
l’acquisizione digitale forense (che ha un costo).

Cosa potrebbero inventarsi per non procedere? Se anche questo Pm chiederà
l’archiviazione sarà l’ennesimo caso in cui un non anonimo e i suoi seguaci
(non anonimi) si sentiranno liberi e legittimati di diffamare chiunque.

Nel corso della pandemia abbiamo assistito alla diffusione di messaggi
diffamatori e violenti da parte di personaggi che si sono mostrati in volto
su Youtube, ottenendo milioni di visualizzazioni per i loro video. C’era chi
sosteneva e auspicava atti di violenza e omicidi.

Uno di questi ha fatto un video dove mostrava il luogo dove dovrei essere
sepolto. @CarloCalenda, ho denunciato la scorsa estate questo individuo e i
suoi seguaci che per due anni (ho fatto integrazione nel 2022) hanno diffuso
messaggi del genere contro di me e altre persone.

Ci sarà la richiesta di archiviazione? Cosa succede se uno di questi vive
all’estero? Può immaginare tutte le difficoltà da affrontare in questo caso,
nel frattempo un suo seguace squilibrato potrebbe decidersi di passare
all’azione (non virtuale) contro di me o altre persone

@CarloCalenda, lei e altri politici italiani potete sostenere quanto volete
l’assurda proposta dell’obbligo di registrarsi con identità verificata, ma
non risolverete mai il problema in questo modo. Cafoni e delinquenti si
sentono forti e ben difesi, pur mostrando il volto.

Non solo non risolverete il problema, ma rischiate di crearne altri come
hanno spiegato o le potrebbero spiegare @disinformatico, @lastknight,
@raistolo, @faffa42 e tanti altri che conoscono molto bene questo tema. Ecco
perché la sua proposta non la condividerò mai e poi mai.

I nomi delle persone che ho denunciato? Voglio prima vedere se verrà
richiesta l’archiviazione o se si deciderà di procedere. Per fortuna non
tutti la passano liscia, sia chiaro, ma il problema non è l’identità.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Googledown mondiale, promemoria di dipendenza digitale

Googledown mondiale, promemoria di dipendenza digitale

Lunedì 14 dicembre, intorno alle 13, quasi tutti i servizi di Google sono andati in tilt per circa 50 minuti. È bastata un’ora scarsa di disservizio per creare un’ondata di panico planetario, dovuto al fatto che milioni di utenti non riuscivano più a mandare mail, scrivere o consultare i propri documenti custoditi online nel cloud, sfogliare l’agenda di Calendar, guardare video su YouTube, gestire i propri assistenti vocali, consultare mappe e fare lezioni a distanza con Meet.

I servizi sono tornati alla normalità dopo appunto una cinquantina di minuti, secondo il resoconto pubblicato da Google, che spiega che avevano smesso di funzionare tutti i suoi servizi che richiedevano un’autenticazione tramite account. In effetti il motore di ricerca ha continuato a funzionare, e YouTube era consultabile tramite navigazione in incognito, ma qualunque servizio che richiedesse login e password di Google era inaccessibile.

Nelle ore successive ci sono stati problemi con Gmail, per cui molti account di posta risultavano inaccessibili e chi cercava di mandare mail a quegli account riceveva una risposta automatica del tipo “questo account non esiste” (un bel “550-5.1.1 The email account that you tried to reach does not exist.”

La causa scatenante, dice sempre Google, è stata “un problema con il nostro sistema automatizzato di gestione delle quote che ha ridotto la capacità del sistema centrale di gestione delle identità”.

Non è il primo blackout del genere: Downdetector ne ha catalogati parecchi quest’anno, anche se non così vasti, e Wikipedia nota che un’altra sospensione dei servizi primari di Google è avvenuta ad agosto 2020 e che anche l’11 novembre scorso si è verificato un blocco simile.

Ci sono un paio di lezioni da portare a casa a proposito di questo incidente.

La prima è sicuramente che siamo enormemente dipendenti da Google e che è meglio preparare un piano d’emergenza che consenta di continuare a operare almeno in forma ridotta se Google va in tilt. Il vostro impianto luci o di riscaldamento domotico è comandabile anche senza passare per Google? Dipendete dal vostro assistente vocale Google Home per qualche funzione importante (penso ai disabili o a chi ha mobilità ridotta per infortunio o malattia, per esempio)? La vostra azienda o scuola è paralizzata se i servizi di Google non funzionano? Procuratevi un Piano B.

Senza arrivare a questi livelli estremi, vale la pena di cogliere l’occasione per chiedersi se è davvero una buona idea usare la login di Google per accedere a servizi di altri fornitori. Certo, è comodo, ma se Google si blocca diventa impossibile accedere non solo ai servizi di Google ma anche a tutti quelli di altri fornitori che dipendono dalla login di Google. Meglio avere account separati per ogni fornitore.

La seconda lezione è che conviene sapere dove reperire informazioni su questi blackout, in modo da capire rapidamente se il problema è nostro o esterno e agire di conseguenza (anche soltanto per mettersi il cuore in pace). Ho già citato Downdetector, disponibile anche su Twitter e Facebook e con sezioni separate per i singoli paesi, come Allestörungen.ch per la Svizzera o Downdetector.it per l’Italia), tenete presente la Dashboard dello stato di Google Workspace, presso

http://www.google.it/appsstatus#hl=it&v=status

La terza lezione è, come spiega bene Stefano Zanero, che fare congetture o ipotizzare attacchi informatici o complotti è una perdita di tempo:

 

Fonti aggiuntive: Gizmodo, BBC, ANSA, The Register.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
La pericolosa illusione della democrazia diretta digitale

La pericolosa illusione della democrazia diretta digitale

Questo articolo vi arriva grazie alla gentile donazione di “msalmi86” ed è stato aggiornato dopo la pubblicazione iniziale.

Stordito dalla tecnologia.

Se siete fra coloro che credono che la democrazia diretta realizzata tramite Internet sia la soluzione a tutti i problemi del mondo, porto dal Festival del Giornalismo una dose di realtà che vi consiglio di assumere, perché la democrazia diretta digitale rischia invece di essere lo strumento perfetto per la dittatura e la manipolazione.

Questa è, a mio avviso, una delle idee più interessanti emerse dal panel “Hacktivismo e sorveglianza digitale: le rivoluzioni combattute in rete” di Fabio Chiusi (blog ilNichilista), Arturo Filastò (Centro Hermes), Giovanna Loccatelli (giornalista e scrittrice) e Dlshad Othman (attivista siriano), il cui video è su Youtube. Guardatevelo tutto per i dettagli, ma il concetto di fondo è questo (eventuali errori nella sintesi sono miei): in vari paesi ci sono movimenti politici che vedono nell’uso di Internet la chiave per sovvertire il sistema e istituire una democrazia diretta, snella ed efficiente, priva delle storture e corruzioni della democrazia rappresentativa.

L’idea è nobile, ma come tante idee nobili è lontana dalla realtà pratica, perché gli attuali strumenti informatici sono troppo vulnerabili e gli utenti sono troppo incompetenti per usarli in modo sicuro. Per cui chi volesse sabotare queste iniziative avrebbe il gioco tremendamente facile, non solo per bloccarle ma addirittura per usarle a proprio favore.

Supponiamo che un governo voglia introdurre la DDD (democrazia diretta digitale). Si può pensare seriamente che un voto elettronico, implementato sui PC appestati di virus e vulnerabilità degli utenti, sia sicuro più di un voto cartaceo al seggio? Si può pensare che chi ha ancora difficoltà a capire come si compila una scheda elettorale, fa fatica a non farsi fregare la password di Facebook e chi, peggio ancora, non ha alcuna dimestichezza con i computer possa seriamente destreggiarsi fra software di autenticazione del voto, sicurezza fisica del dispositivo informatico e sistemi di garanzia dell’identità delle sue opinioni postate nelle discussioni? No, vero?

Supponiamo, per contro, che un governo (o un aspirante dittatore) voglia sabotare un tentativo di adozione della DDD. Diffondere un trojan che infetti i PC dei partecipanti al movimento per la DDD sarebbe una passeggiata: basterebbe mascherarlo, che so, da serie di foto della presidente del consiglio in tenuta da nudista (lo so, lo so, l’idea non è originale). A quel punto rubare l’identità di un utente, magari non di un semplice elettore qualunque, ma di un esponente importante di un movimento politico, e postare a nome suo nei forum idee sballate ma credibili che lo screditino sarebbe quasi automatico.

Paradossalmente, il sistema di autenticazione pensato per garantire l’identità online sarebbe quello che autenticherebbe (apparentemente) le parole di suicidio politico del leader. Tutti i membri del movimento si fidano della DDD perché l’ha proposta il Caro Leader. Ergo, se il Caro Leader dice qualunque cretinata usando la DDD, dev’essere davvero lui che la dice.

Sovvertire il risultato di un voto effettuato con gli attuali strumenti di DDD sarebbe altrettanto banale: lo stesso trojan potrebbe votare al posto dell’elettore o trasmettere al “seggio” digitale un voto falsificato (man in the middle). Faccio fatica a vedere un sistema di voto elettronico affidabile se implementato su macchine trojanizzabili, con sicurezza fisica nulla e adoperate promiscuamente per scaricare pornazzi e giochini pirata. Basta guardare il disastro del voto elettronico negli Stati Uniti, che pure usava macchine dedicate (ma non per questo meno trojanizzabili dal fabbricante).

Al tempo stesso, sono ragionevolmente sicuro che esista la possibilità tecnica di creare un sistema di DDD matematicamente inespugnabile, open source e quindi ispezionabile, con autenticazione e integrità garantita anche su hardware e sistemi operativi insicuri. Ma chiunque pensi che un netbook con su Windows Vista possa magicamente trasformarsi nell’urna della democrazia del terzo millennio con una spruzzatina di software è vittima di una faciloneria paragonabile a quella di chi crede che basti una pallina di plastica magica per fare a meno dei detersivi.

Il vero problema della fuga in avanti rappresentata dal sogno della DDD è che queste tecnologie, quand’anche venissero realizzate, avrebbero milioni di talloni d’Achille: gli utenti, che si farebbero fregare in mille modi e appiccicherebbero su un Post-It la password del documento Word nel quale hanno salvato la propria chiave crittografica privata (e la password sarebbe, ovviamente, password o 12345678).

La DDD è fattibile, a mio avviso, solo se oltre al software perfetto si riesce a costruire un elettorato informaticamente sofisticato e culturalmente preparato a concetti come identità digitale, autenticazione e sicurezza. Ma a quel punto, se tutti gli elettori fossero così illuminati, usare la DDD, l’alzata di mano, la scheda elettorale di carta o un dado a venti facce sarebbe probabilmente irrilevante, perché sarebbero dei semidei. E i semidei non hanno bisogno di votare su cosa fare. Sanno già cosa fare e lo fanno.

Mi rendo conto che di questi tempi alcuni potrebbero considerare questo articolo come una mia rarissima e perigliosa scorribanda nella palude della politica, ma a me interessa solo l’aspetto informatico della questione. Ho sentito parole che hanno messo in chiaro che la democrazia diretta digitale è attualmente, per ragioni prevalentemente informatiche, un’utopia per sempliciotti idealisti, e questa mi sembra una lezione importante a prescindere dai singoli balletti maldestri degli aspiranti salvatori megalomani di un qualunque paese. E ho pensato che fossero parole interessanti da condividere, così come metto in guardia contro la faciloneria di affidare tutti i propri dati personali a Facebook. Tutto qui.

Aggiornamenti

Sulla base dei commenti vorrei aggiungere un paio di considerazioni.

Vorrei chiarire che il panel del Festival del Giornalismo ha ispirato questo post. Qualunque estensione dei concetti tecnici espressi dal panel che trovate in questo articolo è opera mia e quindi colpa mia. Non è detto che i membri del panel la condividano.

Per chi cita l’e-banking come esempio d’implementazione di transazione sicura: a parte che ha comunque vulnerabilità che vengono frequentemente sfruttate con successo dal crimine informatico, nell’e-banking ho una possibilità diretta di riscontro di eventuali alterazioni della transazione: ho un estratto conto che posso controllare e la banca può segnalare transazioni anomale. In un sistema di e-voto, è matematicamente possibile avere un riscontro che sia sicuro, eseguibile solo da me e anonimo al tempo stesso (ma questo complica l’implementabilità), ma non posso avere un sistema di rilevamento del voto anomalo. Anzi, se con l’e-banking mi fa piacere se la banca mi chiama e mi dice “scusi, è regolare questo suo pagamento di 10.000 euro alla Bassotti Banda snc?”; mi fa meno piacere se mi chiama l’ufficio elettorale e mi chiede “Scusi, è regolare questo suo voto per il Partito dell’Unicorno Petomane?”.

Per chi interpreta questo articolo come un rifiuto del futuro, vorrei chiarire che non sono contrario al voto digitale. Sono contrario al voto digitale fatto male. Non sto dicendo che il sistema attuale è perfetto; dico solo che pensare alla DDD come la soluzione di tutti i problemi è utopia e c’è il rischio di passare dalla padella alla brace se non si implementa bene.

Sui rischi della democrazia digitale segnalo anche l’ottimo lavoro di Giovanni Ziccardi e Claudio Agosti, sempre al Festival del Giornalismo.

Insomma, come in tanti altri casi mi preoccupano coloro che vendono soluzioni facili ai problemi difficili senza conoscere realmente né i problemi né le soluzioni. Suonano sempre troppo come soluzioni finali in stile Das Byte macht frei.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Steam sotto attacco: rubati 77˙000 account ogni mese

La password che usiamo nelle reti di gioco sembra una di quelle misure di sicurezza tediose e superflue che gli informatici tendono a imporci senza motivo, ma da Valve, produttore della popolarissima piattaforma software di gioco Steam (100 milioni di utenti), arriva un allarme serio: i furti di account stanno aumentando rapidamente e sono arrivati ormai a circa 77˙000 al mese. “Quelli che erano un piccolo numero di hacker oggi sono una rete organizzata, altamente efficace, che per lavoro ruba e rivende oggetti”.

Gli oggetti sono quelli virtuali dei videogiochi: livelli, poteri, armi, skin e altri elementi che vengono letteralmente rubati e commerciati e che all’interno di giochi come Team Fortress 2 e Counter-Strike: GO possono avere un valore monetario sorprendentemente alto. Rubare la password di un account è quindi molto remunerativo per i criminali informatici.

Come rimediare? A parte l’uso preventivo di password robuste e dell’autenticazione a due fattori, Valve terrà in sospeso gli oggetti commerciati, e lo farà per un massimo di tre giorni: un tempo, si spera, sufficiente per permettere all’utente derubato di accorgersi del furto e della violazione del proprio account. Se gli utenti sono amici questa sospensione sarà più breve.

Fonti: Ars Technica.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Voci simulate con Lyrebird

Quelle che potete sentire qui su Lyrebird.ai o qui sotto non sono le classiche voci-parodia di personaggi famosi (in questo caso Barack Obama, Donald Trump e Hillary Clinton), generate rimontando ad arte dei pezzi di loro frasi effettivamente pronunciate: sono completamente sintetiche. A Lyrebird basta anche un solo minuto di voce registrata per creare una copia che imita tutte le caratteristiche identificative di una persona. Da questa copia è possibile generare qualunque frase.

Le implicazioni di autenticazione e di identità di un servizio del genere sono impressionanti. Di questo passo non potremo più fidarci di una voce sentita al telefono, per esempio, i sistemi di autenticazione basati sul riconoscimento del timbro di voce saranno inattendibili e potremmo trovarci presto a conversare con dei chatbot che fingono di essere la persona con la quale vorremmo parlare (Be Right Back di Black Mirror si avvera sempre più, insomma); per contro, i contratti fatti per telefono potrebbero non essere più legali (il venditore potrebbe aver creato la mia voce) e potremmo anche sentire i film doppiati con le voci degli attori originali che miracolosamente parlano la nostra lingua.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Dropbox: 68 milioni di account violati, ma password datate 2012

Dropbox: 68 milioni di account violati, ma password datate 2012

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento). Ultimo aggiornamento: 2016/08/31 11:50.

Troy Hunt di HaveIBeenPwned segnala di aver confermato l’autenticità della collezione di circa 68 milioni di indirizzi di mail e corrispondenti hash di password di Dropbox che sta circolando nei bassifondi di Internet, perché vi ha trovato l’hash della password dell’account di sua moglie, che era stato generato da un gestore di password robuste.

Brutta storia: l’attenuante è che non si tratta delle password in chiaro ma della loro versione hash (che richiede un notevole impegno di calcolo per risalire alla password vera e propria) e che le password risalgono (a quanto risulta) al 2012, per cui se avete cambiato la vostra password di Dropbox dopo quella data siete in salvo da questo saccheggio di massa.

Dropbox sta avvisando via mail gli utenti coinvolti e li sta obbligando a un cambio di password quando accedono al servizio. Anche HaveIBeenPwned sta mandando avvisi agli utenti Dropbox che trova nella collezione e che si sono iscritti al suo servizio di notifica (come il sottoscritto).

Attenzione ai falsi messaggi di avviso, che verranno sicuramente disseminati dai truffatori per tentare di rubare gli account.

Se non l’avete già fatto, attivate l’autenticazione a due fattori anche su Dropbox. Non dimenticate che se qualcuno prende il controllo del vostro account Dropbox, non solo può leggere tutti i vostri dati e documenti, ma può anche cancellarli dai vostri computer.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
In vendita 32 milioni di password rubate di utenti Twitter? Esperti dubbiosi

In vendita 32 milioni di password rubate di utenti Twitter? Esperti dubbiosi

Alcuni siti (per esempio Repubblica) hanno annunciato con toni di certezza la messa in vendita nei bassifondi di Internet di un elenco di oltre 32 milioni di password di Twitter, causando un certo panico fra gli utenti di questa piattaforma di microblogging, ma gli esperti hanno molti dubbi sulla qualità dell’offerta illecita, il cui prezzo è molto basso per gli standard del settore: circa 5000 dollari.

La fonte originale della notizia è Leakedsource.com, un sito che si offre come servizio di verifica di furto di password: si immette il nome utente del proprio account e si viene avvisati se la password dell’account è presente nelle varie collezioni di password rubate circolanti in Rete. LeakedSource dice di aver verificato soltanto 15 password presenti nell’elenco di quelle rubate di Twitter, ma tutte e quindici sono risultate autentiche.

Tuttavia è improbabile, a detta degli esperti, che l’elenco contenga davvero 32 milioni di password attualmente valide, perché Twitter protegge le password degli utenti conservandole soltanto in forma pesantemente cifrata (hash con bcrypt), che richiederebbe tempi e potenze di calcolo impraticabili per decifrarne 32 milioni in caso d’incursione nei server di Twitter. L’azienda ha comunque inviato un invito di cambio password ad alcuni milioni di utenti dopo aver rilevato che le loro password erano in circolazione.

Lo scenario più probabile è che non sia stato violato Twitter ma che siano stati violati gli utenti, per esempio perché hanno computer infetti. In ogni caso, se avete un account Twitter, è opportuno fare due cose:

non fidarsi di inviti a cliccare su un link per aggiornare la vostra password. I ladri di password approfittano spessissimo di notizie come questa per mandare messaggi falsi che sembrano provenire dal gestore del servizio (in questo caso Twitter, appunto) ma in realtà portano a siti-clone, identici a quelli del servizio ma in realtà gestiti dai truffatori. Se volete aggiornare la password di un servizio, accedete al sito del servizio manualmente, scrivendone il nome.

attivare la verifica in due passaggi, che vi salva in caso di furto di password: attivando questa verifica, infatti, la password funziona soltanto se viene immessa usando uno dei vostri dispositivi. Se un ladro vi ruba la password e la immette in uno dei suoi, gli viene negato l’accesso e ricevete un’allerta via SMS o in altro modo.

Su Twitter la verifica in due passaggi si attiva andando a https://twitter.com/settings/security e attivando la voce Verifica d’accesso. Già che ci siete, attivate anche le opzioni Richiedi informazioni personali per reimpostare la password e Richiedi sempre la password per accedere al mio account.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Katy Perry, account Twitter violato: lezione per tutti

Katy Perry, account Twitter violato: lezione per tutti

Pochi giorni fa l’account Twitter di Katy Perry, che ha quasi 90 milioni di seguaci ed il più seguito al mondo è stato violato, pubblicando messaggi offensivi e un link a quella che parrebbe essere una canzone inedita della cantante. I gestori di Twitter sono intervenuti rapidamente e hanno ripreso il controllo dell’account. È stata una brutta figura (ma anche pubblicità gratuita) per Katy Perry, ma poteva andare molto peggio.

L’intruso, infatti, avrebbe potuto pubblicare link a siti-trappola per rubare password oppure per infettare i dispositivi degli utenti. Questi link sarebbero arrivati a 90 milioni di utenti, offrendo quindi un canale diretto a un bersaglio vastissimo per mettere a segno attacchi, spamming e truffe di ogni genere. Chi ha un account molto popolare, su qualsiasi social network e non solo su Twitter, deve quindi mettere in preventivo che verrà attaccato e ha una responsabilità molto importante nel proteggere i propri utenti.

Per gestire bene questa responsabilità è indispensabile usare almeno la sicurezza di base fornita dal social network. Nel caso di Twitter, attivate l’opzione Verifica le richieste d’accesso.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.