Ricerche su Android, arriva la "libera scelta"

Forse non tutti sanno che circa un anno e mezzo fa Google è stata multata (oltre 4 miliardi di euro) dall'Antitrust europeo per "abuso di posizione dominante" in relazione al fatto che gli smartphone con Android usano Google come motore di ricerca predefinito; cioè, se io voglio usare un altro motore di ricerca, devo cercarmelo o scaricare l'app. In realtà, considerando che Android è un prodotto di Google, non è particolarmente sorprendente, tuttavia esistono delle leggi proprio per evitare che situazioni del genere diventino normali.

A questo punto temo che i più, leggendo ciò, abbiano pensato: "Ah perché, esistono altri modi per fare ricerche su internet?", il che la dice lunga sul perché Google detenga una quota di mercato del 95% tra i motori di ricerca...

Comunque sia, a seguito della multa (che, per quanto sembri alta, sono comunque bruscolini), Google ha acconsentito a fare in modo (in Europa, e dal 1 marzo) che il motore di ricerca predefinito venga scelto al momento della prima accensione di uno smartphone nuovo.

Evviva? Insomma...

La prima considerazione da fare è che evitando Google come motore di ricerca, non evitiamo tutti gli altri modi in cui veniamo tracciati in ogni nostra attività sullo smartphone; quindi in termini di privacy ci guadagnamo poco. L'unico vero vantaggio è che evitiamo che l'ordine nel quale appaiono i risultati, sulla base delle tracciature di cui sopra, sia "personalizzato" (da non confondere con gli annunci sponsorizzati, che spesso precedono i risultati veri e propri, e che comunque sono presenti anche negli altri motori).

Questa considerazione ne porta un'altra: chi volesse veramente evitare di farsi tracciare, non deve avere uno smartphone. L'unica alternativa ad Android è l'iPhone, che però è più costoso degli smartphone Android, e comunque le app più comuni sono di loro delle vere spione. Se poi consideriamo che il motore di ricerca predefinito di Apple è Google (che paga, per rimanerlo...), allora il quadro è completo.

In merito ai motori di ricerca tra cui scegliere, essi saranno Google (ma dai?) più altri 3, di cui due sempre uguali ed uno variabile per paese. Sapete come è stata fatta la scelta? Semplice: con un'asta. Chi paga di più, compare (pare che l'asta sarà ripetuta ogni 4 mesi); e le casse di Alphabet (la holding a cui appartiene Google) continueranno a riempirsi in ogni caso.

Se a qualcuno finalmente viene l'orticaria a scoprire queste cose, e prova a chiedersi se usare un altro motore di ricerca è ugualmente efficace, beh, la risposta non può essere un sì o un no. Chi è abituato, con Google, a non andare mai nei risultati dalla seconda pagina in poi, probabilmente non noterà nessuna differenza significativa; ma se invece capita che vada oltre la prima pagina, allora bisogna riconoscere che la qualità (intesa come numero di risultati e pertinenza) di Google è, al momento, imbattibile.

Consigli? Provare, solo così ci si potrà rendere conto che alternative esistono e magari sono valide. Personalmente, dei 3 motori di ricerca che verranno proposti in Italia ne ho provati 2: entrambi non basano il proprio business sulla profilazione degli utenti, uno è americano e l'altro è europeo, ed i risultati sono più o meno equivalenti.

Tutti pazzi per la fibra (e il 5G)

A metà anni '90, forse nel 1997, all'incrocio davanti a casa dei miei genitori un giorno iniziò un cantiere, uno dei tanti: la particolarità di questo è che il "buco" rimase aperto 3 mesi in cui non si vide nessuno a lavorarci. Sapemmo poi che si trattava del Progetto Socrate, ossia il primo tentativo, dell'allora monopolista Telecom, di cablaggio in fibra ottica per la cosiddetta banda larga. Appena aperto il buco, il progetto fu sospeso (e poi annullato) perché era stata sviluppata la tecnologia ADSL, che sfruttava il doppino telefonico già presente in tutte le case. Oggi, sempre davanti a casa dei miei genitori, un cantiere (stranamente veloce) stende cavidotti per la fibra ottica, che peraltro arriva già a 200 metri in uno dei cabinet TIM.

Sempre in tema di banda larga, l'asta di assegnazione per le frequenze del 5G, ossia la prossima tecnologia di connettività dati per i dispositivi mobili, ha ottenuto un introito del 50% superiore rispetto al previsto. Insomma, banda larga per tutti.

Ma cos'è 'sta banda larga, e come la utilizziamo (e utilizzeremo)?

Il termine banda larga è usato come sinonimo di internet veloce, dove veloce significa che i dati fluiscono in quantità maggiore a parità di tempo. L'unità di misura è il bit per second (bit al secondo), indicato come bps. Le velocità attuali, come molte altre unità di misura, necessitano dei moltiplicatori standard:

• k, ossia kilo, che corrisponde a mille
• M, ossia Mega, che corrisponde ad 1 milione
• G, ossia Giga, che corrisponde ad 1 miliardo
• T, ossia Tera, che corrisponde a 1000 miliardi

Tanto per fissare le idee: i primi modem andavano a 56 kbps, utilizzando sostanzialmente la capacità normale dei doppini telefonici; l'ADSL arriva fino a 7 Mbps (oggi fino a 20) sfruttando capacità oltre quelle normali dei doppini; la fibra ottica va nell'ordine dei Gbps (nella pratica è molto variabile a seconda di come è fatto il cavo, il tipo di luce, etc.). Nel mobile, il 4G viaggia nell'ordine dei 50 Mbps col 5G che potrebbe arrivare a 400 e oltre (teorici). Il Tbps è attualmente appannaggio solo dei laboratori di ricerca.

Quello che occorre sapere è che la velocità effettiva che ognuno di noi sperimenta a casa sua (o sul suo smartphone) dipende anche dalla lunghezza dei cavi (o dalla distanza in linea d'aria) rispetto all'ultimo ripetitore di segnale: questo semplicemente perché i segnali che codificano i bit si attenuano all'aumentare della distanza, e ciò corrisponde ad una diminuzione della velocità (capire il perché richiede nozioni di elettromagnetismo e teoria dei segnali). La fibra ottica ha in proporzione un'attenuazione molto inferiore rispetto al doppino in rame, ed è il motivo per cui viene utilizzata per le grandi distanze; ovviamente ha un costo molto superiore (ed è delicatissima). Questo è il motivo per cui la fibra ottica non arriva quasi mai dentro casa, ma si ferma negli armadi (o centraline) stradali: stendere un cavo in fibra fin dentro ogni appartamento ha costi esorbitanti rispetto ad utilizzare il già presente doppino. D'altra parte, su distanze brevi (diciamo entro i 500 metri), con le tecniche attuali il doppino è in grado di supportare velocità di tutto rispetto, superiori ai 30 Mbps fino a circa 100 per distanze brevissime (qualche decina di metri). Ecco perché oggigiorno il metodo più comune di portare la banda larga a casa è il misto fibra-rame: i cavi in fibra ottica arrivano fino agli armadi stradali, dove i segnali delle varie utenze vengono ridistribuiti sui singoli doppini, ognuno dei quali avrà una lunghezza che determina le prestazioni effettive.

A proposito dei costi, bisogna evidenziare che pure gli apparati di rete che si trovano nelle centrali, centraline ed armadi hanno differenze significative a seconda delle tecnologie che possono supportare. Questo è principalmente il motivo per cui in Italia la banda larga stenta ad arrivare in alcune zone, che sono poi quelle a minore densità abitativa (tipicamente disagiate anche per altri servizi): i ritorni economici non giustificano gli investimenti. Questo problema non si è risolto nell'epoca dell'ADSL, mentre ora è lo Stato a finanziare i lavori di cablaggio in fibra ottica delle zone a minore ritorno economico per gli operatori, anche perché la banda larga è ritenuta indispensabile per lo sviluppo economico italiano al pari di altre infrastrutture più tradizionali. A vegliare su tutto c'è l'Agenzia Garante per le Comunicazioni, che tra le altre cose ha sul suo sito una mappa degli accesi internet disponibili e delle velocità teoriche raggiungibili (per verifiche più di dettaglio, a livello di singolo numero civico, ho trovato utile quest'altro sito).

D'altra parte, la velocità è davvero così importante? Risposta breve: dipende... ☺

La realtà è che per visualizzare un testo bastano pochi kbps; per una foto qualche centinaio di kbps; per video "normali" (tra questi includiamo anche la fastidiosissima pubblicità e quelli fatti dagli smartphone), 1 Mbps. I servizi realmente bisognosi di tanta banda (cioè velocità) in ambito casalingo sono:

• Media streaming in alta definizione (la tv via web)
• Videogiochi online
• Videoconferenza in alta definizione (Skype ed affini)

Tanto per dare un'idea, nei giorni scorsi, e più di una volta, una ADSL da 10 Mbps ha sostenuto contemporaneamente due streaming in diretta (sport, ovviamente...) di cui uno in alta definizione. Inoltre, a differenza di ciò che qualche volta viene detto, la domotica, IoT, telemedicina, telelavoro, etc, per non parlare dei social, non hanno bisogno di alte velocità, quanto invece di affidabilità (e questo è più funzione dell'operatore, ossia dell'Internet Service Provider).

Ma allora perché la banda (ultra)larga è così importante oggi? In realtà, non lo è, ma lo sarà probabilmente a breve. Cisco stima, sulla base della tendenza attuale, che nei prossimi 5 anni transiterà su internet la stessa quantità di dati che è transitata dall'inizio fino a oggi. Una buona ADSL è ancora una soluzione più che accettabile (a meno di esigenze particolari), certo è "a scadenza", cioè non lo sarà più tra pochi anni, ma nel frattempo speriamo la fibra, o gli altri metodi alternativi, siano arrivati dappertutto.

Ancora niente banda larga via cavo? Esiste l'alternativa senza. A parte le già citate 4G e 5G per i dispositivi mobili (il cui problemi principali sono la copertura non completa, e la condivisione della banda), esistono tecnologie per collegamenti fissi che utilizzano collegamenti via radio. Necessitano di un'antenna che punti verso il ripetitore; a prezzi ragionevoli si hanno offerte con velocità intorno ai 30 Mbps (anche in questo caso, conta la distanza). Il problema di questa tecnologia è la necessità della vista libera tra antenna e ripetitore, il che rende il servizio non sempre disponibile (banalmente, se la casa è dietro un'altura o esposta dal lato sbagliato), e potrebbe non diventarlo a causa di eventi naturali, come la crescita degli alberi.

Aiuto, non ci sono più siti sicuri!

Pochi giorni fa è stata rilasciata la versione del browser Chrome che implementa la già annunciata funzionalità di segnalazione per i siti che non usano HTTPS.

Sul web molti siti specializzati (un esempio) ne hanno parlato, ma omettendo le informazioni basilari, per aiutare a capire l'importanza di questa scelta: ci provo io.

HTTP e HTTPS

HTTP (HyperText Transfer Protocol) è il protocollo di comunicazione su cui si basa il web, ossia internet come è conosciuta da tutti: i siti "parlano" con i browser utilizzando HTTP come linguaggio. HTTP è bidirezionale, nel senso che permette di inviare dati anche dal browser al server: funzionalità che viene usata per inviare i nostri parametri al server in modo da ottenere una risposta personalizzata.

HTTPS è la versione sicura, cioè crittografata, di HTTP. Il che vuol dire che HTTP invia i dati, in entrambe le direzioni, in chiaro, quindi facilmente leggibili (credetemi, l'intercettazione delle comunicazioni è banale).

La Crittografia di HTTPS

La crittografia trasforma un dato comprensibile in uno incomprensibile, tramite complesse funzioni matematiche. Mentre le funzioni sono sempre le stesse, ciò che rende unica ogni trasformazione è l'utilizzo di un altro dato, detto chiave, unico. Con la chiave si effettua sia la cifratura che la decifratura, il che vuol dire che la chiave deve essere conosciuta sia dal mittente che dal ricevente una comunicazione, e da nessun altro, altrimenti chiunque è in grado di decifrare la comunicazione. Questa modalità è scomoda perché mittente e destinatario devono scambiarsi la chiave in modo sicuro, e soprattutto ogni coppia mittente-destinatario deve avere chiavi diverse.

Per fortuna esistono metodi di cifratura con 2 chiavi diverse (ma correlate l'una all'altra): una deve essere tenuta segreta e l'altra può essere liberamente divulgata, semplicemente perché la cifratura avviene con una chiave e la decifratura con l'altra. Ebbene, HTTPS usa questa modalità: il server ha la chiave privata, ed il browser ha la chiave pubblica, che si scarica prima di iniziare a comunicare.

Riservatezza

Il difetto della chiave pubblica è che è, appunto, uguale per tutti, per cui chiunque sarebbe in grado di decifrare le comunicazioni provenienti dal servizio: per renderla univoca, si aggiunge un codice di sessione (creato alla prima comunicazione tra il server ed ogni singolo browser); in questa maniera, HTTPS è in grado di scambiare dati mantenendo la riservatezza degli stessi.

Autenticazione

Il fatto che il servizio possegga una chiave unica, creata appositamente e tenuta segreta comporta una seconda caratteristica: la corrispondente chiave pubblica funziona solo e esclusivamente con quel servizio, per cui il browser è sicuro di comunicare proprio con quel servizio e con nessun altro: potrei quindi autenticare il servizio.

Purtroppo, poiché la chiave pubblica è fornita dal servizio stesso, a meno di non fidarsi ciecamente, non possiamo essere sicuri che il servizio sia effettivamente quello che dichiara di essere. Per cui la vera autenticazione di un servizio ha bisogno di un ulteriore passaggio: la chiave pubblica, prima di essere utilizzata, viene a sua volta autenticata (e firmata digitalmente) da una entità terza, che effettua dei controlli per verificare che il servizio (in realtà, il proprietario, azienda o persona che sia) sia realmente chi dichiara di essere.

Siti sicuri e non sicuri

Il browser è in grado di riconoscere la firma digitale della chiave pubblica: quindi, se riconosce la firma come valida, e la chiave pubblica funziona rispetto al servizio (e quindi alla sua chiave privata), si è certi che stia parlando proprio col servizio (sito) giusto, quindi sicuro. In tutti gli altri casi, è considerato non sicuro.

Quindi i fornitori di siti hanno tutti gli interessi a farsi considerare sicuri, per le ragioni suddette: per un discorso di reputazione possono voler essere riconosciuti con certezza (es. un giornale online); per un discorso di segretezza delle informazioni (es. tutti i casi in cui si usano password); per entrambe (es. banca online).

Altre considerazioni

Tutto a posto? Ovviamente no. Ecco alcune questioni a cui fare attenzione.

• Un sito non sicuro può non essere un problema: dipende dalla criticità delle informazioni che tratta.
• Le chiavi possono avere una scadenza: se non vengono rinnovate in tempo, il sito può improvvisamente essere considerato non sicuro, pur essendolo fino a poco prima. La comunicazione rimane cifrata, ma non si può più fare completo affidamento sull'identità del servizio.
• I criminali informatici cercano continuamente metodi per ingannarci e farci considerare come sicuro un sito che non lo è. Un metodo divertente ed esemplificativo è questo. Inoltre, l'iconcina del lucchetto non è sufficiente perché banalmente falsificabile.
• La segnalazione di sito sicuro può essere assolutamente valida anche per siti con nomi simili a quelli più famosi: quindi, sempre occhio al nome del servizio nella barra degli indirizzi! Se notate qualcosa di strano, verificate che il proprietario del sito sia chi vi aspettate, e non qualcun altro.
• Tutti i metodi crittografici sono comunque vulnerabili al cosiddetto attacco a forza bruta, ossia cercare di trovare le chiavi semplicemente provando tutte le combinazioni possibili; per questo motivo la lunghezza della chiave è un fattore determinante (all'aumentare della lunghezza, il numero di tentativi aumenta in maniera esponenziale).
• Una pagina web può essere composta di parti diverse, che possono provenire da siti differenti (questo post ne è un esempio); ognuna di queste parti può utilizzare HTTPS oppure HTTP semplice, per cui la sicurezza complessiva potrebbe essere compromessa. In realtà i browser segnalano anche questa situazione (in particolare, pagine miste HTTP e HTTPS sono viste con sospetto).

Quindi: bisogna (tanto per cambiare) usare la testa. Mai e poi mai accedere al proprio conto corrente online (è solo un esempio) senza l'indicazione di sito sicuro; negli altri casi, cliccando sull'indicazione, è possibile avere i dettagli della segnalazione, e sulla base di quella decidere se andare avanti o no; e comunque si può considerare la reputazione di un sito anche sulla base dell'utilizzo e della relativa manutenzione dei certificati necessari all'HTTPS.
Anche gli altri browser permettono di fare le stesse verifiche, semplicemente (al momento) non danno l'indicazione nella stessa maniera come ora ha introdotto Chrome. Quest'ultimo ha "solo" fatto la scelta di spingere l'adozione di HTTPS anche nei casi in cui finora non se ne era sentita la necessità.

Un post è per sempre

Tempo di elezioni. Tempo di esternazioni. Uno strazio. Però anche tempo in cui è più probabile trovare materiale per riflettere sui post dei social. Sì, perché capita sovente in questi giorni di sentire ai TG di un qualche politico che prima scrive un post "infelice" su Facebook o Twitter (tipicamente) o altri social, e poi lo rimuove dopo le immancabili polemiche.

Proprio perché siamo sotto elezioni, il meccanismo viene esasperato: giornalisti e avversari politici controllano quasi in tempo reale i profili social dei leader e/o candidati, proprio in attesa di un post su cui costruire una notizia; se poi il contenuto del post si presta a essere interpretato in senso negativo (per chi lo ha scritto), è una vera manna dal cielo. Quindi, prima regola: appena vedi il post, salvalo! Non sia mai venga rimosso. Basta catturare lo schermo in una immagine ed il gioco è fatto. Tempo richiesto: pochi secondi. E se il post viene eliminato, ecco che spuntano come funghi gli screenshot a futura memoria. E il povero mentecatto politico si ritrova a dover spiegare, scusarsi, controaccusare... di lasciar perdere, ovviamente, non se ne parla proprio.

Lasciamo la politica, che ce la dovremo sorbire a sufficienza di qui alle elezioni, e torniamo a casi più calzanti nella nostra vita. Un messaggio scritto in un momento di stress; video o foto imbarazzanti; una battuta che urta le sensibilità altrui: a chi non è capitato? Il problema è che pentirsi non è più sufficiente: una volta che quel messaggio/foto/battuta (più in generale: dato) ha lasciato il dispositivo su cui noi l'abbiamo creato, per finire all'interno dei meandri del servizio (social o sito) verso cui l'abbiamo postato, il controllo è perso. Non lasciatevi ingannare dalla possibilità di cancellare: essa esiste, funziona pure (anche se spesso non è immediata: è scritto nelle privacy policy...), ma non è sufficiente. Chiunque veda il nostro dato prima della cancellazione ha la possibilità, in vari modi (come quello che citavo all'inizio), di crearsene una sua copia, e poi di farne quello che vuole; compreso ri-postarlo da qualche altra parte o inviarlo a chi vuole. Esiste anche un servizio di archiviazione, utilissimo sotto molti punti di vista, ma deleterio per il caso che stiamo esaminando: archive.org, che permette di salvare una copia di qualsiasi risorsa internet accessibile tramite URL in quel momento, rendendo di fatto qualsiasi modifica  o cancellazione successiva inutile.

E la privacy? Dal punto di vista normativo, esiste la possibilità (rafforzata dal Regolamento Europeo che sarà applicabile dal prossimo maggio) di richiedere ai gestori dei servizi la cancellazione di qualsiasi dato personale, indipendentemente dal consenso concesso nel passato (il cosiddetto Diritto all'oblio). Benissimo, ma i tempi sono inevitabilmente lunghi e soprattutto il potere applicativo della normativa si ferma poi inevitabilmente davanti ai conflitti di giurisdizione per tutti quei servizi che risiedono fisicamente e legalmente all'infuori dell'Unione Europea.

La sostanza è che ogni nostro dato che finisce su qualche servizio internet viene immediatamente copiato e rielaborato in mille forme, a nostra insaputa e quindi senza che possiamo controllarle, ed eliminarlo completamente diviene impossibile. Anche se per assurdo esistesse la capacità di eliminarlo da ogni servizio internet, potrebbe sempre succedere che qualche persona poco simpatica ne tenga una copia privata e la ripubblichi dopo un po' di tempo. Ancora una volta, la nostra intelligenza è l'arma più potente che abbiamo per evitare brutte esperienze. I primi gestori della nostra privacy siamo noi. Ovvero: pensiamoci dieci volte prima di postare qualcosa.

Se tutto questo non bastasse, voglio proporre una mia riflessione. Uno dei romanzi più belli di John Grisham (La giuria) racconta di una causa contro la lobby del tabacco, accusata di aver deliberatamente pubblicizzato uno stile di vita che includesse il fumo come elemento di distinzione sociale, in modo da invogliare i giovani ad iniziare a fumare e quindi garantirsi clienti di lungo corso, a scapito della salute. Bene, a me sembra che è successa una cosa simile quando sono apparsi i primi social e se ne è cominciata a vedere la potenzialità economica: i giovani sono stati deliberatamente attratti verso servizi tutt'altro che fondamentali facendo leva sulla condivisione, concetto di per sé assolutamente positivo ma in questo contesto riproposto con un significato diverso, che va proprio nella direzione opposta rispetto a quello della privacy. Il risultato è che ora ci ritroviamo a dover combattere una guerra contro questo atteggiamento, dovendo ri-educare i ragazzi al corretto uso dei social (e degli altri strumenti digitali, ovviamente), in un'ottica di auto-protezione delle informazioni personali.

Qualcuno potrebbe chiedersi perché dobbiamo farlo; o, in altre parole, qual'è il valore della privacy. Un primo motivo, forse secondario come importanza, è semplicemente quello che i nostri dati personali permettono ad altri di arricchirsi (si dice che i dati personali sono l'oro del terzo millennio). Ma il motivo principale è che le informazioni che ci appartengono permettono agli altri di farci del male: lo dimostrano i casi di suicidio e cyberbullismo che le recenti cronache ci hanno raccontato.

Infine, dal punto di vista tecnico, ho una piccola proposta: perché non indirizzare gli studi sull'intelligenza artificiale anche verso la possibilità di trovare in rete tutte le copie, anche rielaborate, dei nostri dati, in modo da dare al diritto all'oblio un potere maggiore?

Controcorrente: il mining in cambio della mia privacy

Giorni fa ho segnalato attraverso mio hashtag twitter #ilvecchiolupodimare la notizia che il più noto sito di ricerca di torrent (The pirate bay, appunto) utilizzava all'insaputa dei suoi utilizzatori una parte del processore ospite per fare il mining delle criptovalute. Ammetto di essere piuttosto ignorante sull'argomento criptovalute, comunque i concetti fondamentali che servono a capire la questione sono:

• le criptovalute sono monete elettroniche, virtuali, non regolamentate né controllate da organismi governativi ed economici tradizionali
• tuttavia hanno un valore corrispondente nelle valute normali, ed un loro mercato (cioè il loro valore corrispondente aumenta o diminuisce in continuazione)
• il mining è l'elaborazione necessaria alla creazione di una nuova "porzione" di valuta (equivalente al conio di una nuova moneta)    

Per farla breve, poiché il mining è un'operazione che richiede enormi risorse di elaborazione, che ovviamente costano denaro sonante, il sito in questione guadagna soldi (virtuali, ma con corrispondente valore reale) usando invece le risorse dei suoi utilizzatori, anche se in questo caso (ripeto) a loro insaputa.

Sullo stesso argomento ho trovato un altro interessante articolo, che mette in evidenza un altro aspetto (che avevo intuito da solo, credetemi): cioè la possibilità che questo tipo di guadagno, da parte di chi offre un servizio gratuito (in questo caso anche illegale...), possa sostituire quello legato alla pubblicità, e quindi anche alla raccolta dei nostri dati per personalizzarla.

Agli albori di internet (fine anni '90), rimasi affascinato dal progetto SETI@home: si tratta di un software che permette di partecipare, attraverso un concetto di elaborazione distribuita, all'analisi dei segnali elettromagnetici provenienti dallo spazio, e raccolti da radiotelescopi sparsi in tutto il mondo, per la ricerca di segnali di origine non naturale (e che quindi potessero provenire da civiltà aliene tecnologicamente avanzate). Il principio è quello di partecipare, ognuno con le sue risorse, ad una causa comune, e scientificamente rilevante, diminuendone i costi.

Proviamo a sostituire al principio "nobile" quello più concreto della giusta mercede di chi lavora per offrirci i servizi che tanto utilizziamo giornalmente.

Concentrandomi solo sul lato tecnico della questione, la mia riflessione è stata questa:

1. un processore di un personal computer lavora normalmente meno del 10% del tempo; quindi c'è un margine di almeno il 90% che è semplicemente inutilizzato
2. se potessi, evitare volentieri di rinunciare alla privacy per accedere ai servizi (falsamente) gratuiti
3. anche se riconosco che molti di questi servizi lo meriterebbero, mi viene difficile pensare di pagare soldi veri per poterli utilizzare

Per cui mi dico, e vi propongo: non potrebbe essere il tempo di inattività del nostro processore la moneta con cui pagare i servizi che ci vengono offerti sula rete? Con l'ulteriore vantaggio che se il mining avviene solo quando utilizziamo il servizio, anche il "pagamento" sarà proporzionale all'effettivo utilizzo.

Certo, di questioni su cui porre molta attenzione prima che questa diventi una pratica reale, ce ne sono. La prima, ovviamente, la libertà di scelta: se non voglio il mining, posso continuare ad utilizzare i metodi tradizionali. Poi, porre un limite all'utilizzo del processore (mica voglio averlo al 100% tutto il giorno...). Ancora, la sicurezza di non avere accessi illegittimi ai miei dati (è pur sempre il mio computer). Infine, bisogna avere l'assoluta certezza della legalità dell'operazione e della finalità di mining.

Ma queste questioni sono superabili, se c'è la volontà degli operatori di porre in atto questa possibilità; e gli operatori investiranno solo se vedranno un reale interesse da parte dell'utenza, cioè noi. Io sono pronto: e voi, ci state?

Attendo risposte.

AGGIORNAMENTO
Anche SafeBrowse colta con le mani nel sacco a fare mining all'insaputa dell'utente.
Interessante, nell'articolo, la parte delle possibili controindicazioni al mining sui personal computer.

AGGIORNAMENTO 2
Qualcuno ha fatto i conti in tasca a Bitcoin, ma anche alle altre criptovalute: serve tanta energia, che ha notevole impatto sull'ambiente. Che resta, come anche i soldi (veri) spesi per il mining; mntre la criptovaluta, chissà...

NO, I DON'T WANNA CRY!!!

Spero almeno questa volta che tutti sappiano di cosa parliamo: il famigerato virus soprannominato WannaCry ("voglio piangere": un premio all'inventore del nome), che ha creato scompiglio negli ultimi giorni in un po' tutto il mondo.

Cosa è successo, è stato abbondantemente raccontato, anche se coi consueti toni sensazionalistici e più o meno grandi inesattezze, anche dai giornali generalisti: il virus cifra tutti i file importanti dei computer (rigorosamente Windows, questa volta) rendendoli inservibili, richiedendo un riscatto per decifrarli; la diffusione avviene via rete grazie ad un errore presente nell'implementazione di un servizio, peraltro noto e risolto lo scorso marzo.

Ciò che voglio sottolineare è che al di là dei già citati toni sensazionalistici, ciò che dominava nelle notizie era la sorpresa: come è potuto succedere una cosa del genere? Inaudito! Peccato che non a tutti la cosa suona come nuova: per esempio, in questo interessante post dello scorso dicembre, più o meno tutto veniva preannunciato, sottolineando come i ransomware (la classe di virus a cui appartiene WannaCry) sono, già da qualche anno, il più grosso pericolo che circola nella Rete mondiale (il fatto che l'autore del post sia il sottoscritto è, ovviamente, puramente casuale... 😊).

I più attenti dei miei 7 o 8 lettori noteranno che non avevo previsto tutto: per esempio, non avevo previsto lo sfruttamento del baco (ma già citavo la possibilità di infezione da computer a computer via rete). In effetti un errore l'avevo commesso: tra le raccomandazioni che già ponevo alla vostra attenzione, non c'era quella di tenere aggiornato il sistema operativo; ed in effetti, confesso di essere stato io per primo mancante (nessuno è perfetto). Ma il punto fondamentale di questa storia non è nemmeno questo, o il baco, o il ruolo dell'NSA, o chissà cos'altro: è invece il fatto che il punto di ingresso dell'infezione, nei sistemi di un particolare ente, era il servizio accessibile da chiunque nel mondo, perché esposto su internet! La base di tutte le protezioni informatiche è il filtraggio delle connessioni di rete (soprattutto quelle pubbliche, cioè attraverso internet, tramite un sistema chiamato firewall), impedendo tutte quelle non indispensabili. Scommetto che molti non sanno di cosa sto parlando; e scommetto pure che si stupirebbero, scoprendo che sul router che avete installato a casa per la connessione internet, il firewall è presente; e scommetto anche che nella stragrande maggioranza dei casi, è disattivato. Se tutto ciò è vero, di che che potete lamentarvi? Il virus ve lo me-ri-ta-te!

Finita la filippica, passiamo ora ai consigli. Lo faccio attraverso un esempio molto pratico, cioè quello che abbiamo fatto (io e soprattutto i miei collaboratori) in azienda.

Ovviamente avevamo un firewall; ovviamente non avevamo quel servizio esposto fuori della rete aziendale; ovviamente avevamo i sistemi operativi che si aggiornano automaticamente; ovviamente avevamo gli antivirus aggiornati; ovviamente avevamo i backup giornalieri. Tuttavia, la sicurezza assoluta non esiste. Il virus poteva infettare un computer portatile aziendale mentre si trovava fuori dalla nostra rete, durante il fine settimana; una volta rientrato in azienda lunedì, poteva infettare tutto l'infettabile, cioè quei sistemi per cui gli aggiornamenti, per un motivo o per un altro, non si erano installati o non erano ancora applicati. Per cui abbiamo speso la mattinata a fare ulteriori (rispetto al consueto) controlli a tappeto sugli aggiornamenti dei sistemi operativi, dell'antivirus, dei backup, dei firewall dei portatili, etc. Risultato: non proprio tutto tutto era a posto (ora lo è), ma abbiamo avuto la fortuna che niente è successo; ad ulteriore dimostrazione che bisogna sempre pensarci prima. Anche perché se questa volta sono stati utilizzati questi veicoli di infezione, la prossima volta sarà qualcos'altro; ed il rischio concreto è di scoprirlo quando è troppo tardi. Purtroppo, nulla va trascurato, bisogna ridurre i rischi al minimo possibile in ogni momento.

Ricapitolando:

• mantenete aggiornati i sistemi operativi e l'antivirus
• attivate le protezioni di rete (firewall) ovunque possiate
• non vi fidate degli sconosciuti (sì, esattamente come quando eravate bambini), ancorché digitali
• fate (e mantenete aggiornati) i backup
• e soprattutto, informatevi!

P.S. Odio avere sempre ragione.

Internet delle cose, ovvero la tecnologia dannosa

Quando stavo pensando al titolo di questo post ero in dubbio se utilizzare l'aggettivo "inutile" oppure "dannosa" da associare alla tecnologia dell' "Internet delle cose": alla fine ho scelto il secondo, perché il primo non dà l'esatta percezione della situazione. Ma andiamo con ordine.

Con la terminologia Internet delle cose (Internet of Things, in inglese) si intende l'inserimento di nuovi servizi o funzionalità all'interno di dispositivi che tipicamente non consideriamo appartenenti al mondo dell'informatica (ma che giocoforza vi entrano in conseguenza di questa tecnologia), attraverso l'aggiunta di veri e propri piccoli computer con collegamento di rete, quasi sempre senza fili. Se per certe classi di dispositivi ciò trova senso, per altri, francamente, sembra una forzatura fatta a puro scopo di marketing. Esempi di questi utilizzi sono le automobili, i televisori, i semafori, i robot da cucina, i frigoriferi, i sistemi di allarme, le lampadine, etc.

Qual'è il problema in tutto ciò? Ecco qua:

che altro non è che l'esempio concreto di questo recente annuncio:

Nel 2016 in arrivo i “virus” per Smart TV (con Android)

Ora, giusto per rimanere su questo esempio, che i televisori moderni abbiano un collegamento di rete per permettere di accedere a tutti quei contenuti presenti sul web, o anche sui nostri dispositivi personali, ha perfettamente senso; quello che non ha senso è:

1. che il televisore sia vulnerabile ai virus che circolano su internet
2. qualora si accettasse questo pericolo, che il televisore non sia facilmente recuperabile

Non è inutile notare, se fate lo sforzo di leggere quanto compare sullo schermo, che il tv è stato colpito da un ransomware, argomento di un mio post precedente.

Il produttore del tv ha utilizzato un diffusissimo e apprezzatissimo sistema operativo, e questo non ha nulla di sbagliato; ciò che lo rende colpevole è di non averlo utilizzato senza intervenire con le necessarie misure di protezione e soprattutto, per quanto sembra finora, di non aver previsto una procedura di "reset" del televisore che eviti un intervento del servizio di assistenza. Ammesso che tale procedura esista, vorrei tanto sapere quanto è complessa. Da utente normale, mi verrebbe da dire che per essere accettabile dovrebbe comportare, per me, una singola azione e non dovrebbe bloccarmi il televisore per più di un minuto (si, lo so, è fantascienza), altrimenti potrei perdermi i titoli del telegiornale, gli inni nazionali della partita, etc.

L'altro grosso pericolo riguarda l'utilizzo fraudolento e ad insaputa del proprietario del dispositivo per effettuare attacchi informatici distribuiti. Questa non è fantascienza: è quello che è successo a ottobre (anche in questo caso, ne avevo accennato nel mio primo post).

Tornando però a quanto può succederci in prima persona... pensiamo cosa succederebbe se un simile blocco avvenisse su altri apparecchi, per esempio quelli che citavo prima. Se il sistema di allarme della nostra casa, o la nostra capacità di comandarlo, dipendesse dal collegamento internet, ad un ladro appena sufficientemente intelligente basterebbe fare in modo di "eliminare" il nostro accesso internet, spegnendo o scollegando il modem. Se il fantastico controllore del nostro frigorifero, oltre a farci vedere le date di scadenza o cosa dobbiamo comprare, controllasse anche la funzione di raffreddamento, ci ritroveremmo con un frigo vuoto o caldo. Se ci affidassimo al ricettario online per cuocere il pesce nel nostro forno intelligente, dovremmo ripiegare sul sushi. Ed ancora, la nostra fantastica auto superaccessoriata dal computer di bordo da fare invidia alla NASA, ci potrebbe lasciare a piedi.

Si, magari ho un po' esagerato, però il rischio che le funzioni basilari di un apparecchio possano essere inficiate dalla dubbia utilità di qualche funzione aggiuntiva, io lo vedo eccome! Ultimo esempio: ho letto delle lampadine con il wifi: per fare che??? Abbiamo veramente bisogno di controllare l'intensità di luce di una lampadina con una app sullo smartphone? Vogliamo veramente correre il rischio di dover tornare alle candele per questa imperdibile possibilità???

Io certamente no. Io pretendo che i produttori progettino questi apparecchi intelligenti con le dovute misure di sicurezza e senza renderci la vita complicata. Io pretendo che la mia intelligenza non sia messa in secondo piano rispetto alla presunta intelligenza degli apparecchi per motivi commerciali. Pretendo di avere la possibilità di continuare ad usare apparecchi "stupidi" ma utili ed efficienti.

AGGIORNAMENTO: il produttore ha fornito una procedura abbastanza semplice e veloce per il ripristino alle impostazioni di fabbrica; il tutto è testimoniato da questo video (in inglese).

Il pericolo ransomware

La settimana che sta finendo ha portato agli onori della cronaca, almeno quella di settore, 2 episodi gravi: l'attacco che ha mandato offline milioni di utenti internet in Germania, e il ricatto informatico subito dalla Metropolitana di San Francisco. Sul primo non spendo parole in quanto ripropone lo stesso tema già trattato nel mio primo post. Sul secondo invece vale la pena di soffermarsi, anche perché personalmente lo ritengo il pericolo maggiore a cui siamo sottoposti tutti noi internauti, in questo momento storico.

Il ricatto in questione avviene attraverso una categoria particolare di virus, denominato "ransomware" (ransom in inglese è appunto ricatto), il quale agisce rendendo il nostro dispositivo in qualche maniera inservibile, e pretendendo soldi per "sbloccarlo". Il pagamento, per quanto mi riguarda, non è un'opzione: intanto perché si andrebbe ad alimentare il giro criminale ed a renderlo ulteriormente appetibile; inoltre, il pagamento normalmente è piuttosto complesso (viene richiesto di effettuarlo in bitcoin, una moneta virtuale ma dal valore reale, attraverso la cosiddetta "darknet", cioè quella porzione di internet usata soprattutto, non a caso, per commettere crimini).

Nella mia esperienza, una volta colpiti, resta poco da fare: estirparlo è complicato, e quasi sempre è necessario reinizializzare completamente il dispositivo, operazione lunga e non alla portata di tutti. In più, i dati spesso vengono persi, per effetto della reinizializzazione o perché vengono cifrati (è infatti questa la tecnica più diffusa per il blocco). In rari casi (solo se  i criminali sono degli sprovveduti) esiste la possibilità di decifrare i file; ma è comunque un'operazione non banale e lunghissima.

L'unica possibilità è difendersi ed essere pronti a questa eventualità.

La prima  e più importante difesa è il nostro comportamento! I ransomware (e più in generale tutti i virus) al giorno d'oggi si diffondono come allegati alle mail, come falsi avvisi di sicurezza o finti programmi da scaricare che si trovano sui siti web (attenzione: non solo quelli pornografici o per trovare materiale privato, capita anche su siti assolutamente normali), sulle chat, e solo raramente diffondendosi via rete da un dispositivo ad un altro. Esistono anche altri metodi di diffusione, ma in ogni caso è assolutamente necessario che siamo tutti in grado di riconoscere questi pericoli e quindi evitare di fare operazioni di cui non siamo assolutamente certi. Non dobbiamo  fidarci se non delle fonti che conosciamo con assoluta certezza, sapendo che i criminali fanno a gara per trovare il modo di confonderci e ingannarci! In definitiva, mai fidarsi, su internet.

Dal punto di vista tecnico, le difese ci sono. La più ovvia è l'antivirus: averlo e tenerlo aggiornato è indispensabile! Ma anche il miglior antivirus ha delle limitazioni, la prima delle quali è che tra l'uscita di un nuovo virus e l'aggiornamento che lo riconosce passano alcune ore, durante le quali siamo indifesi (succede; esperienza personale).

Ma cosa facciamo se tutto ciò non basta? Mettiamoci l'animo in pace e ripartiamo da zero. In realtà se siamo stati previdenti possiamo non ripartire proprio da zero, e limitare i danni in termini di tempo e dati persi. Essere previdenti significa avere salvato il contenuto del nostro dispositivo da "un'altra parte": i backup. Argomento questo talmente importante da meritare un post dedicato. Adesso mi preme sottolineare che dobbiamo averci pensato prima che si presenti il problema. Tra poco quel "prima" potrebbe diventare "tardi".

Potere ai piccoli

Mercoledi scorso, durante le immancabili analisi post-voto delle elezioni presidenziali americane, c'è stata una dichiarazione che mi ha colpito in particolare: un giornalista del New York Times commentava le errate previsioni dei giornali (incluso il suo) e dei sondaggi affermando che "i giornali non hanno più il potere di una volta". Quale potere? Mi sembra abbastanza intuitivo che si riferisse al potere di influenzare l'opinione delle persone.

Preferisco tralasciare la questione sul perché i giornali dovrebbero avere questo potere... e concentrarmi invece sulla riflessione che mi è venuta spontanea, ovvero: chi ha preso ora questo potere? Questa che segue è la risposta che mi sono dato.

I giornali (cartacei, o televisivi) hanno avuto il potere di cui sopra finché hanno rappresentato il monopolio del mondo dell'informazione, pur con i loro distinguo dovuti alle differenti linee editoriali, ancorché troppo spesso espressione degli interessi dell'editore. Questo monopolio è stato perso con l'avvento di Internet, la cui grande rivoluzione è rappresentata dall'aver dato voce a chiunque sia connesso. Oggi chiunque può dire la sua, e i metodi non mancano: la fanno da padroni i social network, ma non dimentichiamo i blog o più semplicemente i commenti che si possono mettere alle notizie. Risultato: oggi i fautori delle diverse posizioni si possono contare più facilmente, e coloro che non la pensano come quella che una volta si chiamava l' "intellighenzia" possono rapidamente scoprire che molti la pensano come loro, e questo inevitabilmente dà il coraggio di andare "controcorrente". In una parola: Democrazia (notare la D maiuscola, necessaria per distinguere il significato rispetto a quello che gli diamo comunemente...).

Fin qua tutto bene, direte voi; sicuramente bene, ma sul tutto... siamo proprio sicuri? Già, perché questo ragionamento vale per tutte le opinioni: anche quelle che ognuno di noi considera scellerate. Probabilmente ognuno di noi vive un continuo alternarsi di sollievo nello scoprire che c'è tanta gente di buon senso, e di sconforto nello scoprire che c'è tanta gente che sembra indegna di poter far parte di una qualsivoglia società! Ma al di là di fare inutile filosofia, ciò che dobbiamo tenere sempre a mente è che ormai anche noi, nel nostro piccolo, possiamo avere potere ed influenza, e che li esercitiamo ogni giorno per il solo nostro essere "on-line". Probabilmente abbiamo mille motivazioni per reagire "di pancia" a ciò che vediamo nel mondo intorno a noi, il problema è che questa reazione, se espressa nel "pubblico" di Internet invece che nel "privato", può essere facilmente fraintesa e reinterpretata a piacimento soprattutto da chi non ci conosce veramente. Nei casi più eclatanti (potrei citare Brexit, oltre alle elezioni USA), i risultati sono sotto gli occhi di tutti.