Vai al contenuto

Terremoto su Telegram, arrestato in Francia Pavel Durov

Avete probabilmente già saputo dell’arresto di Pavel Durov, fondatore e CEO di
Telegram, sabato scorso all’aeroporto francese di Le Bourget dove era
atterrato con il suo jet privato. La notizia, riportata da quasi tutti i media
del mondo, si basa su
informazioni
dell’emittente francese TF1, secondo la quale l’arresto sarebbe legato alla
mancanza di moderazione di Telegram e all’assenza di collaborazione con le
forze dell’ordine di qualunque paese, che renderebbe Durov complice dello
spaccio di stupefacenti, del riciclaggio di denaro e della condivisione di
immagini di abusi sessuali su minori che avvengono su Telegram.

Su X, Telegram (l’azienda) ha
dichiarato
di essere “in attesa di una pronta risoluzione di questa situazione” e che
“è assurdo affermare che una piattaforma o il suo proprietario sono
responsabili per gli abusi di quella piattaforma”.

Gli abusi in questione avvengono anche su altri social network, anche sotto la
protezione di una crittografia end-to-end che Telegram, va
ricordato, non ha nelle chat normali ma solo nelle chat segrete; la differenza
rispetto a Telegram è che gli altri social network almeno formalmente
collaborano con le richieste delle forze di polizia (anche se io e altri
abbiamo segnalato ripetutamente, per esempio a Instagram, la pubblicazione di
immagini illegali di minori e siamo stati rassicurati che le immagini erano
“conformi agli standard della comunità”).

Moderare 900 milioni di utenti, almeno nelle chat normali che può leggere o in
quelle segrete che potrebbero essergli segnalate da terzi, sarebbe possibile
ma richiederebbe un numero di addetti che Telegram non ha. Durov ha
dichiarato, in un’intervista recente a Tucker Carlson, di avere in tutto
“circa 30 ingegneri [software]”
alle sue dirette dipendenze. 

E comunque Telegram
dichiara apertamente nelle sue FAQ
di non aver nessuna intenzione di fare da moderatore:
“Tutte le chat e i gruppi di Telegram sono territorio privato dei loro
rispettivi partecipanti. Non eseguiamo alcuna richiesta [di eliminazione di contenuti illegali]
relativa ad esse […] Ad oggi, abbiamo divulgato 0 byte di dati a terzi,
inclusi i governi […] Mentre blocchiamo bot e canali legati al
terrorismo (ad esempio legati all’ ISIS), non bloccheremo nessuno che
esprime pacificamente altre opinioni.”

Va ricordato che Telegram è, per i cittadini russi, uno dei pochissimi canali
attraverso i quali possono ricevere informazioni non filtrate dalla censura
governativa, e questo è possibile grazie alla struttura tecnica e legale (una
serie di scatole cinesi di aziende sparse per il mondo) di Telegram. Durov ha
lasciato la Russia proprio per non dover cedere al governo i dati dei
cittadini raccolti dalla sua piattaforma precedente, Vkontakte, una sorta di
Facebook nazionale, e censurarla. A modo suo, ha dei princìpi molto saldi: non
collaborare con nessuna autorità, perché chi per un certo governo è un
sovversivo per un altro governo è un dissidente, e chi è considerato
terrorista da una parte è visto come combattente per la libertà dall’altra.

Ne ho parlato brevemente al Telegiornale della RSI ieri sera (link diretto): preciso che “i radar” sono gli autovelox in italiano ticinese.


Fonti aggiuntive:
RSI,
TechCrunch,
TechCrunch,
Ars Technica,
ANSA.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Cosa fare in caso di data breach: intervista ad Andrea Lazzarotto, consulente informatico forense

Cosa fare in caso di data breach: intervista ad Andrea Lazzarotto, consulente informatico forense

Ho intervistato a febbraio scorso lo sviluppatore di software e consulente
informatico forense
Andrea Lazzarotto (sul
tema dei data breach, che ho poi affrontato nel
podcast di oggi. Con colpevole ritardo, dovuto alla speranza a lungo coltivata di
riuscire ad affiancare a quest’intervista quella di una figura analoga svizzera,
pubblico qui l’intervista a Lazzarotto. Alcuni passaggi sono stati leggermente
riveduti per maggiore chiarezza; se ci sono errori, sono colpa della mia
trascrizione (segnalatemi eventuali cose da sistemare). La foto qui accanto è
tratta dal suo sito.

Andrea Lazzarotto, ci descriva brevemente la sua professione.

Io mi occupo di sviluppo software e consulenza informatica forense, che poi è
forse l’attività più correlata anche alla tematica di cui parleremo oggi. Il
consulente informatico forense è una figura professionale che si occupa di
assistere i propri clienti dal punto di vista tecnico, nel mio caso
informatico, nelle vicende che possono essere ad esempio giudiziarie, quindi a
carattere penale, o anche in controversie di tipo civile, in cui si entra in
un contesto in cui viene introdotta un qualche tipo di evidenza e di prova
informatica o digitale. Quindi non necessariamente solo casi in cui magari si
ha a che fare con crimini prettamente informatici, come immaginiamo un’azione
di violazione di un sistema informatico, ma anche in realtà situazioni in cui
gli elementi digitali possono entrare in casistiche che di fatto non erano
vicende informatiche. Pensiamo ad esempio all’analisi di un dispositivo come
un cellulare, che può anche venire fuori in vicende di altro tipo, come
minacce oppure anche concorrenze sleali. Quindi io affianco il cliente dal
punto di vista tecnico, mentre l’avvocato lo affianca dal punto di vista
legale.

Parliamo in particolare di reclami presso il garante privacy, che per molti
sono un mistero. Sentiamo sui giornali che ci sono violazioni dei dati,
fughe di dati, data breach e via dicendo e molto spesso queste
aziende coinvolte vengono segnalate al Garante, o il Garante avvia
un’istruttoria e poi a volte c’è una sanzione, una pena di qualche tipo. In
concreto, che cosa succede quando un sito si lascia sfuggire dei dati che
vengono poi presi da un attore ostile che cerca di rivenderli? O comunque
quando un sito se li è lasciati scappare e quindi ha commesso una violazione
della garanzia di riservatezza fatta ai clienti?

In questo caso dobbiamo distinguere tra cosa succede ai dati che sono stati
violati e cosa succede invece all’azienda che potrebbe essersi resa
responsabile o comunque negligente da questo punto di vista. 

Per quanto riguarda i dati la situazione è un po’ complicata, nel senso che
una volta che è avvenuto un data breach e quindi questi dati sono stati
violati e acceduti da soggetti ignoti e indeterminati, è probabile che,
soprattutto se sono non dati di una singola persona, ma solitamente succede
che vengono acceduti interi archivi, ad esempio di dati di tutti i clienti o
di una buona parte dei clienti, questi dati abbiano per i criminali
informatici un valore economico di fatto, perché il motivo per cui avvengono
queste violazioni è generalmente di tipo economico. 

Le persone che si introducono nei sistemi per violare i dati e carpirli, dopo
li vanno solitamente a rivendere in una sorta di mercato nero. Ci sono online
questi mercati, questi marketplace, in cui chi ha rubato dei dati
solitamente cerca di rivenderli a terzi per i motivi più disparati. 

Ad esempio, se sono stati rubati nei casi più gravi i dati di pagamento,
questi dati di pagamento ovviamente fanno gola a chi poi va a fare le truffe
sulle carte di credito sia per rubare direttamente denaro oppure anche per
fare degli acquisti usando carte altrui. Se invece si tratta di dati, diciamo,
magari anche un po’ meno correlati al pagamento, un po’ meno privati, come ad
esempio delle liste di indirizzi email, queste liste di indirizzi email
potrebbero ad esempio fare gola a persone che fanno attività di spamming, che
significa mandare delle email pubblicitarie non sollecitate e non autorizzate
a una vasta quantità di persone per fare pubblicità oppure anche per fare
delle truffe, perché anche le email vengono usate a volte per mandare messaggi
di cosiddetto phishing. Il phishing è una tecnica di attacco
verso le persone per cui ci si spaccia per un sito affidabile, per esempio
Facebook oppure Microsoft, e si manda un’email fasulla alla vittima in cui si
richiede di cliccare un link per ad esempio rieffettuare l’accesso, per
esempio per fare una verifica di un account, oppure ci si può anche fingere la
banca e far cliccare il link malevolo a una persona in modo da indurla a
fidarsi, magari perché vede il logo della banca o la grafica perfetta del sito
che è stata clonata, e quindi avere gli indirizzi mail di tante persone
aumenta la quantità di potenziali vittime che si vanno a colpire.

Poi, per la parte delle aziende, la questione è un po’ più variata, nel senso
che ci sono due strumenti che le persone possono utilizzare. La
segnalazione è uno strumento che può utilizzare sostanzialmente
chiunque per scrivere all’autorità garante per la protezione dei dati
personali, ad esempio quella italiana o a seconda di dove uno risiede, per
comunicare che c’è una certa situazione. Non è necessario per la segnalazione
essere una delle persone che ha subito il data breach.

Invece le persone che sono state soggette di un data breach o comunque
vedono violati i propri diritti alla riservatezza, alla protezione dei dati
personali, possono utilizzare uno strumento un po’ più specifico che è il
reclamo. Il reclamo quindi deve essere fatto dall’interessato, o
direttamente o tramite il proprio avvocato; quindi si va a scrivere al Garante
per segnalare questo tipo di comportamento. Potrebbe essere un reclamo verso
l’azienda: se io scopro che l’azienda X ha subito un data breach e io
ero uno dei clienti dell’azienda X, ragionevolmente posso pensare che i miei
dati siano stati violati e vado a fare un reclamo verso l’azienda X. Oppure
nel caso ad esempio arrivino attività di pubblicità, quindi mi arrivano email
pubblicitari di spam e io non so perché sto ricevendo un email pubblicitario
dell’azienda Ypsilon che per qualche motivo ha il mio indirizzo email ma non
mi risulta di averglielo fornito, posso anche in quel caso fare un
reclamo.

Una pagina della scheda informativa del Garante italiano sulle modalità di reclamo e segnalazione.

Diciamo che in questo caso, soprattutto prima di fare un reclamo per
un’attività di spamming, la cosa da fare preventivamente è contattare il
titolare del trattamento, quindi l’azienda per cui vengono mandate le
comunicazioni pubblicitarie, e fare una richiesta di esercizio dei diritti in
materia di protezione dei dati personali, qui in Europa abbiamo il GDPR, e si
può fare una richiesta di accesso ai dati personali, quindi richiedere
all’azienda che ci sta scrivendo quali sono i dati personali nostri che sono
in suo possesso, quali sono anche le categorie che vengono trattate, le
finalità per cui vengono trattate, quindi nel caso specifico dovranno
comunicare ad esempio che le stanno usando per mandarci questa email
pubblicitaria, e quali sono eventualmente i criteri con cui vengono stabiliti
di periodo di conservazione e anche l’origine dei dati, perché se io ricevo
una comunicazione pubblicitaria posso richiedere qual è l’origine del mio
indirizzo di posta o indirizzo email su cui mi sta venendo mandata la
pubblicità. 

Poi si può richiedere anche, sempre ai sensi del GDPR, la richiesta di
intervento. Quindi si può richiedere, ad esempio, di cancellare i dati perché
magari non è mai stato richiesto di ricevere pubblicità oppure si era
richiesto in passato ma non si desidera più riceverla.

E poi, infine, un’altra cosa che si può fare è una
richiesta di opposizione al trattamento per le finalità di marketing.
Questa richiesta poi dovrà essere riscontrata dall’azienda entro 30 giorni dal
momento in cui è stata inviata. Se la risposta, quindi il riscontro, non è
ritenuto sufficiente perché l’azienda o non ha risposto, oppure ha risposto in
modo evasivo o non ha accolto la richiesta, a quel punto chiaramente si può
fare un reclamo al garante per la protezione dei dati personali, descrivendo
anche il fatto che è stata inviata una richiesta e che la risposta
eventualmente ricevuta non è ritenuta soddisfacente.

Immagine generata da DALL-E usando come prompt il testo della risposta qui sopra. Secondo ChatGPT, rappresenta “il complesso viaggio dei dati attraverso le violazioni, e le conseguenti implicazioni sia per gli individui sia per le aziende”.

Queste segnalazioni, questi reclami, vanno fatti secondo qualche procedura
particolare, per esempio bisogna mandare una posta elettronica certificata,
bisogna immettere dei dati nel sito del garante? Come si procede in pratica?
Supponiamo che io sia vittima di un data breach, quindi so che i miei
dati personali di qualche genere, per esempio una login e una password di un
mio account, sono stati esposti da una ditta. Cosa faccio?

Sicuramente se ho già le evidenze che i miei dati certamente sono stati
coinvolti nel breach, posso contattare direttamente il garante. Oppure,
una cosa che possiamo consigliare è che per essere certi di essere nel
breach, perché a volte questi breach riguardano una fetta di
utenti ma non tutti gli utenti di un’azienda, possiamo contattare proprio
l’azienda stessa. Quindi anche in questo caso possiamo fare un esercizio dei
diritti ai sensi del GDPR, per cui troviamo anche una modulistica, diciamo un
esempio di richiesta, sul sito del garante.

Ad esempio, il Garante della privacy italiano ci fornisce un esempio di
richiesta [dovrebbe essere questo], però in realtà la richiesta verso l’azienda può essere fatta
sostanzialmente in forma libera, quindi anche contattando il servizio clienti
tramite l’email che viene messa a disposizione; oppure, se si vuole essere più
formali e più sicuri dell’invio, si può inviare una raccomandata con avviso di
ricevimento o una PEC. Quindi nella richiesta possiamo descrivere, ad esempio,
come è capitato anche a me di fare in un caso, che tramite la stampa è stato
riscontrato che l’azienda ha subito un data breach o comunque ha visto
acceduti i propri dati di alcuni clienti da parte di ignoti. In ragione di ciò
si richiede all’azienda di fornire una copia di tutti i dati personali e
indicare soprattutto se questi dati o quali di questi dati sono stati
coinvolti nella violazione. In questo caso, come dicevo prima, la richiesta di
esercizio dei diritti deve essere riscontrata entro 30 giorni; questo è un
obbligo legale previsto dal GDPR, quindi l’azienda non può ignorarla, o
comunque se lo fa si espone eventualmente a delle conseguenze.

Trascorsi questi 30 giorni possiamo avere ricevuto una risposta che ci
chiarisce esattamente cosa è successo, oppure avere non ricevuto una risposta,
oppure un riscontro inadeguato. In questi casi, se abbiamo ricevuto la
risposta che ci dice che effettivamente i nostri dati sono stati violati,
oppure se non abbiamo ricevuto un riscontro, possiamo procedere a effettuare
un reclamo all’autorità garante.

Anche per il reclamo, il Garante della privacy italiano ci fornisce un
modello. In questo caso il reclamo viene fatto tramite la trasmissione appunto
all’autorità del nostro reclamo all’ufficio protocollo, quindi viene fatto o
tramite una PEC, che è il metodo più semplice, oppure tramite una
raccomandata. Nel caso in cui mandiamo una PEC possiamo avere l’atto firmato
digitalmente, quindi se siamo in possesso di una firma digitale possiamo
semplicemente sottoscrivere il PDF. Se invece facciamo un reclamo scritto che
firmiamo a penna, dovremo poi allegare anche un documento di identità per
farci riconoscere.

Per le aziende che subiscono questi data breach, quali sono le
conseguenze? C’è una sanzione? Il Garante, una volta accettato il reclamo,
che cosa fa concretamente? Molto spesso chi non segue queste vicende in
dettaglio non ha una percezione molto chiara di tutti i passaggi successivi
al reclamo o alla segnalazione.

Ci possono essere diversi tipi di risultato, che vanno dal caso in cui si è
verificato che il reclamo non è fondato, oppure è un reclamo relativo a un
fatto non particolarmente grave, come ad esempio un’e-mail pubblicitaria, e
poi il titolare del trattamento, quindi l’azienda, ha riscontrato e accolto la
richiesta di cancellazione, ad esempio, dalle email pubblicitarie; il reclamo
può essere anche archiviato, quindi il procedimento viene archiviato senza
particolari conseguenze. 

Oppure, nei casi un po’ più gravi, un po’ più fondati, ci sono vari tipi di
sanzioni, dal più semplice, che può essere un ammonimento. L’ammonimento
sembra una sciocchezza, come se fosse sgridare un bambino, ma in realtà dal
punto di vista privacy è una sanzione che ha un suo significato, perché poi
eventuali successive violazioni verrebbero valutate in modo anche più grave.

In alternativa ci possono essere delle imposizioni, quindi l’autorità garante,
ordina, impone di terminare il trattamento, quindi può anche disporre un
divieto di ulteriore trattamento dei dati, sempre ad esempio se parliamo di
trasmissione di materiale pubblicitario; l’autorità potrebbe vietare il
successivo trattamento di questi dati, oppure ci possono essere delle sanzioni
in denaro, quindi quelle che un po’ impropriamente a volte definiamo multe.
Non sono multe, ma sono sanzioni pecuniarie che vengono calcolate anche in
base alla grandezza dell’azienda, a quanto è il volume, il giro d’affari,
quindi anche quanto è il fatturato annuo e anche ovviamente alla gravità della
violazione, perché ci sono condotte che sono più gravi e altre che sono meno
gravi. Infatti le sanzioni hanno un massimo che può raggiungere anche cifre
molto elevate, perché pensiamo che il massimo che la legge prevede fino a 10 o
20 milioni di euro oppure dal 2 al 4% del fatturato mondiale annuo, se questo
è superiore. Diciamo che è una norma, quella del massimo della sanzione che è
stata prevista soprattutto per le aziende molto grandi, le multinazionali.

L’importo, l’ammontare di questa sanzione a chi finisce? Alla vittima, al
garante, altrove?

Il reclamante in questo contesto non riceve denaro, il procedimento innanzi al
Garante non è come un processo civile in cui vado a chiedere i danni, ma è un
procedimento in cui l’interessato fa rispettare i propri diritti alla privacy.
Quindi la sanzione non va a finire in mano al reclamante, ma viene elargita di
fatto all’autorità, quindi è come se fosse una multa, anche se non è una
multa.

Facciamo un caso concreto: un utente che non è coinvolto direttamente, non
sono i suoi dati a essere stati trafugati, ma si accorge che c’è un’azienda
che sta disseminando consapevolmente o meno i dati dei suoi clienti,
fatture, documenti di identità, si accorge di questa cosa. Fa quindi una
segnalazione al garante. A quel punto il garante che cosa fa? Manterrà
aggiornata la persona che ha fatto la segnalazione o ci sarà un rapporto
soltanto con la ditta interessata?

Per quanto riguarda le segnalazioni, da quello che so, anche se non ho
moltissima esperienza perché seguo abitualmente tanti reclami ma non molte
segnalazioni, siccome il segnalante non è direttamente interessato, ovviamente
non viene messo al corrente di tutto l’iter e di tutto quello che segue. Salvo
che ci sono diversi casi in cui, alla fine dell’istruttoria e dell’eventuale
decisione sanzionatoria, il Garante della privacy alcuni provvedimenti li
pubblica. Anche la pubblicazione sul sito del Garante è una sanzione
accessoria che può essere comminata per alcuni casi un po’ più gravi; invece
se una persona è reclamante, quindi è direttamente interessata, chiaramente
viene tenuta al corrente del percorso che segue l’istruttoria.

Con che frequenza avvengono situazioni di questo tipo, ossia che ci siano
reclami non per spamming ma proprio per violazione dei dati, dati
disseminati?

È un po’ difficile da stimare, anche perché queste situazioni di
data breach
in realtà non sempre vengono messe alla luce come dovrebbero. Diciamo che il
GDPR prevede che nel momento in cui un’azienda si rende conto che ha subìto un
data breach o comunque che ha subìto una violazione che potrebbe anche
avere esposto dei dati personali, deve agire in un tempo molto breve, perché
la legge prevede un termine di 72 ore, salvo casi particolari. 

In queste 72 ore dovrebbe fare una valutazione di quella che è stata la
violazione e determinare se fare una segnalazione al garante, quindi tra
virgolette autosegnalarsi in un certo senso, oppure se è stato un caso
particolarmente piccolo, non vi è anzi l’obbligo necessariamente di
comunicarlo all’autorità, ma deve essere annotato su un apposito registro
interno, che è il registro delle violazioni. 

Adesso entriamo in una materia che è più legale, è tecnica e riguarda di più i
DPO o gli avvocati, però diciamo che l’azienda che è messa al corrente
dovrebbe segnalarsi da sola al garante. Se invece l’azienda non è al corrente,
perché magari se ne accorge qualcun altro, allora può essere che un altro
cittadino faccia la segnalazione all’azienda e a quel punto parte il termine.
E’ anche vero che in alcuni casi può anche succedere, soprattutto con aziende
piccole e non strutturate, che l’azienda preferisca o ritenga di non gestire
particolarmente bene questa cosa, magari perché pensa che nascondere la testa
sotto la sabbia possa essere una buona strategia; può capitare anche quello.


Quindi in casi come questi, se l’azienda fa finta di niente e i dati
rimangono aperti e accessibili, qual è il passo successivo?

Nel caso in cui una persona o interessata o un semplice segnalante decida di
fare qualcosa, può fare una segnalazione o un reclamo all’autorità garante.

C’è da dire una cosa, comunque, che soprattutto per le segnalazioni abbiamo
fatto prima l’esempio che se uno scopre in modo accidentale che un’azienda
espone dati di altri può fare la segnalazione, certamente può farlo. Quello
che è un po’ problematico, dal mio punto di vista in Italia, è che la
definizione che abbiamo dal punto di vista del codice penale, quindi parlo
dell’articolo dell’ipotesi di reato di accesso abusivo a sistema informatico,
è estremamente vaga.

Se andiamo a leggere letteralmente l’articolo, ci sono scenari in cui uno
potrebbe scoprire in modo di tutto accidentale, ad esempio perché cerca delle
parole su Google e uno dei link lo riporta a un documento che presenta dati
personali che non c’era motivo di esporre o per altri motivi. Questo potrebbe
portare una persona a vedersi, diciamo, paventata la minaccia più o meno
fondata, diciamo anche magari per spaventarlo, di una possibile querela per
accesso abusivo a sistema informatico, perché se noi andiamo a vedere
l’articolo 615 ter, si parla di accedere a una risorsa, quindi a un sistema
informatico, contro la volontà espressa o tacita di chi ha diritto di
escluderlo. 

Uno potrebbe dirmi
“ma perché tu hai aperto questo documento PDF con i dati personali dei miei
clienti?”. “Stavo cercando su Google un’altra cosa, ho cliccato un link e è
venuto fuori quel documento”. “Però io non volevo che tu accedessi a quel
documento, quindi la mia volontà era quella di non farti accedere ai
dati.”
Allora comincia a diventare complicato. 

È chiaro che poi lì si parlerebbe di sistemi protetti da misure di sicurezza,
però purtroppo c’è anche questa cosa che non abbiamo un
framework legale, diciamo un sistema per cui chi va a segnalare alle
aziende che ha questo problema di privacy viene tutelato legalmente in modo
automatico, come stanno pensando di fare in altri paesi europei, cioè di
mettere delle regole per cui se tu segnali una problematica a un’azienda sei
sostanzialmente schermato da possibili denunce o altri tipi di azioni. 

In Italia non abbiamo questo, quindi rimane tutto in seno al buon senso delle
singole aziende. Sicuramente ci sono tante aziende che di fronte a una
segnalazione del genere ringrazierebbero e quindi ne vinceremmo tutti perché
l’azienda scopre un problema, lo risolve e ne mitiga gli effetti. Ma io
immagino che ci possono anche essere aziende che non siano molto felici di
vedersi segnalate queste problematiche, perché poi devono gestire queste
situazioni.

Immagine generata da DALL-E usando come prompt il testo della risposta qui sopra. Secondo ChatGPT, rappresenta “le complessità e le sfide di una segnalazione di violazioni della privacy in Italia e raffigura simbolicamente il processo decisionale che deve affrontare un individuo che scopre accidentalmente che un’azienda espone dei dati”.

La situazione varia da paese a paese. Ci sono dei paesi che hanno già attivato questo scudo per chi fa
segnalazioni di questo genere? Se sì, quali sono?

Stavo leggendo qualche ora fa una notizia relativa al Belgio, su una cosa in
fase di pianificazione, e lì si parlava proprio di accessi dei controlli di
sicurezza sulle aziende, quindi è una tematica più ampia rispetto allo
semplice accertamento della protezione dei dati. In Belgio stanno pensando di
tutelare legalmente i dati e di tutelare legalmente coloro che scoprano in
modo più o meno accidentale che un’azienda ha problemi di sicurezza
informatica e nel momento in cui chi lo scopre lo segnala immediatamente, cioè
entro tre giorni, all’azienda.

Stanno pensando di introdurre proprio una sorta di immunità da eventuali
conseguenze. Questo tipo di iniziative, secondo me, ha un impatto molto
positivo, perché spesso si tende a scoprire in modo del tutto fortuito
documenti tramite Google, per esempio, documenti PDF o file Excel o altre cose
che contengono dati personali. E la frase standard che circola un po’ anche
fra i miei conoscenti, i colleghi, è
“OK, fai finta che non abbia visto niente e lascia stare, perché se lo
segnali non sai mai cosa potrebbe succedere, potrebbero ringraziarti o
potrebbero anche minacciarti di una denuncia perché stavi aprendo un PDF che
hai trovato casualmente su Google”

Invece avendo una sorta di scudo, automaticamente tutte le persone verrebbero
invogliate a segnalare queste scoperte, anche accidentali, e di conseguenza si
migliora complessivamente lo stato della sicurezza informatica e della
protezione dei dati. 

La situazione è ancora complessa, è ancora in divenire, però c’è un problema
di proteggere appunto chi trova queste cose e poi cerca di fare il suo dovere
di cittadino in un certo senso.

Voi che siete nel settore, siete in tanti ma avete tutti lavoro a tempo
pieno per gestire questi problemi o i casi sono relativamente pochi per cui
tutto sommato si naviga abbastanza bene?

È difficile parlare un po’ per categoria, perché in realtà tanti
professionisti anche in questo settore si specializzano in diverse categorie.
Ci sono colleghi che si occupano tantissimo di dati personali, di privacy, ci
sono altri colleghi che magari vedono pochi casi perché si occupano di più di
altre cose come la sicurezza informatica nelle aziende oppure anche le perizie
su smartphone e così via. Quindi è un po’ difficile fare un commento generale
su questo aspetto.

Io personalmente devo dire che nel mio caso la maggior parte dei reclami che
seguo dal punto di vista privacy sono cose che seguo io personalmente come
diretto interessato e reclamante come privato cittadino, mentre
lavorativamente me ne capitano meno spesso.


Le aziende italiane sono attente al problema o lo prendono sotto gamba?
Perché sembra perché ci siano molti casi, anche piuttosto grossi, di aziende
che si fanno trovare con i dati a spasso. C’è un problema di sensibilità
delle aziende secondo lei?

Secondo me sì e direi inoltre che è un problema di sensibilità, un problema
forse anche culturale, cioè manca la cultura della sicurezza informatica.
Dobbiamo tenere in considerazione, comunque, che in Italia soprattutto le
aziende sono molto, in grandissima percentuale sono PMI e ci sono anche
tantissimi casi di aziende che hanno 1, 2, 3, 5 persone all’interno in tutta
l’azienda, quindi parliamo proprio di microimprese, e chiaramente in questi
contesti è molto difficile avere tutte le competenze anche dal punto di vista
della sicurezza informatica, perché una grande azienda, che può essere la
classica grande azienda americana che ha migliaia e migliaia di addetti, al
suo interno avrà un’unità dedicata alla sicurezza informatica, mentre una
microimpresa probabilmente si rivolge per fare le proprie attività anche a
fornitori esterni o consulenti quando serve, che gli sistemano il sito, gli
sistemano il gestionale e così via. Quindi manca un po’ anche la cultura della
fiducia perché certi tipi di istruzioni probabilmente non vengono neanche
visti con la dovuta considerazione. Cioè ci sono piccole aziende, soprattutto
che quando si parla del problema della tutela dei dati rispondono
“Sì, ma vuoi che vengano proprio da me ad attaccare? Non sono Microsoft,
una piccola azienda, quindi cosa vuoi che mi succeda?” Di conseguenza si sottovaluta probabilmente anche il problema.


Ringrazio Andrea Lazzarotto per questa esplorazione molto esaustiva del
settore dei reclami, di come ci si interfaccia con un garante europeo e
spero che tutto sommato rimanga… senza lavoro, almeno da questo punto di
vista. Ma nel frattempo per chi volesse sapere esattamente che fine fanno i
suoi dati e che tipo di reazione e risposta c’è da parte dell’autorità,
abbiamo qualche luce in più sull’argomento. Grazie ancora Andrea
Lazzarotto.

Grazie a voi.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Perché tanta gente che ha l’iPhone, l'iPad o il Mac va in giro con AirDrop aperto a tutti?

Perché tanta gente che ha l’iPhone, l’iPad o il Mac va in giro con AirDrop aperto a tutti?

Pubblicazione iniziale: 2023/11/12 13:28, Ultimo aggiornamento: 2023/11/18 11:10. Immagine iniziale generata da DALL-E.

In questi giorni sto viaggiando in treno in Italia e ho notato che spesso gli
utenti di iPhone e iPad lasciano aperta a tutti la funzione AirDrop, che
permette di inviare file da un dispositivo Apple a un altro. La funzione non
richiede che i dispositivi siano collegati alla stessa rete Wi-Fi.

Per esempio, facendo una semplice scansione (con il normale Finder del mio
Mac) dei dispositivi raggiungibili via AirDrop ho trovato questi utenti:

“CIA Asset 4752” è il mio iPhone di test, che ho lasciato aperto per
l’occasione. Ma l’iPad di Lele, gli iPhone di Viola, Dany ed Eradis e il Macbook Air di Lorenza non sono miei. Non
ho tentato di inviare file, per non allarmarli.

Non è prudente tenere AirDrop aperto a tutti: chiunque vi può mandare foto
indesiderate o malware, fare stalking o commettere altre molestie o abusi.
AirDrop andrebbe attivato solo quando serve per trasferire dati da un
dispositivo all’altro. Queste sono le opzioni disponibili sull’iPhone in Impostazioni – Generali – AirDrop: Ricezione non attiva (che consiglio come impostazione da tenere attiva normalmente), Solo contatti e Tutti per 10 minuti.

Per ridurre la vostra esposizione di dati personali quando attivate AirDrop,
attivatelo solo verso i vostri contatti e in ogni caso togliete il vostro nome
e il tipo di dispositivo dalla stringa del nome che viene trasmesso.
Non accettate mai dati da sconosciuti.

Se avete un iPhone, iPad o Mac, andate in
Impostazioni – Generali – Info – Nome, poi cambiate nome. 

Siate creativi. Io, per esempio, ho scelto questo:

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Kamasutra a Milano, audizione del responsabile informatico il 9 marzo; cos’è successo alla conferenza stampa

Kamasutra a Milano, audizione del responsabile informatico il 9 marzo; cos’è successo alla conferenza stampa

Questo articolo vi arriva grazie alle gentili donazioni di “ferro.e.fuoco” e “robdalmas”.

Giovedì 9 marzo, dalle 13 alle 14.30, presso la Sala Commissioni di Palazzo Marino si terrà la Commissione Consiliare che ascolterà l’assessore Giancarlo Martella e il responsabile dei sistemi informativi a proposito del blocco della rete di computer del Comune di Milano a causa del virus KamaSutra, già ampiamente descritto a suo tempo in vari articoli di questo blog fra il 25/1/06 e il 10/2/06. Potrebbe essere l’occasione per saperne finalmente qualcosa di più, visto il riserbo che ha circondato la parte tecnica dell’intera vicenda milanese.

L’audizione si tiene su richiesta del consigliere comunale Maurizio Baruffi, come promesso nella conferenza stampa del 9/2/06, alla quale ho partecipato e della quale vi devo ancora un resoconto. Mi rendo conto che è passato quasi un mese, ma altre notizie, più una scorpacciata memorabile di focaccia, mi hanno frenato fin qui. Mi sdebito subito, scusandomi in anticipo per la prolissità pressoché inevitabile.

Temevo una sbrodolata di politichese, ma si è rivelata quasi una riunione tecnica, nella quale purtroppo mancava chi avrebbe potuto chiarire bene i termini del pasticcio, ossia i responsabili informatici del Comune di Milano. Ma altre presenze, che racconterò tra poco, hanno reso altrettanto interessante e molto proficuo l’incontro. Ho pubblicato le mie foto su Flickr; se ne avete altre, indicatele nei commenti a questo articolo.

Il tema della conferenza era una proposta del consigliere comunale Baruffi di introdurre il software libero nel sistema del Comune di Milano, per contenere i costi e per evitare future Waterloo come quella che aveva portato il Comune alla paralisi per almeno cinque giorni, causando disagi alla cittadinanza e forti imbarazzi politici (era in visita il ministro Stanca) oltre che dichiarazioni sconsiderate che attribuivano il disastro a imprecisati “hacker dei centri sociali”.

Visto che avevo fatto un commento abbastanza sferzante nel mio blog, e conoscendo il mio interesse verso il software libero e i formati non proprietari, i Verdi mi hanno invitato come consulente e per vivacizzare un po’ l’incontro in compagnia di Marcello Saponaro (consigliere regionale), Lele Rozza (analista funzionale) e Valerio Ravaglia (Attivazione.org).

Valerio ha portato un comunicato della Free Software Foundation oltre a quello di Attivazione.org; Lele ha presentato Linux ai giornalisti, mostrando una distribuzione Ubuntu felicemente installata su un normale portatile (un Sony Vaio); io ho portato una chiavetta USB contenente il virus Kamasutra, che ho offerto scherzosamente ai presenti.

Lele Rozza ha infilato la chiavetta nel Vaio, ha cercato di aprire Kamasutra sotto Linux, e ovviamente non è successo nulla. Concetto banale per noi addetti ai lavori, ma senz’altro intrigante per chi non mangia pane e informatica: esistono computer invulnerabili a Kamasutra e a tantissimi altri virus. E non sono computer “strani”, tipo il mio Apple iBook: è roba di serie. Passare a Linux non richiederebbe, insomma, cambiare i computer del Comune.

Oltretutto un po’ di varietà nel software farebbe comunque bene. Se si usa un solo tipo di software, si rischia che un singolo virus faccia cadere tutto il sistema informatico e che il numero di computer anche solo potenzialmente infetti (e quindi da bonificare lo stesso per sicurezza) sia altissimo: è quello che è successo, per esempio, con il fermo totale delle Poste Italiane prodotto dal virus SQLHell/Slammer nel febbraio del 2003. Diversificando software e sistemi operativi, in caso di attacco virale verrebbero colpiti soltanto i computer che usano il software vulnerabile allo specifico virus, mentre gli altri resterebbero in funzione e potrebbero essere esclusi con certezza dalla lista dei computer da bonificare. Facendo un paragone ecologico, Baruffi ha chiamato questo approccio “biodiversità”.

Anche se abbiamo tutti ribadito che non volevamo incolpare specificamente Microsoft di nulla, visto che il problema della sicurezza non è soltanto questione di software ma anche di educazione degli utenti, molte delle domande e dei nostri commenti hanno riguardato l’azienda di zio Bill, per il semplice fatto che è praticamente onnipresente nei sistemi informatici del Comune e che il virus che ha fatto così tanti danni è un virus per Windows. Io ho poi definito “sovietico” il mutismo totale del Comune sui dettagli tecnici della vicenda, paragonandolo (in quanto a efficacia) al comportamento dei responsabili russi durante il disastro di Chernobyl. Fatte le debite proporzioni, in effetti, questa è stata una Chernobyl informatica: una débâcle assurda che non doveva assolutamente succedere e che è stata gestita creando una cortina ostinata di riserbo.

Ha fatto molto scalpore la notizia (riportata dal Corriere della Sera) di un costo di 30 milioni di euro l’anno per la gestione del sistema informatico. Ovviamente abbiamo fatto notare che parte (quanta, non si sa) di quel costo deriva dalle licenze software, che nel caso del software libero non ci sarebbero.

Certo il software libero non s’installa da solo, per cui occorre comunque preventivare spese di assistenza tecnica; spese che esistono però anche con il software a pagamento, per cui si tratta fondamentalmente di scegliere fra a) spese di licenza più spese di assistenza e b) spese di assistenza e basta. Si può poi discutere sulla maggiore facilità di manutenzione di macchine Linux (anche sul desktop) rispetto a quella di macchine Windows, che produce ulteriori risparmi sull’assistenza.

Io ho accennato alla possibilità di migrazioni “soft”, come quelle avviate con successo in Francia da interi ministeri e dalla Gendarmerie: passare al software libero non è necessariamente una cosa traumatica, un “tutto o niente”. Si può cominciare sostituendo Internet Explorer con Firefox, turando così gran parte delle vulnerabilità di Windows; si può proseguire sostituendo Outlook con Thunderbird; e poi si può eliminare il costo delle licenze di Microsoft Office adottando OpenOffice.org (che fra l’altro genera documenti in formato PDF automaticamente, senza software esterno; Microsoft Office lo farà soltanto dalla prossima versione). Il tutto senza lasciare subito Windows.

Già così si riducono costi diretti (le licenze) e indiretti: accenno al fatto che l’uso di formati non-Microsoft evita di dover continuare a comperare software sul quale si dovranno pagare licenze e garantisce che anche fra venti, cinquanta, cent’anni i documenti pubblici siano leggibili senza dover pagare il dazio a qualcuno che ha il monopolio su come accedere ai documenti.

Poi, quando gli utenti si sono abituati a usare questi programmi liberi, si può passare a Linux mantenendo i medesimi programmi. È tutto software che infatti esiste anche in versione Linux. In questo modo, la transizione è pressoché invisibile all’utente comune. Tolto di mezzo Windows, il suo costo di licenza è sparito e lo si risparmia ogni anno, per sempre (su quanto sia questo costo, nel caso del Comune di Milano, tornerò fra poco).

Il vantaggio aggiuntivo di una migrazione a Linux è che consente di controllare con rigore quello che gli utenti possono e non possono fare. L’installazione di programmi può essere inibita con facilità, evitando l’anarchia del software nei vari uffici, grazie alla quale oggigiorno tutti installano software P2P e Skype abusivamente sui computer del posto di lavoro.

Anche la gestione della sicurezza ne beneficia. Impostare Linux in modo che non esegua gli allegati pericolosi (tipo KamaSutra) è semplice; farlo sotto Windows, con il suo browser integrato nelle viscere del sistema operativo e la sua gestione imperfetta dei privilegi di amministratore, è tutt’altra cosa. Oltretutto il numero di virus per Linux è infinitesimo rispetto a quello per Windows, per cui il pericolo è oggettivamente molto minore. Anche se Windows non è direttamente responsabile per lo sconquasso milanese, è indubbio che se il Comune avesse usato Linux, il problema Kamasutra non si sarebbe presentato.

È più o meno a questo punto dell’articolato discorso-proposta di non dare più un euro a zio Bill perché il suo software è un colabrodo difficile da rappezzare che dal fondo della sala si alza una mano. “Sono Carlo Rossanigo, di Microsoft”.

In sala si ode un improvviso, surreale risucchio: quello di una ventina di persone che per un istante fermano le proprie biro e trattengono tutte il fiato, voltandosi all’unisono verso il rappresentante di Microsoft con l’atteggiamento di chi si è accorto che l’incontro di routine si preannuncia decisamente più interessante del previsto.

Rossanigo (direttore relazioni esterne e corporate marketing di Microsoft Italia) è molto professionale e documentato: elenca le cifre ingentissime dei budget di ricerca Microsoft per migliorare la sicurezza e sottolinea che il problema di Milano non è dovuto a Windows ma è dovuto alla mancata educazione informatica dell’utente (e su questo siamo d’accordo). Il suo ampio intervento è chiaramente mirato a contenere il danno d’immagine a Microsoft prodotto da questa vicenda (fra l’altro, Rossanigo dice che mi ha sentito a Caterpillar) e dalle nostre parole nella conferenza stampa.

È suo dovere avere questa posizione, e la sa presentare bene. Detesto andare contro una persona cordiale che sta facendo il proprio mestiere, ma anch’io devo fare il mio. Di fronte alle sue considerazioni sugli sforzi di sicurezza compiuti da Microsoft in questi anni, non mi trattengo dal notare che nonostante tutti questi sforzi e questo vasto budget di ricerca, la gravissima falla WMF è rimasta in Windows per sedici anni, sin dai tempi di Windows 3.0 (1990). E alla fine non l’ha neppure scoperta Microsoft.

Rossanigo accenna anche agli sforzi di interoperabilità compiuti da Microsoft, facendo intendere che soltanto usando i suoi prodotti si è sicuri di poter condividere dati e risorse. Io obietto che l’interoperabilità Microsoft esiste soltanto fra i suoi prodotti, ma non verso l’esterno: i formati Word, Excel, Powerpoint sono sostanzialmente segreti, per cui un documento Word può essere letto con certezza soltanto da Word (e quindi pagando la licenza a Microsoft); ci sarebbe anche da dire sulla nota (in)compatibilità fra versioni differenti di Microsoft Word, ma sorvolo.

Faccio invece notare che Microsoft è di fronte all’antitrust UE, con un rischio multa di 2 milioni di euro al giorno, perché non garantisce l’interoperabilità del proprio software per server; per cui mi spiace, ma parlare di interoperabilità del suo software è decisamente disinformante. L’interoperabilità è invece offerta a piene mani dal software libero, che cerca ovunque possibile di usare formati liberamente utilizzabili e pienamente documentati. Confesso che mi fa un certo effetto poter finalmente dire queste cose direttamente a un rappresentante Microsoft.

Lo scambio di battute con Rossanigo prosegue cauto ma cordiale, e colgo l’occasione per chiedergli molto schiettamente quanto paga il Comune di Milano in licenze Microsoft: trecentomila euro ogni anno. Soldi che si potrebbero risparmiare col software libero. Un milione di euro ogni tre anni circa non sono noccioline.

Un altro aspetto meno polemico e più tecnico che emerge dalle parole di Rossanigo è che Microsoft ha offerto e inviato una squadra di specialisti al Comune per aiutare a risolvere il problema Kamasutra. Squadra che però non è riuscita a sistemare le cose, forse perché il compito era impossibile (si parla di 10.000 computer potenzialmente colpiti, di cui qualche centinaio realmente infetti, ma vai a capire quali).

Salta fuori, a un certo punto, che anche un altro dei presenti è di Microsoft (purtroppo ho perso l’appunto con il suo nome e me ne scuso; forse qualche lettore saprà colmare la mia lacuna di memoria guardando la foto qui sotto, dove Rossanigo è al centro e il secondo uomo Microsoft è quello con la cravatta gialla) e interviene con un altro discorso sui benefici di lavorare con il software Microsoft.

È un dispiego di forze davvero notevole, per una semplice conferenza stampa, e mi chiedo se sia un esempio della politica di zio Bill di intervenire massicciamente in overkill mode per controbilanciare ogni possibile pubblicità negativa. Anche lui dice di conoscermi bene e di leggere sempre il mio blog: lusinghiero ma inquietante… mi sento un po’ sorvegliato speciale, oltre che colpevole di un calo di produttività in casa Microsoft (se tutti leggono i miei rantoli, chi è che scrive il software?).

In effetti il metodo Microsoft di conoscere bene l’avversario ed essere presenti in forze funziona, perché l’incontro si trasforma in un vivace dibattito a cinque (i due esponenti Microsoft da un lato, Lele Rozza, io e Valerio Ravaglia dall’altro), in cui più volte ci troviamo a scivolare verso discorsi tecnici che rischierebbero di essere poco chiari per i giornalisti non informatici presenti e a ribadire, un po’ difensivamente, che non ce l’abbiamo specificamente con Microsoft, ma semplicemente cerchiamo di trovare delle soluzioni che facciano risparmiare dané e diano servizi migliori alla cittadinanza. La ripetizione avrà forse tediato i giornalisti presenti, che magari avrebbero gradito una scazzottata verbale, ma era necessaria per non fare la figura degli anti-Microsoft per partito preso.

Questo atteggiamento disponibile (del quale ringrazio Lele e Valerio, che mi hanno saputo moderare) ha dato qualche frutto immediato. Siamo finiti, non so esattamente come, a parlare di focaccia paragonandola all’open source: la ricetta della focaccia è nota a tutti, ma questo non impedisce di guadagnare a chi la sa preparare bene, così come il codice sorgente del software open source e i formati non proprietari sono noti a tutti, ma questo non impedisce di guadagnare a chi li sa confezionare bene. Al termine della conferenza stampa, inoltre, ci siamo fermati a chiacchierare con Rossanigo e l’altro esponente di Microsoft.

In questo “fuori onda” è emersa la considerazione che Microsoft non è l’unica a incassare un sacco di soldi in licenze al Comune di Milano, e che ci sarebbero aziende che prendono anche venti volte tanto, ogni anno, in licenze software. Sarebbe molto interessante avere le cifre e i nomi di queste aziende, per vedere se sono sostituibili con soluzioni libere e meno costose. Voci interne al Comune mi suggeriscono Oracle, ma non le posso confermare. Un intervento di Oracle e delle altre aziende che collaborano informaticamente con il Comune di Milano sarebbe molto opportuno e chiarificatore.

Rossanigo coglie l’occasione per invitarmi a un incontro informale che si terrà la sera stessa a Milano con Martin Taylor, General Manager di Microsoft, in visita dagli Stati Uniti per incontrare vari blogger italiani. L’occasione è ghiotta quanto inattesa, per cui m’ingegno (con l’impagabile supporto logistico di mia moglie Elena) per trattenermi a Milano per la giornata.

L’incontro si rivelerà prezioso e illuminante sul modus operandi di zio Bill. Ma questa è un’altra storia che racconterò prossimamente: per quanto riguarda il caso Kamasutra a Milano, gli aspetti tecnici continuano ad essere coperti dal riserbo più totale. Speriamo che l’audizione annunciata per giovedì chiarisca almeno la dinamica dell’infezione, che resta oggetto di mistero e di grande curiosità. Tutti, dai rappresentanti Microsoft agli addetti ai lavori presenti in sala, abbiamo concordato che è stupefacente che un virus per nulla sofisticato abbia potuto eludere le difese del Comune (che pure esistono e non sono banali, a quanto mi risulta) quando l’aggiornamento antivirale per Kamasutra era disponibile da tempo.

Le teorie più gettonate sono quelle del laptop d’ufficio portato fuori dalla rete aziendale, infettato involontariamente collegandolo a Internet e poi riportato in ufficio (quindi dentro le difese perimetrali), e quella di un’infezione arrivata tramite un PC del Comune sul quale girava software P2P non autorizzato. Ma sono solo congetture.

Fonti collegate al Comune mi dicono che il disordine nel sistema informatico è grande: per esempio, ci sarebbero reparti che hanno installato addirittura server Web abusivi (sui quali gira un po’ di tutto, Linux compreso) perché è l’unico modo per far andare avanti i servizi mentre l’amministrazione centrale latita o ha tempi di reazione insostenibilmente lunghi. E in mezzo al disordine i virus prosperano.

Forse è il caso di pensare ai rimedi, prima della prossima figuraccia. Gli hacker, quelli veri, quelli buoni, gli smanettoni insomma, quelli che magari di sera frequentano i centri sociali ma di giorno gestiscono la sicurezza informatica di banche e grandi aziende, sono a disposizione. Basta avere la maturità di chiamarli invece di accusarli a vanvera.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Santo cielo, ho un fan club su Facebook

Santo cielo, ho un fan club su Facebook

Ieri sera un amico mi ha nominato Facebook e io ho fatto una faccia inorridita. Essere presente su Facebook, moi? Giammai. Preferirei fare un bidet a un rinoceronte.

Ho sempre visto Facebook come un concentrato del peggio di Internet: una colossale, rutilante, ipercinetica, vanesia perdita di tempo e di banda, come Second Life, combinata con l’offerta volontaria a chissà chi di tutta la rete dei nostri contatti e conoscenti. La Stasi avrebbe dato l’anima per ottenere quello che gli utenti danno spontaneamente ai vari siti di social networking: la mappa completa delle persone che si conoscono, e delle persone che a loro volta conoscono le persone che si conoscono, e così via. E poi ci preoccupiamo di Echelon e delle telecamere per strada.

E’ per questo che rifiuto sistematicamente i vari inviti a LinkedIn, Facebook e simili: grazie, apprezzo il gesto, ma per principio non amo far sapere a sconosciuti quali sono le mie frequentazioni. Non perché le mie frequentazioni siano discutibili (a parte alcune), ma per principio: sono fatti miei e ci tengo che restino tali.

Capirete dunque il mio orrore quando non solo l’amico mi ha parlato di Facebook, ma vi ha immesso il mio nome e lo ha trovato. E ha trovato un lusinghiero ma surreale fan club con 102 iscritti.

In altre parole, sono su Facebook, che io lo voglia o no. E allora tanto vale esserci intenzionalmente, almeno con una pagina di rappresentanza. Sigh. Pagina che però, da quel che ho capito, è visibile soltanto a chi si iscrive a Facebook. Questo si che è marketing virale. Non iscrivetevi a Facebook soltanto per vederla, perché non c’è nulla di speciale e probabilmente non ci sarà mai. Serve solo per limitare il rischio che qualcuno metta su Facebook un mio clone.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Miniguida per genitori di internauti a Minusio

Miniguida per genitori di internauti a Minusio

L’articolo è stato aggiornato dopo la pubblicazione iniziale.

Ieri sera sono stato ospite dell’Associazione Genitori Scuola Media a Minusio per una chiacchierata pubblica sui benefici e rischi di Internet dal punto di vista dei genitori, spesso non consapevoli di quello che fanno online i loro figli e ignari dei rischi derivanti anche da comportamenti apparentemente innocui, e sulle tecniche di difesa necessarie per godersi la parte positiva della Rete.

I file della presentazione che ho commentato sono scaricabili qui (formato Keynote ’09) e qui (formato PDF) presso Google Docs. Una versione in formato Keynote ’08 è scaricabile qui (ZIP; salvata con Keynote ’09, quindi non è testata con ’08). Il PDF è sfogliabile qui sotto e scaricabile da qui per chi ha un account su Slideshare.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Aiuto, mi hanno craccato l’auto: Come prendere il controllo di un'automobile via software. Freni compresi

Aiuto, mi hanno craccato l’auto: Come prendere il controllo di un’automobile via software. Freni compresi

Un gruppo di ricercatori del dipartimento d’informatica della University of
Washington e della University of California San Diego ha pubblicato una ricerca
che spiega come si può prendere il controllo di qualunque automobile moderna
dotata di sistemi elettronici per la gestione del veicolo. 

La ricerca,
intitolata
“Experimental Security Analysis of a Modern Automobile”, ha dimostrato che si può utilizzare la porta diagnostica OBD-II (la sigla sta
per OnBoard Diagnostics), presente per legge in tutte le automobili
statunitensi e in quelle europee recenti, per
“ignorare completamente i comandi del conducente” e
“disabilitare i freni, far frenare selettivamente a comando le singole ruote,
fermare il motore, e così via”. Se la cosa non vi ha messo abbastanza i brividi, i ricercatori aggiungono che
sono stati in grado di
“impiantare del codice ostile nell’unità telematica di un’automobile” in
un modo che
“cancella completamente ogni prova della sua presenza dopo un incidente”.
I complottisti di Lady Diana esulteranno.

Come si fa? La maggior parte degli attacchi realizzati concretamente dai
ricercatori su automobili di produzione in condizioni reali (su circuiti
stradali sicuri) richiede che l’aggressore abbia accesso fisico all’interno
dell’auto e possa connettere degli apparecchi alla porta OBD-II (mostrata nella
foto qui accanto, da
Wikipedia).
Cosa peraltro facile: immaginate di affidare la vostra auto a un parcheggiatore
o a un riparatore o a un semplice installatore di autoradio. 

Ma c’è una
sottoclasse di attacchi, secondo i ricercatori, che può essere realizzata anche
senza accedere fisicamente all’automobile, tramite i vari ricevitori senza fili
presenti nelle auto moderne. Inoltre è facile concepire un dispositivo
radiocomandato connesso alla porta OBD-II, come in effetti hanno fatto i
ricercatori, riuscendo a spegnere tutte le luci dell’auto-cavia mentre era in
moto: immaginate l’effetto che può avere uno scherzetto di questo genere di
notte su una strada non illuminata. Non vedreste più la strada e non sareste
visibili fino all’ultimo istante agli altri conducenti. Chi vi segue non
vedrebbe accendersi le vostre luci di frenata, con conseguente rischio di
tamponamento. E qualora doveste sopravvivere all’incidente, giustificarvi
di fronte all’assicuratore o al tribunale dicendo che vi hanno craccato
l’automobile sarebbe difficile e rischierebbe di sfociare in prolungate sessioni
di terapia psichiatrica.

I ricercatori statunitensi si sono divertiti a creare anche una dimostrazione di
“autodistruzione”: usando il loro software, denominato Carshark, sul
cruscotto compare un conto alla rovescia di 60 secondi, accompagnato da
ticchettii di cadenza crescente e dal suono del clacson negli ultimi secondi.
Poi si spegne il motore e si bloccano le porte. A discrezione è possibile
inoltre attivare di colpo i freni o rilasciarli. 

Qui accanto vedete una demo di
tachimetro craccato: indica 140 miglia orarie (225 km/h) nonostante il cambio
dell’auto sia in modalità Park e riporta un messaggio scelto dagli aggressori
(Pwned by CarShark – CARSHARKED X_X). 

Certo, i ricercatori hanno fatto
tutto questo per mettere in luce l’approccio carente alla sicurezza informatica
attuale nelle automobili e stimolare i costruttori a valutare più attentamente
questo aspetto, e dicono che non c’è motivo di allarmarsi perché a loro non
risulta che questi attacchi vengano usati. Ma altri potrebbero non essere così
altruisti e sistemi come OnStar della General Motors già adesso permettono di
sbloccare a distanza un’auto o di fermarne il motore in caso di furto. Non so
voi, ma io vado a comperarmi una Dune Buggy.

Fonti aggiuntive:
New York Times.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
SiteAdvisor di McAfee mi scagiona: non sono più un untore

SiteAdvisor di McAfee mi scagiona: non sono più un untore

Questo articolo vi arriva grazie alle gentili
donazioni di
“lorenzo.gherar****” e “albertav****”.

Ricordate che SiteAdvisor di McAfee
segnalava
questo blog come pericoloso (addirittura da
“download rosso”), perché a suo dire
conteneva potenziale adware o spyware? Si trattava di un errore, perché avevo
pubblicato un singolo articolo che conteneva un link a Eurobarre.exe. Avevo
rimosso il link ai primi di luglio, ma sono rimasto in lista nera
fino a ieri.

Ieri, infatti, ho finalmente ricevuto la comunicazione ufficiale da McAfee che
“i laboratori hanno aggiornato la valutazione contrassegnando come sicuro Il
Disinformatico”. Infatti stamattina il test di SiteAdvisor mi promuove con un bel bollino
verde.

Meno male. Il 5 novembre scorso, il Customer Support di McAfee mi aveva scritto
che aveva accettato il mio reclamo, ma che ci potevano volere fino a
sei settimane perché SiteAdvisor
smettesse di dare diagnosi errate (“Please allow at least six weeks for this test to be completed and its
results to fully propagate through our system”).

Per fortuna, a giudicare dalle statistiche di accesso al
Disinformatico, ben pochi si sono
fidati della segnalazione fasulla di SiteAdvisor (e di questo sono molto
lusingato), ma se questi sono i suoi tempi di reazione e i suoi rischi di
segnalazioni errate, dovrebbero essere evidenziati un po’ più chiaramente per
evitare confusione negli utenti.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Disinformatico radio del 22/4: iPhone “spione”, Dropbox vulnerabile, automi musicali, galateo per Facebook e occhiali 2D

Nella puntata di venerdì scorso dei Disinformatico radiofonico, scaricabile
temporaneamente
qui
e ricevibile in podcast su iTunes, mi
sono occupato dei
problemi di sicurezza di Dropbox, di un modo semplicissimo e intrigante di
fare musica con un automa cellulare, della polemica sull’iPhone che registra gli spostamenti dell’utente, di un
mini-galateo per Facebook
e degli
occhiali per convertire i film 3D in 2D
per evitare nausea e mal di testa.

Questi articoli erano stati pubblicati inizialmente sul sito della Rete Tre
della Radiotelevisione Svizzera, dove attualmente non sono più disponibili.
Vengono ripubblicati qui per mantenerli a disposizione per la
consultazione.

Dropbox e sicurezza

Dropbox è un servizio di condivisione di
file molto popolare in Rete (25 milioni di utenti): non è il solito circuito peer-to-peer sul quale si fa circolare
materiale spesso in violazione del diritto d’autore, ma un modo semplice per
condividere documenti all’interno di un gruppo di persone o di computer.

Dropbox permette infatti (tramite un browser o il software apposito
scaricabile gratuitamente) di creare sui suoi server una o più cartelle
condivise, alle quali possono accedere solo gli utenti autorizzati.

È un modo pratico per avere sempre accesso ai propri documenti da qualunque
computer connesso a Internet (compresi i dispositivi Android), per lavorare in
gruppo ad un progetto, per avere una copia di sicurezza dei propri dati
principali e per risolvere il solito problema di chi ha più di un computer da
gestire: i dati che servono sono immancabilmente nel computer sbagliato che
non si ha a disposizione.

Tuttavia in questi giorni è nata una doppia polemica intorno a Dropbox. La
prima parte riguarda il fatto che le
condizioni d’uso del servizio
sono state aggiornate di recente per indicare che i file custoditi verranno
forniti agli inquirenti del governo USA se Dropbox riceverà un ordine di un
tribunale competente. Ma questa è una prassi standard di qualunque società
statunitense, come Gmail o Amazon, ed è un obbligo di legge; niente di nuovo,
insomma, e chi si affida ai servizi di queste società dovrebbe già saperlo e
tenerne conto.

La seconda parte riguarda invece un problema di sicurezza più sottile. Il
ricercatore di sicurezza Derek Newton ha
segnalato
che il codice hash, ossia la "chiave" che identifica ciascun
computer autorizzato ad accedere a una specifica utenza Dropbox, viene salvata
in chiaro (senza proteggerla con cifratura) sul computer stesso, ed è
trasferibile ad altri computer.

Questo significa che un aggressore che riesca ad avere accesso al computer
della vittima (fisicamente o tramite un attacco informatico) può prelevare in
pochi istanti una copia di questa "chiave" e usarla per accedere a
tutti i file che la vittima ha depositato su Dropbox e continuare a farlo
anche dopo l’attacco, restando sostanzialmente invisibile alla vittima.

Dropbox ha
dichiarato
che sta già lavorando a una soluzione per eliminare questo problema; nel
frattempo è opportuno comunque evitare di mettere online file riservati e
cifrare i documenti condivisi.

Fare musica con un automa cellulare: Otomata

Sembra il nome di un robot con telefonino integrato, ma un
automa cellulare è invece un ”sistema complesso discreto studiato in teoria della computazione,
matematica, fisica, biologia e modellazione microstrutturale”, per dirla con Wikipedia, basato su un’idea degli anni Cinquanta del secolo
scorso. In parole povere, è un sistema, realizzato per esempio in un computer,
nel quale ci sono degli elementi semplici (celle) che interagiscono tra
loro secondo regole altrettanto semplici.

Da tutta questa semplicità, però, possono nascere sorprendentemente strutture
molto complesse. Addirittura si può generare musica. È quello che propone
Otomata, con il quale
garantisco che passerete ore a produrre musica ipnotica e sempre differente.
Non servono istruzioni complesse: basta cliccare a caso sulle caselle della
"scacchiera" di Otomata e avviare l’animazione, che prenderà a
generare musica. Buon divertimento.

L’iPhone registra gli spostamenti dell’utente

Su ogni iPhone e ogni iPad 3G c’è un file nascosto e non cifrato nel quale
viene registrato a lungo termine ogni spostamento dell’utente. La segnalazione
sta spopolando in Rete ed è attribuita agli esperti di sicurezza Alasdair
Allan e Pete Warden, che hanno pubblicato un’applicazione dimostrativa,
iPhoneTracker, che
analizza questo file e lo traccia su una mappa, con risultati impressionanti.

Il file, consolidated.db, è disponibile anche nelle copie di backup di
iTunes dell’utente, il che significa che qualunque applicazione (per esempio
un virus o un cavallo di Troia) presente sul computer sul quale gira iTunes
potrebbe accedervi. In caso di furto o smarrimento del telefonino, un
malintenzionato tecnicamente competente potrebbe leggerne il contenuto. Uno
degli scenari più pittoreschi proposti dagli esperti di settore è quello
dell’avvocato divorzista che chiede alla sua assistita
"Signora, lei sospetta un’infedeltà coniugale. Suo marito ha un
iPhone?". Infedeltà a parte, è un problema per chi deve tenere riservati i propri
spostamenti per lavoro, per esempio, mentre le forze di polizia potrebbero
trovare molto utile questo file nel ricostruire gli spostamenti di una
persona. Anzi,
c’è chi dice
che questo avvenga già.

In realtà l’esistenza di questo file è nota da mesi nella letteratura tecnica,
grazie per esempio al lavoro di
Alex Levinson. Va chiarito, inoltre, che il file completo non viene inviato ad Apple (a
differenza del campione di coordinate GPS e Wifi inviato due volte al giorno):
resta sul telefono, e la raccolta di dati geografici viene esplicitamente
autorizzata dall’utente quando sottoscrive le condizioni di contratto.

A che scopo vengono raccolti questi dati? La spiegazione più probabile non è
certo che Apple voglia spiare i propri clienti, ma che l’azienda della mela
morsicata voglia usare i dati raccolti per generare una mappa delle posizioni
delle antenne cellulari e degli hotspot wifi, come del resto indicato appunto
nelle diciture di attivazione del telefonino, senza dover ricorrere ai costosi
servizi delle società specializzate, come Skyhook.

Per chi volesse, il problema può essere risolto cifrando i backup oppure
inserendo dati fasulli nel file oppure ancora cambiandone i permessi.
Paradossalmente, il metodo più semplice è scavalcare le opzioni di sicurezza
facendo il jailbreak del telefonino e installare
Untrackerd, un’applicazione che ripulisce automaticamente e continuamente il file
incriminato.

La preoccupazione in Rete è forse eccessiva, ma è importante essere
consapevoli di questa raccolta di dati in modo da sapersi regolare. Come suo
solito, Apple per il momento non ha commentato la notizia.

Fonti aggiuntive:
The Register, BBC,
Dominic White,
F-Secure.

Esiste un galateo per Facebook?

Facebook ha così tante opzioni e funzioni, spesso prive di un equivalente nel
mondo reale, che è facile non intuire le vere conseguenze di un’azione che ci
pare innocua. È vero che i galatei sono fatti apposta per essere ignorati, ma
se cercate una serie di regole su come usare correttamente questo social
network senza offendere e senza infastidire, eccovi qualche suggerimento.

1. Non aggiornate il vostro stato con informazioni frivole o
irrilevanti.
A nessuno interessa cosa avete mangiato a mezzogiorno o se siete in ascensore.
Chiedetevi sempre a quanti dei vostri interesserà quello che state per
scrivere.

2. Non taggate gli amici nelle foto in cui sono venuti male.
Se qualcuno tagga voi in questo modo, è accettabile "staggarsi”.

3. Niente poke. Mai. È infantile, lasciatelo per gli
adolescenti e gli innamorati.

4. Non parlate delle attività riservate della vostra azienda. Non dovrebbe essere necessario ricordarlo, ma c’è sempre qualcuno che non ci
pensa.

5. Non diffondete appelli e catene di sant’Antonio. Sono
quasi sempre inutili, scaduti o falsi.

6. Concordate gli appuntamenti privati in un messaggio privato, non nella
Bacheca (Wall).
Altrimenti date l’impressione di fare uno sgarbo a tutti coloro che leggono
l’invito ma non sono invitati.

7. Tenete sempre presente chi esattamente potrà leggere il vostro messaggio
o vedere la vostra foto. Non vorrete certo che un datore di lavoro o una ex partner si faccia i fatti
vostri.

8. Scegliete se volete accettare chiunque come "amici" o se
volete includere solo gli amici veri.
Nel primo caso, abituatevi a scrivere come se parlaste in pubblico:
probabilmente non avete idea di chi vi può leggere. Nel secondo, ricordate che
non c’è nessun obbligo di accettare l’amicizia di nessuno.

9. Evitate la chat se non è strettamente indispensabile e non pretendete
risposte immediate.
Il fatto che una vostra amica abbia aperta la propria sessione Facebook non
significa che abbia a disposizione tutto il giorno per chiacchierare.

10. Se chiedete l’amicizia di qualcuno, spiegate perché. È
importante dare una buona ragione, per far capire che non state semplicemente
collezionando amici per fare numero.

Fonti:
PC World,
Sherweb,
Allfacebook.

Dopo gli occhiali 3D, gi occhiali… 2D?

Sembra un pesce d’aprile, e in effetti inizialmente
lo era (su Thinkgeek), ma l’idea degli occhiali che eliminano l’effetto tridimensionale dei film
in 3D per risolvere i problemi di nausea e fastidio che alcune persone
lamentano quando vanno al cinema a vedere una proiezione in 3D è diventata, a
quanto pare, realtà.

Esiste infatti un sito,
2D-glasses.com, che vende a circa 10
dollari degli occhiali che consentono di andare a vedere un film in 3D senza
effetto 3D. L’inventore, Hank Green, dice di averli inventati per risolvere il
problema della moglie, che diversamente da lui soffriva di mal di testa quando
andavano insieme a vedere i film tridimensionali. Considerato che spesso molti
film sono disponibili solo in 3D e c’è una percentuale non trascurabile di
persone che non apprezza il 3D o addirittura ne è
infastidita, specialmente quando è un effetto simulato malamente, questi occhiali
potrebbero essere una soluzione utile a molti.

Il principio di funzionamento è semplice e plausibile: nei normali occhiali 3D
(quelli passivi a polarizzazione, senza batterie), le due lenti sono
differenti e ciascuna blocca una delle due immagini proiettate, in modo che
ciascun occhio veda quella che gli compete e non veda l’altra. Il cervello
unisce le due immagini e si ha, quando tutto va bene, l’effetto
tridimensionale. Quando va male, invece, si ha l’emicrania.

Gli occhiali anti-3D hanno invece due lenti uguali: entrambi gli occhi vedono
così una sola immagine della coppia proiettata e quindi la visione è
bidimensionale, come ai vecchi tempi. Funzionano soltanto con i sistemi
passivi e quindi non sono adatti a tutti gli schermi cinematografici e
televisivi; è quindi meglio informarsi sulle caratteristiche tecniche della
sala e del televisore prima di fare l’investimento.

Finalmente potremo andare a vedere i film così come erano stati pensati dai
loro registi. Stranamente, Hank Green non ha pensato di aggiungere agli
occhiali anti-3D un accessorio fondamentale: i tappi per le orecchie, così
potremo vedere i film come si deve, alla vecchia maniera. Muti.

Fonti:
Techland.time.com,
Geekologie,
Geek.com.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Primo ministro britannico adotta la linea dura contro il terrorismo: bandire WhatsApp. È il Gastrospasmo del Fare

Primo ministro britannico adotta la linea dura contro il terrorismo: bandire WhatsApp. È il Gastrospasmo del Fare

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alla gentile donazione di “pierdimat*” e “fchion*”. Se vi piace, potete incoraggiarmi a scrivere ancora.

In risposta all’attacco terroristico a Charlie Hebdo, il primo ministro britannico David Cameron vuole abolire ogni forma di comunicazione online non intercettabile dal governo. Lo dice molto chiaramente nel discorso che ha fatto ieri, il cui video è presentato da The Independent.

A prima vista sembra una buona soluzione per impedire ai terroristi di poter comunicare fra loro senza poter essere intercettati. Lo sembra fino al momento in cui a qualcuno (evidentemente non qualcuno dello staff tecnico di Cameron) viene in mente che abolire ogni forma di comunicazione digitale non intercettabile dal governo significa abolire (o indebolire fino a renderla inutile) la crittografia che garantisce la sicurezza delle transazioni bancarie. Significa bandire WhatsApp, iMessage, FaceTime, Telegram, PGP e qualunque altra applicazione che faccia uso di cifratura seria. Significa bandire uno dei protocolli fondamentali di sicurezza di Internet, ossia SSL, come osserva Mikko Hypponen.

“Vogliamo consentire un mezzo di comunicazione fra le persone che noi […] non possiamo leggere?” si chiede retoricamente Cameron nel proprio discorso.

Sì, signor Cameron, lo vogliamo, perché quel mezzo di comunicazione è, tanto per dirne una, quello che tiene al sicuro i nostri conti correnti. E anche i suoi.

Non era difficile prevedere che la risposta politica, puramente demagogica, alla strage di Charlie Hebdo sarebbe stata una stupidaggine tecnica, come l’altrettanto cameroniano filtro antiporno, rivelatosi un flop totale. I politici non capiscono niente di Internet (le eccezioni si contano sulle dita di Eta Beta) e sono posseduti dal Gastrospasmo del Fare:

In caso di crisi, fai qualcosa. Qualunque cosa, anche una cretinata inutile o controproducente, ma fatti vedere che fai qualcosa. E poi vantati di aver fatto qualcosa e di aver dimostrato decisione e risolutezza. Tanto le conseguenze della tua cretinata le pagherà qualcun altro.

Il Gastrospasmo del Fare ha naturalmente il Corollario del Negare e Aumentare:

Se quello che hai fatto non funziona, esattamente come ti avevano avvisato i tecnici, non ammettere l’errore, ma dichiara con decisione che funzionerebbe benissimo se soltanto lo si facesse in dosi più massicce.

Dicevo, prevedere un nuovo esempio di teatrino della sicurezza non richiedeva poteri di chiaroveggenza. Era però difficile immaginare che la cretinata sarebbe stata di questo calibro colossale. Vedremo se i colleghi di Cameron negli altri paesi sapranno dare dimostrazioni d’inettitudine tecnica altrettanto mirabili. Qualcosa già si sta affacciando qui, e rispetta perfettamente il Gastrospasmo e il suo corollario.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.