Posts Tagged ‘sicurezza’

Comizi altrui /3

giovedì 26 novembre 2015

Due letture interessanti, ma che non hanno nulla in comune:

Certificato di Garanzia
di Sphera

Il racconto superficiale del digitale
di Massimo Mantellini

[libro] Data and Goliath

sabato 4 luglio 2015

Autore: Bruce Schneier
Titolo: Data and Goliath – The Hidden Battles to Collect Your Data and Control Your World
Editore: W. W. Norton & Company
Altro: ISBN 9780393244816, pagine: 320, prezzo: 27,95 $, prima edizione: marzo 2015, genere: saggistica (informatica, privacy, società, politica, sicurezza), lingua: inglese.

Voto: 9/10

(Dichiaro qui ufficialmente che io amo Bruce Schneier. Amore intellettuale, sia chiaro, tanto che lo metterei come lettura obbligatoria in ogni scuola di ordine e grado, ma ho paura di essere un tantino esaltato e quindi è un bene che siano in pochi a leggermi.)

In questo saggio Schneier descrive una situazione drammatica: la raccolta di informazioni sulla nostra vita da parte di aziende e governi fa apparire 1984 di Orwell come uno scherzo di un ragazzino senza fantasia. La cosa, detta così, sembra l’affermazione di un paranoico, ma lo studio di questi argomenti è il secondo lavoro di Schneier e quanto affermato nel saggio è ampiamente documentato. Tenete conto che metà del tomo sono note e riferimenti a documenti presenti in Rete, a libri e riviste. Anzi, Schneier stesso dice che senza la fuga di notizie di Snowden il saggio non avrebbe potuto nascere, che prima si avevano sospetti fondati e non prove, ma solo per quanto riguarda la raccolta delle informazioni da parte dei governi. La raccolta di informazioni da parte delle aziende è spesso alla luce del sole e comunque molto più facilmente visibile o intuibile. Insomma, c’è un sacco di gente che, potenzialmente, potrebbe sapere tutto della nostra vita, anche cose che noi abbiamo dimenticato o non vediamo subito, tipo che il nostro partner ha l’amante. Dico potenzialmente perché la raccolta dei nostri dati è indiscriminata, ma il loro uso non lo è sempre.

Come vengono raccolti i nostri dati? Attraverso la tecnologia di tutti i giorni. Smartphone, portatili, pc, ebook reader, carte di credito, bancomat, qualsiasi cosa che sia collegata a Internet o ad una qualsiasi rete telematica o comunque ad altre apparecchiature. Chiunque usi mail, servizi via internet, socialcosi, lascia una quantità impressionante di dati e questi vengono tutti salvati e tenuti. Il costo della raccolta indiscriminata è infimo e, con budget tutto sommato alla portata di grandi potenze come gli USA, consente di tracciare interi popoli. (È documentata la registrazione di tutte le telefonate – voce compresa – fatte in Afganistan nel 2013 (p.65).) La situazione è talmente grave che mantenere l’anonimato nella nostra società è impossibile. Anche agenti segreti addestrati a non lasciare tracce hanno molte difficoltà (p.43).

Che utilizzo si fa dei dati? Per quanto riguarda le aziende è chiaro: venderci prodotti e servizi, convincerci ad acquistare. Per quanto riguarda i governi gli scopi sono molto più subdoli e sottili. Ufficialmente la raccolta indiscriminata di dati serve per combattere i “cattivi”, dove i cattivi possono essere, di volta in volta, i terroristi, i pedofili, gli evasori fiscali, fino ad arrivare ai contestatori e i dissidenti. La divisione fra spionaggio commerciale e governativo è solo formale. In realtà le grandi multinazionali dei servizi spesso collaborano, più o meno volontariamente, alla raccolta dati governativa.

Ma serve questa enorme raccolta? Dipende. Per le aziende è fondamentale. Anche se imprecisa, nei grandi numeri la profilazione degli utenti consente di dare servizi e pubblicità su misura che migliorano di molto il rendimento degli investimenti. Per quanto riguarda la prevenzione degli atti terroristici e la lotta ai cattivi in generale, scusa con cui ogni governo ci controlla, questa raccolta indiscriminata si è dimostrata più volte assolutamente inutile. È facile seguire un obiettivo specifico, è assolutamente impossibile trovare un comportamento che si rivelerà deviante. La imprevedibilità dei comportamenti umani genera troppi falsi allarmi per rendere utile qualsiasi indagine preventiva. Nessuno sa in anticipo come si comporteranno i cattivi. Solo che nessuno vuole perdere un potere acquisito e nessuno vuole apparire debole nella prevenzione dei disastri. Gli uffici come la NSA, per esempio, sono un centro di potere ormai autonomo e nessuno ha voglia di perdere il proprio posto venendo accusato pubblicamente di non fare abbastanza (sindrome del “mi salvo le chiappe”).

Ma allora Schneier cosa propone? Propone tante cose, più di 80 pagine di suggerimenti. Se da un lato sembra irrealistico smettere questa raccolta di dati, visto che in molti casi il loro uso si dimostra utile (indagini di polizia, servizi, salute pubblica), la raccolta e il loro utilizzo indiscriminato dovrebbe cessare. Schneier illustra i numerosi danni dell’assoluta mancanza di anonimato: danni all’espressione del libero pensiero, alla capacità di ribellarci alle ingiustizie e a creare una vita più consona alle nostre esigenze. Il punto di equilibrio fra l’interesse pubblico e quello privato della raccolta dei dati dovrebbe essere portato nell’agenda politica pubblica. Le persone dovrebbero essere informate. Del tema bisognerebbe parlare. Dovremmo tutti pretendere un maggiore rispetto della nostra riservatezza.

Schneier dà anche qualche consiglio sulla nostra vita pratica di internauti, per evitare di essere completamente trasparenti ai big dei servizi che ci profilano. Già su questo tema si potrebbe scrivere un libro a parte, ma mi è piaciuto molto scoprire che molti dei suoi consigli li sto già seguendo.

Anche se incentrato sul dibattito politico e sulla legislazione USA, il saggio si rivela interessante e necessario anche per noi europei. La strada da fare è ancora tanta. Schneier è fiducioso che sarà percorsa. Io un po’ meno. Ma informarsi è il primo passo per iniziare. Questo libro è un ottimo inizio.

Heartbleed – una catastrofe!

mercoledì 9 aprile 2014

Segnalo questo articolo de ilPost:

La falla più pericolosa di Internet
È enorme e potenzialmente riguarda due terzi dei server che fanno funzionare il Web: quelli che utilizzano il sistema OpenSSL per la posta, i social network e molte altre cose

Per profani: dei ricercatori hanno scoperto un errore di programmazione (bug) che consente di rubare le password (e non solo!) da tutte le connessioni che consideriamo sicure. (Tutte le connessioni che usano il protocollo https: banche, posta, facebook, eccetera) Siccome al peggio non c’è mai fine, il bug coinvolge i due terzi dei server che consideravamo sicuri. Per rendere la catastrofe completa l’attacco è assolutamente invisibile. In altre parole non c’è modo di sapere in modo certo se (e come) in passato i pirati informatici abbiano usato questo baco per carpire informazioni riservate.

Cosa possiamo fare noi utonti, oggi? Cambiare password. Sì, ma è utile farlo dopo che i server che usiamo hanno aggiornato il loro software fallato. Non è facile sapere se yahoo, tanto per fare un esempio, ha aggiornato i suoi server, perché all’indirizzo mail.yahoo.com corrispondono diversi server fisici sparsi per il mondo. Prima di cambiare password bisogna che siano tutti aggiornati. Personalmente aspetterò qualche giorno prima di cambiare le password più importanti.

Per il resto speriamo bene…

In inglese, Schneier qui.

Aggiornamento 10/04/2014:
Dimenticavo una cosa importante, per assaporare meglio la catastrofe: questo baco c’è da due anni. Non è meraviglioso?

Altre info tecniche, ma comprensibili ai più, da Paolo Attivissimo:

Heartbleed, falla di sicurezza senza precedenti ferma Internet. Come difendersi

Per controllare se è ora di cambiare la password dei servizi che usate (da CNET, in inglese):

Which sites have patched the Heartbleed bug?
We compiled a list of the top 100 sites across the Web, and checked to see if the Heartbleed bug was patched.
by Jason Cipriani

Lo ripeto sempre, ma rimango spesso inascoltato: UNA PASSWORD DIVERSA PER OGNI SERVIZIO. Mai, mai, mai, una password per tutti i servizi.

Aggiornamento 11/04/2014:

Sempre da ilPost:

La falla Heartbleed non riguarda solo i siti
Il grave problema di sicurezza del sistema OpenSSL interessa diversi aggeggi che si collegano a Internet (e serve davvero cambiare le password?)

Dove si racconta che il baco è presente in oggetti che non consideriamo pc o server. E sì, cambiare la password serve, come serve averne una diversa per ogni servizio e come serve cambiarla periodicamente, proprio per mitigare i danni derivanti da questo genere di disgrazie informatiche. Come utenti è l’unica cosa che possiamo e dobbiamo fare.

Mail Yahoo alert (cambia password!)

venerdì 31 gennaio 2014

Se avete un account mail di yahoo è ora di cambiare password:

Hacker all’attacco di Yahoo Mail: rubate username e password
L’incursione mira a raccogliere nomi e indirizzi da utilizzare per l’invio di spam. Vittime migliaia di utenti.

Important Security Update for Yahoo Mail Users

Mi fa un po’ impressione sapere che una terza parte abbia la coppia username-password degli account di mail. Che ci fa una terza parte con username e password di yahoo?
E fate attenzione, come sempre del resto, alle mail dei vostri amici di yahoo, il cui account potrebbe essere stato compromesso. Se sono cambogiani e vi scrivono in arabo, diffidate. :-)

Aggiornamento: Mi raccomando, non usate la stessa password per tutto! Ricordate: 1 servizio – 1 password diversa da tutte le altre.

[TED] Come l’NSA ha tradito la fiducia del mondo

martedì 12 novembre 2013

Paolo Attivissimo ha tradotto in italiano e trascritto l’intervento di Mikko Hypponen di F-Secure tenutosi a Bruxelles durante un TED Talk.

Come l’NSA ha tradito la fiducia del mondo: l’appello appassionato di un esperto, Mikko Hypponen

Grazie Paolo! (E grazie Mikko, ovviamente!)

La sicurezza nel 2020

giovedì 16 dicembre 2010

Purtroppo è un post in inglese e anche lungo:

Security in 2020
di B. Schneier
(Prefazione a Security 2020, di Doug Howard and Kevin Prince)

Ma vale la pena leggerlo. Si racconta di come sarà il futuro per chi userà la tecnologia, ovvero per tutti noi. Si racconta di come presto saremo (siamo in parte già) noi, persone normali, i potenziali cattivi informatici e di come il mondo degli affari si dovrà difendere da noi. Dopo la lettura di questo post si può affermare che Orwell è stato un ingenuo ottimista.

NOTA IMPORTANTE: Non fatevi fuorviare dalla parola security. Il discorso di Schneier riguarda tutti noi nella vita di tutti i giorni. E non fatevi fuorviare dalla data 2020. Schneier parla di cose che succedono già oggi. Nel 2020 sarà solo peggio.

Aggiornamento:
Dei post correlati all’articolo di Schneier: leggere il post di e-due e seguire i suoi link.

Dati evanescenti

venerdì 12 novembre 2010

Prendo spunto da una recente disavventura di byoblu (di cui non so nulla e su cui non mi pronuncio), per ricordare ai miei due lettori delle cose che si dimenticano facilmente, abituati come siamo ad avere servizi professionali gratuiti.

1) Il tuo account di mail può sparire semplicemente perché l’amministratore di sistema ha il mal di calli. E tu puoi solo ringraziare. Questo vale per ogni servizio gratuito su internet e c’è scritto nel TOS (contratto) del servizio. Leggere per credere.

2) Accedere al tuo servizio gratuito senza averne il diritto non è così difficile come sembra. Però due cose le puoi fare, per cautelarti: tieni il tuo pc in ordine e scegli una password che non sia il nome del tuo gatto. Stai attento alle domande di sicurezza: rischiano di essere un punto debole.

3) Visto che i tuoi dati sui servizi gratuiti sono evanescenti come una nuvola in un giorno di sole estivo, cerca di avere un backup dei tuoi dati. Per esempio: la mail scaricala sul tuo pc usando un mailer e fai un backup degli indirizzi collezionati e delle mail importanti. Anche se il tuo account di mail sparisce, hai una (meglio due) copia delle tue mail a casa tua. Se proprio i tuoi dati sono molto importanti, tienine una copia da un tuo amico.

4) Se anche hai pagato per il servizio, non credere di aver conquistato qualche diritto sui tuoi dati. A meno di non aver pagato cifre astronomiche, la tua unica speranza è quella di riavere i 50 euro che hai sborsato. Nessuno ti ridarà i tuoi dati.

5) Se sei un giornalista, specialmente se dai fastidio a qualcuno, è ora di mettersi a studiare: crittografia e anonimato in rete. Lamentarsi perché la Polizia ti ha sequestrato il pc con tutti i tuoi contatti segreti scritti in chiaro non si fa bella figura. La crittografia e l’anonimato non sono panacee per tutti i mali, ma cautelano dai guai più comuni. Un’altra cosa: non lasciare dati sensibili su server o pc che non controlli. Se il server di mail non è a casa tua, non lasciarci nulla sopra. (Non penserai che chi ti dà un servizio gratuito spenda dei soldi per un avvocato che difenda i tuoi diritti, vero?)

Ora vado a fare un backup del blog.

Quello di cui abbiamo paura vs le cose veramente pericolose

giovedì 9 settembre 2010

Il buon Schneier ci segnala da NPR.org:

5 Worries Parents Should Drop, And 5 They Shouldn’t
by Meagen Voss

Dove si racconta che i genitori hanno paura, riguardo ai propri figli, che (*):

1) siano rapiti
2) siano colpiti da cecchini impazziti
3) siano attaccati da terroristi
4) siano molestati da persone sconosciute
5) si droghino o siano drogati.

Invece i bambini sono feriti o muoiono per:

1) incidenti d’auto
2) omicidi operati da conoscenti diretti del bambino
3) abusi
4) suicidi
5) annegamento

Certo, l’articolo si applica alle paure made in USA, però buona riflessione lo stesso.

(*) tradotto a spanne, leggere sempre l’articolo originale.

Nutella e Hot Dog

venerdì 18 giugno 2010

Questi sì che sono pericoli:

La Ue dichiara guerra al mito della Nutella
di CARLO PETRINI

Dove si scopre che la Nutella(TM) contiene molti grassi.

Hot Dog Security
di B. Schneier

Dove si scopre che ci si può strozzare con un panino.

Come diceva uno che non ricordo: la vita è una malattia dall’esito infausto.

I cattivi fanno i cattivi, ma i buoni che fanno?

martedì 26 gennaio 2010

Qui i riferimenti sull’attacco cinese a Google (in inglese):

Me on Chinese Hacking and Enabling Surveillance
di B. Schneier

Qui un rapido riassunto in italiano su Punto Informatico:

Schneier: la minaccia viene dall’ovest

Il guru della cybersicurezza punta il dito sui Governi democratici occidentali. Mentre la Cina ribadisce di non aver avuto ruolo nell’attacco a Google
di Claudio Tamburrino

Riassunto per chi ha fretta:
Avete presente quando vi dicono che per combattere i supercattivi (terroristi e pedofili di solito) la polizia ha bisogno dei superpoteri? Succede che i superpoteri li usano tutti per fare di tutto: i cattivi (gli hacker cinesi) e quelli che dovrebbero essere i buoni (la polizia delle democrazie occidentali). Sapevatevelo.