L'infelice vicenda della #PasswordDiStato

Pur sovrastata dalle notizie giustamente più importanti sulle tensioni internazionali, non è passata sotto silenzio (almeno tra gli addetti ai lavori), anzi ha suscitato un discreto putiferio, l'intervista radiofonica della ministro dell'innovazione in cui proponeva una "password di stato" per ogni cittadino, utile non solo per l'autenticazione verso i servizi online della Pubblica Amministrazione, ma anche per tutti gli altri. Putiferio che è stato seguito da due precisazioni via social della stessa ministro, e dalle prese di posizione più o meno autorevoli da parte della stampa e della politica.

Premetto che (spiegherò tra poco il perché) ho seguito poco il putiferio, le precisazioni e le prese di posizione; ma quel poco che ho sentito si annovera maggiormente nel calderone delle "poche idee ma ben confuse". E quindi non potevo esimermi dal dire la mia.

Conoscere la "proposta"

Per iniziare, consiglio l'ottimo riassunto della vicenda, che include anche i leciti dubbi che comunque ogni buon informatico deve porre, di Paolo Attivissimo.

Vale la pena anche questo breve articolo che la stessa ministro ha postato su Linkedin.

Cosa ho capito io

Personalmente, ho sentito per la prima volta parlare di questa vicenda con una segnalazione della (prima?) precisazione, per cui per me la questione si era già parzialmente sgonfiata. Per farla breve, a me è sembrato che la prima reazione all'intervista radiofonica abba indotto molti, sentendo l'espressione "password di stato", a pensare che si trattasse di un sistema di autenticazione unico, fornito dallo Stato, in cui la password viene impostata dallo Stato stesso e non è modificabile da noi. La posizione (dopo il chiarimento) della ministro fa riferimento invece al potenziamento dell'utilizzo della SPID anche verso servizi non necessariamente relativi ai pubblici servizi o alla pubblica amministrazione.

Glossario minimo

Prima di passare alle mie opinioni, bisogna capire di che stiamo parlando.

L'autenticazione, nel mondo informatico, è quel processo che verifica l'identità di un utente. Nella stragrande maggiornanza dei casi, ciò avviene attraverso l'inserimento di due  parametri: il nome utente (che non è segreto), che lo identifica; e la password (segreta) che lo conferma. Il sistema funziona solo e soltanto se l'utente è l'unico a conoscere la sua password. Per ovviare a tutti i problemi che questo sistema ha, sono stati implementati altri sistemi come l'autenticazione a 2 fattori (oltre alla password si richiede un ulteriore codice di verifica legato ad un oggetto posseduto, come lo smartphone) e la biometria (impronte digitali, riconoscimento facciale).

La SPID è un sistema di autenticazione che prevede una verifica preventiva dell'identità reale dell'utente e sia ad essa collegata a tutti i fini di legge, per cui ogni operazione effettuata tramite la SPID è riconducibile ad un preciso cittadino italiano (in realtà essendo un'implementazione italiana di una direttiva europea, la SPID è utilizzabile anch in tutti i paesi UE e gli equivalenti sono utilizzabili in Italia). Attualmente la SPID è gestita da 9 operatori privati per conto dello Stato, ed è gratuita (per i primi due anni). Molti servizi pubblici centrali la richiedono (INPS, Agenzia delle Entrate, etc) mentre molti servizi locali ancora no.

La mia opinione

1.  È evidente che l'espressione "password di stato" sia stata infelicissima; ciò nonostante, ritengo che l'idea di una password imposta dallo Stato fosse così balzana che nemmeno i nostri più scriteriati amministratori della cosa pubblica potessero concepirla, e che essa sia frutto solo delle più becere propagande ideologiche e politiche che infestano i media italiani ed i social
2. Chiarito che si parla della SPID, l'idea di un suo utilizzo per i servizi online più disparati pone una serie di problematiche ben descitte da Attivissimo nell'articolo precedentemente segnalato, per cui la ritengo poco praticabile
3. Tuttavia, se l'alternativa alla SPID (sempre per i servizi online non pubblici) è quella di utilizzare sempre la stessa password, o peggio le credenziali di Facebook, Google, Twitter o Linkedin, allora siamo alla demenza più totale: meglio mille volte il nostro Stato, per quanto malandato (sotto tutti i punti di vista), piuttosto che privati colossi esteri bramosi di raccogliere e rivendere al miglior offerente tuttle le informazioni possibili su di noi
4. Quanto appena detto vale esclusivamente se con "Stato" intendiamo le istituzioni al servizio del cittadino, e non organizzazioni private legate a doppio filo a questo o quel partito (per essere chiari: Casaleggio)
5. Il paventato pericolo che dall'uso della SPID lo Stato raccolga informazioni su di noi che non avrebbe avuto altrimenti, è reale; ma non è nemmeno un automatismo, tecnicamente svincolare completamente il processo di autenticazione da ciò che avviene dopo è fattibile; ed il legame (questo sì, inevitabile) che rimane tra ciò che facciamo e la nostra identità può essere regolato correttamente secondo la normativa europea sui dati personali (da notare che il ministro stesso su Linkedin fa riferimento alla necessità di interpellare il Garante, come previsto dalla legge ma mai avvenuto in casi precedenti...)
6. Fatto salvo tutto questo, il problema ultimo che nessuno sembra voler affrontare è che la maggioranza della popolazione italiana, semplicemente, non è in grado di capire ed utilizzare gli strumenti che gli vengono messi a disposizione; finché sarà così, a mio parere parlare di "innovazione" (soprattutto da parte di chi non ha le competenze per capire cosa significhi) è totalmente inutile.
   

Social o utenti: di chi la responsabilità?

Credo tutti abbiano sentito la notizia dell'assassinio casuale di anziano afroamericano da parte di un altro afroamericano, che ha ripreso e poi postato il video su Facebook (asserendo tra l'altro di aver commesso altri omicidi, ma al momento non ho sentito conferme, per fortuna). Ebbene, nella tragedia sembra che un po' tutti i giornali abbiano dato particolare risalto al ritardo di Facebook nel cancellare il video in questione, che è stato visto e condiviso da un certo numero di persone.

Prima di andare avanti faccio una doverosa premessa: non sono su Facebook per scelta, perché non mi piace come viene utilizzato dagli utenti e gestito dai suoi manager; ma in questa vicenda mi sembra faccia un po' da capro espiatorio, anche nei confronti degli altri social network, per cui il mio ragionamento è in realtà totalmente applicabile anche a questi ultimi.

L'avvento dei social network è stato un cambiamento dirompente nella società umana: ormai chiunque è in grado di produrre contributi (scritti, video, audio, immagini, etc) e di condividerli potenzialmente con il mondo intero. I genitori postano le foto dei loro bambini; i fotografi le loro migliori opere; gli adolescenti le loro emozioni; i blogger i loro articoli; e via dicendo. Ma il mondo non è solo fatto di genitori, fotografi, adolescenti e blogger: è fatto anche di ladri, terroristi ed assassini. E così succede che i ladri postino le loro malefatte, i terroristi le loro rivendicazioni e gli assassini i loro omicidi. Quindi che questi atti criminali finiscano sui social, a mio parere non deve sorprendere nessuno. Per fortuna, in un certo senso: così aiutano le forze dell'ordine a identificarli.

E non deve nemmeno sorprendere che vengano rimossi: in definitiva, i social nascono con ben altri scopi, non certo quello di aiutare i criminali. Quindi nessuna sorpresa se il video in questione è stato rimosso. Il problema sono i tempi. 3 ore, dicono i giornali: troppi, perché nel frattempo il video è stato visto e condiviso, probabilmente anche commentato. A me 3 ore non sembrano molte, anzi mi sembrano poche. Bisogna considerare i tempi tecnici per cui arrivano le prime segnalazioni (tra le moltissime che arrivano in continuazione), venga presa visione dai responsabili, che probabilmente devono contattare la polizia, etc... infine la rimozione vera e propria.

Io, invece, vorrei andare a chiedere uno ad uno (indipendentemente da quanti siano) a coloro che hanno visto il video, l'hanno condiviso o hanno messo un "mi piace": ma cosa c'hai nella testa al posto del cervello? Quale putrida ed inutile materia? Perché accidenti l'hai fatto? Purtroppo mi do anche una risposta da solo: immagino che molti mi risponderebbero che semplicemente hanno pensato fosse un video fasullo, magari molto ben fatto, e che mai avrebbero pensato potesse essere reale. Beata ingenuità!

Ecco che torniamo quindi allo stesso tema che già viene affrontato con le fake news (o bufale per dirla all'italiana): ossia la non capacità da parte di molti utenti di riconoscere la finzione dalla realtà, soprattutto sui nuovi media che viaggiano su internet; la non consapevolezza dei meccanismi che stanno dietro questi atti; e soprattutto la mancata presa di responsabilità per evitare che si diffondano e ripetano. E la soluzione, palesemente semplice: l'educazione.

Oggi, su questo episodio, difendo Facebook, che ha avuto la sola colpa di essere il più diffuso e quindi il più appetibile per il criminale di turno. Domani difenderò gli altri social, pur con tutti i loro difetti, per episodi simili (ce ne saranno, purtroppo...). D'altra parte, pur riconoscendo che i social sono principalmente destinati al diletto, non difenderò mai chi li utilizza spegnendo il cervello.

Non ti sopporto più (ovvero: la password)

La navigazione su internet, o l'utilizzo di app, ormai sembra non poter fare a meno della famigerata password: quasi ovunque è richiesto registrarsi e quindi impostarne una. I risultati, ovviamente, sono questi:

http://mobile.hdblog.it/2017/01/16/123456-password-utilizzata-2016/

Ora, finché queste password sono utilizzate per servizi banali (per esempio, registrare le ricette preferite), passi... ma se sono utilizzate per la posta elettronica (privata: quella lavorativa non la prendo nemmeno in considerazione, altrimenti qualcuno rischia che lo sbrani) o per il conto corrente online, beh, allora tutto il male che può accadere è pienamente meritato!

Quindi, poiché sono un male necessario, cerchiamo di capire l'importanza delle password e come gestirle.

La password è uno dei due elementi fondamentali di ciò che comunemente vengono chiamate "credenziali"; l'altro è il nome utente (o username, più comunemente). Questa coppia fa sostanzialmente due lavori: con lo username avviene l'identificazione, cioè il riconoscimento univoco, in funzione di associazione univoca delle informazioni, della persona; con la password, avviene l'autenticazione, ossia si controlla la veridicità dell'identificazione. Questa verifica è necessaria perché lo username, in un certo senso, è un dato pubblico, quindi per riconoscere il legittimo proprietario bisogna che si utilizzi un dato privato, cioè conosciuto appunto solo da lui. Il senso della password è tutto qua: che sia un dato noto soltanto alla persona a cui appartiene. Nel momento in cui tale dato perde il suo carattere di segretezza, non ha più senso; e questo avviene in tutti i casi seguenti:

• la rendiamo pubblica (o nota anche ad una sola altra persona)
• ne utilizziamo una estremamente diffusa (come avviene appunto per le password della lista riportata nell'articolo sopra citato)
• la scriviamo in un posto facilmente accessibile (il post-it sul monitor è un classico)
• la scegliamo utilizzando informazioni pubblicamente note (come la data di nascita, propria o di qualche familiare, o il nome del gatto...)

Un altro comune errore è quello di lasciare al browser, al programma di posta, o alla app di turno, la registrazione delle password, in modo da evitare che venga richiesta ogni accesso. A parte che la registrazione può avvenire in modo non protetto (cioè cifrato, o se la cifratura viene utilizzata, senza che ne abbiamo noi il controllo)... così ci mettiamo alla mercé di chi dovesse avere l'accesso al nostro dispositivo o profilo, perché non dovrebbe nemmeno fare la fatica di cercare o indovinare le password. Ma il più grave errore che si può fare in tema di password, è pensare che a nessuno interessi soffiarcela. Come detto prima, con la password si autentica l'identità, quindi in realtà con la nostra password un malintenzionato impersona noi stessi, e può compiere qualsiasi atto a nostro nome (e dimostrare di aver subito il furto di identità non è cosa banale). Forse non tutti sanno che esistono vere e proprie aste di gruppi di credenziali valide di alcuni celebri servizi, segno evidente dell'interesse che ha questa "merce" (vedere, solo per fare un esempio, questa notizia)

Il problema alla base delle scellerate scelte della password sta tutto nella necessità di ricordarla. Ma è un falso problema: non è necessario ricordare a memoria tutte le password (in realtà, è il regolare utilizzo che, stimolando la nostra memoria, le fa ricordare, a prescindere dalla complessità e lunghezza). Io per primo, che credo di essere un bravo utilizzatore di buone password, non pretendo di ricordarle tutte, anzi! L'unico trucco necessario e sufficiente a gestire correttamente le password è scriverle, ma esclusivamente in un posto sicuro. Esistono molti programmi o app che fanno proprio questo: un piccolo database dedicato alle password, ovviamente cifrato. Il difetto è che per cifrare (e decifrare) il database, una password è necessaria: ma una sola. Questa sì che vale la pena dello sforzo di trovarne una sufficientemente complessa, veramente privata, e che non corriamo il rischio di dimenticare (se non in caso di amnesie gravi, ma in quel caso questo è un problema minore); anche perché la raccomandazione è quella di non scriverla, mai, da nessuna parte, e di non dirla veramente a nessuno! Se utilizziamo uno di questi "password manager", ed impariamo ad usarlo sempre, allora verrà facile anche passare ad una logica che fa fare il salto di qualità in termini di sicurezza: non scegliere più le password per far sì che siano in qualche modo mnemoniche, ma farle generare in modo casuale, e con lunghezze significative (dai 12 caratteri in su), e soprattutto cambiare regolarmente quelle più critiche.

Altro metodo di sicurezza che sta progressivamente diffondendosi è quello dell'autenticazione a due fattori (two-factor authentication): la fase di autenticazione si basa non solo sulla password, ma su un ulteriore codice che ha una validità limitata nel tempo, e quindi ogni accesso va nuovamente generato. Questo secondo codice può arrivarci con un metodo che abbiamo precedentemente validato (la nostra mail, il nostro cellulare), oppure con dispositivi appositi, chiamati token, che vengono rilasciati dal fornitore del servizio. Certamente è un ulteriore passaggio che ai più sembrerà un ulteriore fastidiosa perdita di tempo, ma a me sembra trascurabile davanti alla concreta possibilità di trovarsi il conto in banca svuotato.

In conclusione, dovremmo convincerci che dobbiammo riservare alle password la stessa attenzione che riserviamo alle chiavi di casa: esse rappresentano di fatto il modo di impedire agli estranei l'accesso al nostro piccolo "regno digitale".

Il problema della cultura digitale

Per cominciare fatevi due risate:

https://www.wired.it/gadget/computer/2016/06/13/50-frasi-che-fanno-impazzire-tecnici-it/

Io però non partecipo alle vostre risate. Perché a me queste frasi fanno male. Le ho sentite quasi tutte. Quella che odio di più è: "Non va internet", che in realtà sottintende decine di problemi diversi. Io mi arrabbio, e quello che mi sento dire è che "però io queste cose non le so".

Lo so che non le sapete, e so anche che questo non il vostro campo. Però il computer o lo smartphone li usate lo stesso: è questo il problema. Che non dovrebbe essere un problema: avremmo diritto tutti ad usare queste meraviglie tecnologiche senza avere nessuna particolare conoscenza; purtroppo non è possibile.

Non è possibile perché a quegli strumenti affidiamo buona parte della nostra vita, ma sono pur sempre macchine: possono smettere di funzionare, e lasciarci improvvisamente in difficoltà.

Non è possibile perché quegli strumenti sono una finestra aperta verso noi stessi: e c'è chi fa di tutto per entrarvi per fare i suoi (spesso sporchi) interessi.

Non è possibile perché quegli strumenti ci mettono in contatto con praticamente tutto il mondo: e questo contatto può essere veicolo di comportamenti odiosi.

Quindi, per usare correttamente tutto quello che ci viene offerto nel mondo digitale, un minimo di cultura (parola che non uso a caso) la dobbiamo avere. Provo a farmi capire meglio con un esempio pratico: l'utilizzo della posta elettronica, poiché è uno strumento che in ambito professionale è forse il più critico, e in ambito privato è ancora abbastanza conosciuto, essendo stato uno dei primi strumenti digitali a vivere un boom.

Per moltissime persone, saper usare la posta elettronica si limita a saper inviare, leggere e inoltrare i messaggi, e (forse) gestire i contatti. Ma esse poi non conoscono i formati e le codifiche, non sanno gestire la propria casella e il proprio archivio, non sanno difendersi dalle mail trappola. Se volessimo paragonare la questione alla guida delle auto, è come se un po' tutti sapessero girare il volante e mettere la freccia, ma non sapessero parcheggiare, non conoscessero i segnali stradali e non avessero idea di chi ha la precedenza agli incroci. Infatti per guidare è obbligatorio seguire un corso e superare un esame; nel caso della posta elettronica, si sa quel poco che un amico ti ha raccontato e poi si è fatto da soli; però, quando vengono fuori i problemi, quell'amico non è in grado di aiutarti...

No, non è che propongo di istituire una "patente digitale" obbligatoria; ma di fare in modo che tutti posseggano un substrato culturale, su cui poi costruire consapevolmente le proprie esperienze digitali, sì!

Non è che attualmente nulla venga fatto: il problema è che viene lasciato alla buona volontà di pochi "eroi".

Esistono fondazioni, associazioni, professionisti che si dedicano all'alfabetizzazione ed educazione digitale: se vengono prese, in modo sistematico, iniziative in ambito scolastico, sia per i giovani che per i genitori (ed insegnanti!), già si raggiunge una buona percentuale, e forse la più importante, della popolazione.

In ambito professionale, le aziende dovrebbero farsi carico della formazione base per i lavoratori che utilizzano computer, smartphone e tablet, ovviamente non limitando la cosa a poche ore una tantum...
E perché non allargare il discorso anche ai pensionati, attraverso i centri anziani, le parrocchie, o tutti gli altri enti che in qualche modo se ne occupano.

Certo, tutto ciò non può avvenire senza spese: vale per le istituzioni, per le aziende, e per i cittadini. Il mio invito è che nella cosiddetta "Agenda Digitale" del Paese, di cui peraltro solamente si parla da anni, non ci si occupi soltanto di diffusione della banda larga, ma anche di come rendere i cittadini capaci di utilizzarla correttamente.

Non tutto ciò che è gratis è gratuito

Grazie alla sua immaterialità, il mondo digitale si presta da sempre a fornire servizi o prodotti apparentemente gratuiti: motori di ricerca, sistemi di posta elettronica e di comunicazione di varia natura, programmi ed applicazioni, le più disparate informazioni attraverso milioni di siti web. Ma l'immaterialità è solo apparente: questi servizi risiedono su infrastrutture informatiche che costano barcate di soldi per l'acquisto, e ancora di più per mantenerle efficienti.

Tuttavia, le aziende che li forniscono sono tra le più ricche al mondo, in qualche caso anche più di aziende che invece vendono i loro servizi e prodotti. Come si spiega tutto ciò? Da dove arrivano i loro introiti? Certamente non da organizzazioni filantropiche.

Il primo e più ovvio metodo di incasso è la pubblicità generalista, inserita all'interno principalmente dei siti web: sistema assolutamente analogo alla pubblicità sugli altri media (televisione, giornali). Purtroppo in diversi casi è decisamente troppo invasiva, impedendo o ritardando la visione.

La questione diventa spinosa quando si passa ai cosiddetti banner pubblicitari: si tratta di una forma di pubblicità più subdola, perché basata sul numero di volte che viene visualizzata, o soprattutto cliccata, e viene quindi appositamente proposta per indurci al click. Questo avviene principalmente in due modi: con messaggi ingannevoli, volutamente simili ad avvisi (spesso di allarme); oppure con proposte mirate ai nostri interessi.
La tecnica di raccolta delle informazioni che permettono di capire quali sono i "temi" a cui siamo interessati si chiama profilazione, ed è uno dei mercati in massima espansione nel mondo digitale, per cui vengono appositamente studiate nuove e più precise modalità di estrazione di informazioni (se sentite parlare di BigData, nella maggioranza dei casi vengono utilizzati a questo scopo). Ora, di per sé indirizzare gli annunci pubblicitari sugli interessi di ognuno di noi non ha nulla di male, anzi personalmente preferisco gli annunci "mirati"; il problema è quali dati vengono utilizzati e come vengono raccolti.
La risposta è in realtà molto semplice: glieli diamo noi, proprio attraverso la nostra "attività" su internet. Tutto quello che facciamo viene tracciato, anche se con tecniche diverse. La più diffusa è quella dei "cookies" (si, proprio quelli citati nei fastidiosissimi avvisi che ci compaiono ogni volta che apriamo un nuovo sito), che altro non sono che piccoli pezzetti della nostra storia di navigazione; sono comunque memorizzati sul nostro dispositivo, e vengono utilizzati automaticamente dal nostro browser per "richiedere" gli annunci adatti a noi.
In molti altri casi, sono gli stessi strumenti che utilizziamo a raccogliere questi dati: legittimamente, perché il permesso di raccoglierli è esplicitamente concesso attraverso i "termini di utilizzo" o la "informativa sulla privacy" che nessuno legge prima di iscriversi! Se questa tecnica vi indigna, vi invito a riflettere sulle tessere (gratuite, si intende!) dei supermercati, benzinai, etc. che servono per ottenere sconti o premi: sono esattamente la stessa cosa, ed i costi sono ampiamente ripagati dai nostri dati o dalla fidelizzazione che causano.
Infine, ci sono le tecniche propriamente fraudolente, perpetrate attraverso virus, malware, oppure semplici truffe (cioè lo strumento fa cose non dichiarate); ma questo è un altro discorso.

Per completezza, cito altre modalità di profitto: sponsorizzazioni, donazioni (si, succede e funziona, per i privati), inserimento più o meno esplicito di prodotti/servizi aggiuntivi e non richiesti; o anche semplicemente fornendo anche versioni "premium" (quindi, con più funzionalità) del prodotto o servizio a pagamento.

Come fare per difenderci? Beh, qualcosa si può fare:

1. I browser moderni includono la modalità di "navigazione in incognito", che in realtà non ci rende anonimi, ma evita che le nostre attività vengano registrate e riutilizzate da terze parti. In alternativa basta non accettare l'utilizzo dei cookies.
2. Prima di iscriverci ad un nuovo servizio (o di prendere una nuova tessera), leggere sempre l'informativa sulla privacy, e sulla base di quella decidere in piena autonomia e consapevolezza se continuare con l'iscrizione o no; rinunciare non è peccato mortale, iscriversi solo perché i vostri amici l'hanno già fatto è stupido! (ed è proprio quello che sperano le grandi aziende informatiche)
3. In alcuni casi (le organizzazioni più serie) all'atto dell'iscrizione è possibile selezionare quali utilizzi permettere dei vostri dati: non abbiate paura a scegliere.
4. Non credere ai messaggi di allarme che vi appaiono (se non siete certi che provengano da programmi o siti affidabili). Esempio: se vi avvisano che è stato trovato un virus, con l'immancabile pulsante "clicca qua per riparare" (o simile), lasciate perdere, e invece fate fare un controllo supplementare al vostro antivirus.
5. Evitate di installare tutti le app o programmi che vi vengono proposti (attenzione, può succedere anche durante l'installazione di programmi che magari avete esplicitamente scelto): scegliete solo quello che realmente vi serve.

In conclusione, a pagare per questi servizi siamo quasi sempre noi: non con il vile denaro, ma con i nostri dati. Che evidentemente sono molto preziosi, visto che che vengono pagati profumatamente, e con cui vengono realizzati lauti profitti. Sta a noi decidere se sono merce di scambio adeguata per i servizi che vogliamo utilizzare gratis.

Internet delle cose, ovvero la tecnologia dannosa

Quando stavo pensando al titolo di questo post ero in dubbio se utilizzare l'aggettivo "inutile" oppure "dannosa" da associare alla tecnologia dell' "Internet delle cose": alla fine ho scelto il secondo, perché il primo non dà l'esatta percezione della situazione. Ma andiamo con ordine.

Con la terminologia Internet delle cose (Internet of Things, in inglese) si intende l'inserimento di nuovi servizi o funzionalità all'interno di dispositivi che tipicamente non consideriamo appartenenti al mondo dell'informatica (ma che giocoforza vi entrano in conseguenza di questa tecnologia), attraverso l'aggiunta di veri e propri piccoli computer con collegamento di rete, quasi sempre senza fili. Se per certe classi di dispositivi ciò trova senso, per altri, francamente, sembra una forzatura fatta a puro scopo di marketing. Esempi di questi utilizzi sono le automobili, i televisori, i semafori, i robot da cucina, i frigoriferi, i sistemi di allarme, le lampadine, etc.

Qual'è il problema in tutto ciò? Ecco qua:

che altro non è che l'esempio concreto di questo recente annuncio:

Nel 2016 in arrivo i “virus” per Smart TV (con Android)

Ora, giusto per rimanere su questo esempio, che i televisori moderni abbiano un collegamento di rete per permettere di accedere a tutti quei contenuti presenti sul web, o anche sui nostri dispositivi personali, ha perfettamente senso; quello che non ha senso è:

1. che il televisore sia vulnerabile ai virus che circolano su internet
2. qualora si accettasse questo pericolo, che il televisore non sia facilmente recuperabile

Non è inutile notare, se fate lo sforzo di leggere quanto compare sullo schermo, che il tv è stato colpito da un ransomware, argomento di un mio post precedente.

Il produttore del tv ha utilizzato un diffusissimo e apprezzatissimo sistema operativo, e questo non ha nulla di sbagliato; ciò che lo rende colpevole è di non averlo utilizzato senza intervenire con le necessarie misure di protezione e soprattutto, per quanto sembra finora, di non aver previsto una procedura di "reset" del televisore che eviti un intervento del servizio di assistenza. Ammesso che tale procedura esista, vorrei tanto sapere quanto è complessa. Da utente normale, mi verrebbe da dire che per essere accettabile dovrebbe comportare, per me, una singola azione e non dovrebbe bloccarmi il televisore per più di un minuto (si, lo so, è fantascienza), altrimenti potrei perdermi i titoli del telegiornale, gli inni nazionali della partita, etc.

L'altro grosso pericolo riguarda l'utilizzo fraudolento e ad insaputa del proprietario del dispositivo per effettuare attacchi informatici distribuiti. Questa non è fantascienza: è quello che è successo a ottobre (anche in questo caso, ne avevo accennato nel mio primo post).

Tornando però a quanto può succederci in prima persona... pensiamo cosa succederebbe se un simile blocco avvenisse su altri apparecchi, per esempio quelli che citavo prima. Se il sistema di allarme della nostra casa, o la nostra capacità di comandarlo, dipendesse dal collegamento internet, ad un ladro appena sufficientemente intelligente basterebbe fare in modo di "eliminare" il nostro accesso internet, spegnendo o scollegando il modem. Se il fantastico controllore del nostro frigorifero, oltre a farci vedere le date di scadenza o cosa dobbiamo comprare, controllasse anche la funzione di raffreddamento, ci ritroveremmo con un frigo vuoto o caldo. Se ci affidassimo al ricettario online per cuocere il pesce nel nostro forno intelligente, dovremmo ripiegare sul sushi. Ed ancora, la nostra fantastica auto superaccessoriata dal computer di bordo da fare invidia alla NASA, ci potrebbe lasciare a piedi.

Si, magari ho un po' esagerato, però il rischio che le funzioni basilari di un apparecchio possano essere inficiate dalla dubbia utilità di qualche funzione aggiuntiva, io lo vedo eccome! Ultimo esempio: ho letto delle lampadine con il wifi: per fare che??? Abbiamo veramente bisogno di controllare l'intensità di luce di una lampadina con una app sullo smartphone? Vogliamo veramente correre il rischio di dover tornare alle candele per questa imperdibile possibilità???

Io certamente no. Io pretendo che i produttori progettino questi apparecchi intelligenti con le dovute misure di sicurezza e senza renderci la vita complicata. Io pretendo che la mia intelligenza non sia messa in secondo piano rispetto alla presunta intelligenza degli apparecchi per motivi commerciali. Pretendo di avere la possibilità di continuare ad usare apparecchi "stupidi" ma utili ed efficienti.

AGGIORNAMENTO: il produttore ha fornito una procedura abbastanza semplice e veloce per il ripristino alle impostazioni di fabbrica; il tutto è testimoniato da questo video (in inglese).

Perdere dati... ma anche no!

Un vecchio adagio degli informatici recita: "Chi utilizza i computer si divide in 2 grandi categorie: chi ha perso dati, e chi li perderà." Amarissima verità.

Perdere dati, in concreto, significa perdere file (che altro non sono che la forma con cui i dati vengono memorizzati su dischi, chiavette, etc.); e perdere può significare: smarrimento; cancellazione accidentale; impossibilità di lettura; rottura del supporto fisico su cui si sono memorizzati. In ogni caso, sono tutte cose che succedono continuamente, e che nonostante tutti gli sforzi, non si possono evitare completamente.

Ma la soluzione c'è, e si chiama backup (o, in italiano, copia di sicurezza): basta che abbiamo i file in 2, meglio 3 copie sparse su supporti (o luoghi) differenti. Facile, ma un problema c'è: farlo è una rottura di scatole, e necessita di tempo e impegno. Gli ingredienti necessari sono:

1. conoscere quali sono i file da copiare
2. avere a disposizione una locazione realmente alternativa
3. fare le copie e aggiornarle quando necessario

Il punto 1 è per assurdo il più difficile per molti: l'automazione che i software, giustamente, ci offrono, di fatto nasconde ai più il dettaglio tecnico su come le informazioni vengono memorizzate. L'esempio lampante è il programma di posta elettronica: i messaggi sono memorizzati in una struttura predefinita di file e cartelle, che in alcuni casi (Microsoft Outlook, per non fare nomi) è anche soggetta a pericolosissimi casi di corruzione, o al raggiungimento dei limiti strutturali che impediscono il normale funzionamento del programma; e il recupero della situazione è, nel migliore dei casi, un incubo!
Quindi ora prendete un bel respiro e fate così: cercate di fare mente locale di tutto quello che avete memorizzato sul vostro computer/tablet/smartphone, ed immaginatevi, per ogni elemento, la vostra reazione alla scoperta che non l'avete più. Qualche esempio: le foto sono uniche, non si possono rifare uguali; i documenti si possono riscrivere, ma con quanta fatica e comunque non con lo stesso identico risultato; le mail spariscono, e basta. Tutto ciò per cui la reazione immaginata è la disperazione, va copiato, non importa quanta fatica ciò vi costi. Armatevi di coraggio, trovate il tempo, informatevi o fatevi aiutare, ma fatelo, e il prima possibile!

La cosa importante è fare la(e) copia(e) in posti realmente diversi (punto 2). Purtroppo bisogna tenere conto anche di come agiscono certi virus, per cui ecco alcuni consigli.

I dischi ottici (CD, DVD, Blu-Ray) vanno benissimo, a patto che stiate facendo un'archiviazione, cioè i file in questione non debbano essere mai più modificati. Tenete comunque presente che anche questi supporti non durano in eterno...

I servizi di memorizzazione online (comunemente chiamati "cloud") vanno benissimo, ma hanno il problema dello spazio limitato (almeno per i servizi gratuiti), ed alcuni hanno anche sospetti problemi di privacy... quindi evitate di metterci le vostre buste paga o le foto imbarazzanti.

Dischi esterni (accessibili via USB o rete) vanno benissimo, a patto che non siano permanentemente accessibili al computer, poiché eventuali malfunzionamenti di questo possono ripercuotersi su tutti i dischi (tipicamente questo vale per i virus, come i ransomware).
L'errore peggiore, invece, è copiare i dati su una partizione diversa ma dello stesso disco fisico... semplicemente, è inutile.

Qualsiasi metodo utilizziate, almeno una copia deve essere geograficamente lontana, perché avere tutti i supporti fisicamente vicini li espone al rischio della distruzione simultanea in caso di incidenti gravi, come incendi o terremoti (esperienza personale, per fortuna senza conseguenze).

Per quanto riguarda il punto 3, basta ricordarsi che non è sufficiente fare lo sforzo di fare le copie una volta per tutte: vanno continuamente aggiornate con le modifiche o con i nuovi dati. Per fortuna ci possono venire in aiuto diversi programmi dedicati proprio a questo (spesso i dischi esterni ne hanno uno in dotazione): normalmente fanno il confronto (o in automatico, o su vostro comando) tra dischi/cartelle distinte, anche remote, e copiano i file necessari, ed in caso di necessità, li ripristinano.

Ultimo consiglio: almeno per le cose più importanti non affidatevi ad altri, nessuno meglio di voi conosce la reale situazione dei vostri dati, e inoltre dovete essere in grado di ritrovare le vostre copia da soli, senza dover chiedere informazioni.

Seguendo questa pratica, la perdita di dati può essere realmente minimizzata, limitandosi a dati poco importanti; purtroppo ritengo impossibile eliminarla del tutto.

Il pericolo ransomware

La settimana che sta finendo ha portato agli onori della cronaca, almeno quella di settore, 2 episodi gravi: l'attacco che ha mandato offline milioni di utenti internet in Germania, e il ricatto informatico subito dalla Metropolitana di San Francisco. Sul primo non spendo parole in quanto ripropone lo stesso tema già trattato nel mio primo post. Sul secondo invece vale la pena di soffermarsi, anche perché personalmente lo ritengo il pericolo maggiore a cui siamo sottoposti tutti noi internauti, in questo momento storico.

Il ricatto in questione avviene attraverso una categoria particolare di virus, denominato "ransomware" (ransom in inglese è appunto ricatto), il quale agisce rendendo il nostro dispositivo in qualche maniera inservibile, e pretendendo soldi per "sbloccarlo". Il pagamento, per quanto mi riguarda, non è un'opzione: intanto perché si andrebbe ad alimentare il giro criminale ed a renderlo ulteriormente appetibile; inoltre, il pagamento normalmente è piuttosto complesso (viene richiesto di effettuarlo in bitcoin, una moneta virtuale ma dal valore reale, attraverso la cosiddetta "darknet", cioè quella porzione di internet usata soprattutto, non a caso, per commettere crimini).

Nella mia esperienza, una volta colpiti, resta poco da fare: estirparlo è complicato, e quasi sempre è necessario reinizializzare completamente il dispositivo, operazione lunga e non alla portata di tutti. In più, i dati spesso vengono persi, per effetto della reinizializzazione o perché vengono cifrati (è infatti questa la tecnica più diffusa per il blocco). In rari casi (solo se  i criminali sono degli sprovveduti) esiste la possibilità di decifrare i file; ma è comunque un'operazione non banale e lunghissima.

L'unica possibilità è difendersi ed essere pronti a questa eventualità.

La prima  e più importante difesa è il nostro comportamento! I ransomware (e più in generale tutti i virus) al giorno d'oggi si diffondono come allegati alle mail, come falsi avvisi di sicurezza o finti programmi da scaricare che si trovano sui siti web (attenzione: non solo quelli pornografici o per trovare materiale privato, capita anche su siti assolutamente normali), sulle chat, e solo raramente diffondendosi via rete da un dispositivo ad un altro. Esistono anche altri metodi di diffusione, ma in ogni caso è assolutamente necessario che siamo tutti in grado di riconoscere questi pericoli e quindi evitare di fare operazioni di cui non siamo assolutamente certi. Non dobbiamo  fidarci se non delle fonti che conosciamo con assoluta certezza, sapendo che i criminali fanno a gara per trovare il modo di confonderci e ingannarci! In definitiva, mai fidarsi, su internet.

Dal punto di vista tecnico, le difese ci sono. La più ovvia è l'antivirus: averlo e tenerlo aggiornato è indispensabile! Ma anche il miglior antivirus ha delle limitazioni, la prima delle quali è che tra l'uscita di un nuovo virus e l'aggiornamento che lo riconosce passano alcune ore, durante le quali siamo indifesi (succede; esperienza personale).

Ma cosa facciamo se tutto ciò non basta? Mettiamoci l'animo in pace e ripartiamo da zero. In realtà se siamo stati previdenti possiamo non ripartire proprio da zero, e limitare i danni in termini di tempo e dati persi. Essere previdenti significa avere salvato il contenuto del nostro dispositivo da "un'altra parte": i backup. Argomento questo talmente importante da meritare un post dedicato. Adesso mi preme sottolineare che dobbiamo averci pensato prima che si presenti il problema. Tra poco quel "prima" potrebbe diventare "tardi".

L'utilizzo consapevole degli strumenti digitali

Ricordo ancora quando entrai nel laboratorio dove avrei scritto la tesi di laurea, una stanza con qualche computer, che avevano la particolarità di avere un cavo coassiale che, attraverso dei connettori a T, passava da uno all'altro: mi spiegarono che era il collegamento di rete, al che io feci la domanda del secolo: "a che c**** serve mettere i computer in rete???". Era l'epoca in cui i computer erano roba da appassionati smanettoni, internet un nuovo giocattolo su cui il massimo dell'eccitazione era rappresentata dalle foto di Marte del primo rover americano, e i primi telefonini grossi come un libro arrivavano sul mercato (ma "non c'era campo"). La rivoluzione l'abbiamo vissuta senza nemmeno accorgercene, ed ora chiunque ha in mano un potentissimo computer miniaturizzato (che accidentalmente telefona pure), perennemente connesso senza fili ad internet, grazie alla quale siamo immersi in un mondo di informazione in tempo reale. Dove ci porterà il futuro, io non lo so, ma certamente la rivoluzione non è finita qui.

A dirla così, sembra fantastico, e senza dubbio lo è; ma vivendo la vita sia professionale che privata dal lato di "quelli che ne capiscono", la situazione non è così rosea. Questa rivoluzione è stata talmente veloce, e soprattutto guidata da interessi economici giganteschi, che ci siamo ritrovati in mano gli strumenti digitali senza preparazione. Il più grande cruccio con cui mi confronto tutti i giorni è che vedo, nella stragrande maggioranza dei casi, una mancanza di consapevolezza dei rischi che si possono incontrare nell'universo digitale. Tali rischi sono, a mio parere, di due grandi categorie: il primo è il trasferimento di nostre funzioni fondamentali (in primis: la memoria) a degli strumenti che, contrariamente a quanto ci fanno credere, non sono assolutamente infallibili; il secondo è rappresentato dagli utilizzi a scopo criminale, che in questo caso sono aggravati dal fatto che il mondo di internet è una sorta di terra di nessuno, in cui nascondersi è facilissimo.

Difendersi da questi rischi è possibile per ognuno di noi, anche senza preparazione specifica, a patto di possedere un substrato culturale in tema di informatica. Per intenderci meglio, faccio un paragone: la patente per la macchina. Spero nessuno pensi che essa sia solo una forma di estorsione voluta dei lobbisti delle scuole guida... poiché sulle strade si muore, è indispensabile che chi guida abbia una preparazione basilare, fatta sia di teoria che di pratica! E la dimostrazione che questa preparazione sia indispensabile è data proprio dal fatto che anche a chi non ce l'ha (ancora), si cerca di fornirla sotto forma di quella che si chiama "educazione stradale", perché anche chi non guida un'auto, ma si limita ad andare a piedi o in bicicletta, è parte del mondo stradale. Tutto ciò senza obbligare nessuno a prendere una laurea in ingegneria meccanica!

A pare casi estremi, con l'informatica non si muore. Ma si possono perdere soldi, oppure informazioni, che in certi casi hanno più valore del vile denaro. Inoltre, la cronaca recente ha raccontato diversi casi di quella che definirei perdita di dignità o di rispetto. Anche in questo caso, la parola chiave è prevenzione (perché "noi che ne capiamo" non possiamo far nulla se a monte sono state fatte scelte sbagliate), che è parente strettissima della consapevolezza, che a sua volta dipende dalla cultura.

Per le nuove generazioni, il compito di passare questa cultura è delle istituzioni educative (famiglia, scuola, associazioni); ma prima, ovviamente, devono essere le famiglie e gli educatori a dotarsi a loro volta di quello che prima ho chiamato substrato culturale. Se ciò non accade, il mio (personalissimo!) parere di esperto del campo è che gli strumenti digitali si trasformino in un boomerang e che siano di ostacolo, invece che di ausilio, al benessere comune.

Potere ai piccoli

Mercoledi scorso, durante le immancabili analisi post-voto delle elezioni presidenziali americane, c'è stata una dichiarazione che mi ha colpito in particolare: un giornalista del New York Times commentava le errate previsioni dei giornali (incluso il suo) e dei sondaggi affermando che "i giornali non hanno più il potere di una volta". Quale potere? Mi sembra abbastanza intuitivo che si riferisse al potere di influenzare l'opinione delle persone.

Preferisco tralasciare la questione sul perché i giornali dovrebbero avere questo potere... e concentrarmi invece sulla riflessione che mi è venuta spontanea, ovvero: chi ha preso ora questo potere? Questa che segue è la risposta che mi sono dato.

I giornali (cartacei, o televisivi) hanno avuto il potere di cui sopra finché hanno rappresentato il monopolio del mondo dell'informazione, pur con i loro distinguo dovuti alle differenti linee editoriali, ancorché troppo spesso espressione degli interessi dell'editore. Questo monopolio è stato perso con l'avvento di Internet, la cui grande rivoluzione è rappresentata dall'aver dato voce a chiunque sia connesso. Oggi chiunque può dire la sua, e i metodi non mancano: la fanno da padroni i social network, ma non dimentichiamo i blog o più semplicemente i commenti che si possono mettere alle notizie. Risultato: oggi i fautori delle diverse posizioni si possono contare più facilmente, e coloro che non la pensano come quella che una volta si chiamava l' "intellighenzia" possono rapidamente scoprire che molti la pensano come loro, e questo inevitabilmente dà il coraggio di andare "controcorrente". In una parola: Democrazia (notare la D maiuscola, necessaria per distinguere il significato rispetto a quello che gli diamo comunemente...).

Fin qua tutto bene, direte voi; sicuramente bene, ma sul tutto... siamo proprio sicuri? Già, perché questo ragionamento vale per tutte le opinioni: anche quelle che ognuno di noi considera scellerate. Probabilmente ognuno di noi vive un continuo alternarsi di sollievo nello scoprire che c'è tanta gente di buon senso, e di sconforto nello scoprire che c'è tanta gente che sembra indegna di poter far parte di una qualsivoglia società! Ma al di là di fare inutile filosofia, ciò che dobbiamo tenere sempre a mente è che ormai anche noi, nel nostro piccolo, possiamo avere potere ed influenza, e che li esercitiamo ogni giorno per il solo nostro essere "on-line". Probabilmente abbiamo mille motivazioni per reagire "di pancia" a ciò che vediamo nel mondo intorno a noi, il problema è che questa reazione, se espressa nel "pubblico" di Internet invece che nel "privato", può essere facilmente fraintesa e reinterpretata a piacimento soprattutto da chi non ci conosce veramente. Nei casi più eclatanti (potrei citare Brexit, oltre alle elezioni USA), i risultati sono sotto gli occhi di tutti.