L'infelice vicenda della #PasswordDiStato

Pur sovrastata dalle notizie giustamente più importanti sulle tensioni internazionali, non è passata sotto silenzio (almeno tra gli addetti ai lavori), anzi ha suscitato un discreto putiferio, l'intervista radiofonica della ministro dell'innovazione in cui proponeva una "password di stato" per ogni cittadino, utile non solo per l'autenticazione verso i servizi online della Pubblica Amministrazione, ma anche per tutti gli altri. Putiferio che è stato seguito da due precisazioni via social della stessa ministro, e dalle prese di posizione più o meno autorevoli da parte della stampa e della politica.

Premetto che (spiegherò tra poco il perché) ho seguito poco il putiferio, le precisazioni e le prese di posizione; ma quel poco che ho sentito si annovera maggiormente nel calderone delle "poche idee ma ben confuse". E quindi non potevo esimermi dal dire la mia.

Conoscere la "proposta"

Per iniziare, consiglio l'ottimo riassunto della vicenda, che include anche i leciti dubbi che comunque ogni buon informatico deve porre, di Paolo Attivissimo.

Vale la pena anche questo breve articolo che la stessa ministro ha postato su Linkedin.

Cosa ho capito io

Personalmente, ho sentito per la prima volta parlare di questa vicenda con una segnalazione della (prima?) precisazione, per cui per me la questione si era già parzialmente sgonfiata. Per farla breve, a me è sembrato che la prima reazione all'intervista radiofonica abba indotto molti, sentendo l'espressione "password di stato", a pensare che si trattasse di un sistema di autenticazione unico, fornito dallo Stato, in cui la password viene impostata dallo Stato stesso e non è modificabile da noi. La posizione (dopo il chiarimento) della ministro fa riferimento invece al potenziamento dell'utilizzo della SPID anche verso servizi non necessariamente relativi ai pubblici servizi o alla pubblica amministrazione.

Glossario minimo

Prima di passare alle mie opinioni, bisogna capire di che stiamo parlando.

L'autenticazione, nel mondo informatico, è quel processo che verifica l'identità di un utente. Nella stragrande maggiornanza dei casi, ciò avviene attraverso l'inserimento di due  parametri: il nome utente (che non è segreto), che lo identifica; e la password (segreta) che lo conferma. Il sistema funziona solo e soltanto se l'utente è l'unico a conoscere la sua password. Per ovviare a tutti i problemi che questo sistema ha, sono stati implementati altri sistemi come l'autenticazione a 2 fattori (oltre alla password si richiede un ulteriore codice di verifica legato ad un oggetto posseduto, come lo smartphone) e la biometria (impronte digitali, riconoscimento facciale).

La SPID è un sistema di autenticazione che prevede una verifica preventiva dell'identità reale dell'utente e sia ad essa collegata a tutti i fini di legge, per cui ogni operazione effettuata tramite la SPID è riconducibile ad un preciso cittadino italiano (in realtà essendo un'implementazione italiana di una direttiva europea, la SPID è utilizzabile anch in tutti i paesi UE e gli equivalenti sono utilizzabili in Italia). Attualmente la SPID è gestita da 9 operatori privati per conto dello Stato, ed è gratuita (per i primi due anni). Molti servizi pubblici centrali la richiedono (INPS, Agenzia delle Entrate, etc) mentre molti servizi locali ancora no.

La mia opinione

1.  È evidente che l'espressione "password di stato" sia stata infelicissima; ciò nonostante, ritengo che l'idea di una password imposta dallo Stato fosse così balzana che nemmeno i nostri più scriteriati amministratori della cosa pubblica potessero concepirla, e che essa sia frutto solo delle più becere propagande ideologiche e politiche che infestano i media italiani ed i social
2. Chiarito che si parla della SPID, l'idea di un suo utilizzo per i servizi online più disparati pone una serie di problematiche ben descitte da Attivissimo nell'articolo precedentemente segnalato, per cui la ritengo poco praticabile
3. Tuttavia, se l'alternativa alla SPID (sempre per i servizi online non pubblici) è quella di utilizzare sempre la stessa password, o peggio le credenziali di Facebook, Google, Twitter o Linkedin, allora siamo alla demenza più totale: meglio mille volte il nostro Stato, per quanto malandato (sotto tutti i punti di vista), piuttosto che privati colossi esteri bramosi di raccogliere e rivendere al miglior offerente tuttle le informazioni possibili su di noi
4. Quanto appena detto vale esclusivamente se con "Stato" intendiamo le istituzioni al servizio del cittadino, e non organizzazioni private legate a doppio filo a questo o quel partito (per essere chiari: Casaleggio)
5. Il paventato pericolo che dall'uso della SPID lo Stato raccolga informazioni su di noi che non avrebbe avuto altrimenti, è reale; ma non è nemmeno un automatismo, tecnicamente svincolare completamente il processo di autenticazione da ciò che avviene dopo è fattibile; ed il legame (questo sì, inevitabile) che rimane tra ciò che facciamo e la nostra identità può essere regolato correttamente secondo la normativa europea sui dati personali (da notare che il ministro stesso su Linkedin fa riferimento alla necessità di interpellare il Garante, come previsto dalla legge ma mai avvenuto in casi precedenti...)
6. Fatto salvo tutto questo, il problema ultimo che nessuno sembra voler affrontare è che la maggioranza della popolazione italiana, semplicemente, non è in grado di capire ed utilizzare gli strumenti che gli vengono messi a disposizione; finché sarà così, a mio parere parlare di "innovazione" (soprattutto da parte di chi non ha le competenze per capire cosa significhi) è totalmente inutile.
   

Computer quantistici, rivoluzione presunta

Pochi giorni fa, Google ha annunciato di aver raggiunto la supremazia quantistica, ossia di aver fatto funzionare un computer quantistico per effettuare in 200 secondi un calcolo che un computer tradizionale avrebbe fatto in 10000 anni.

Non voglio qui spiegare cos'è un computer quantistico (è comunque una tecnologia di cui si parla da decenni), ma analizzare le conseguenze del suo avvento (che, sia chiaro, non è poi così imminente: siamo ancora in fase di prototipi, la commercializzazione per i comuni mortali è ancora lontana).

La prima e più evidente conseguenza riguarda le nostre "amate" password: se oggi, con i pur potentissimi computer moderni, le password da 8 caratteri (purché non banali) sono considerate abbastanza sicure, l'avvento dei computer quantistici le renderà sostanzialmente inutili perché indovinabili in pochi secondi.

In pratica, per mantenere lo stesso livello di sicurezza di una password da 8 caratteri, bisognerà passare a una da 13 o 14 caratteri. Sopravviveremo.

Una seconda considerazione invece deriva dal fatto che dovrebbero diventare molto più veloci quei calcoli che oggi sono i più complessi: le simulazioni.

Le simulazioni servono principalmente per fare previsioni: a partire da quelle del meteo (o del clima), e via via dinamiche varie, da quelle delle traiettorie dei corpi celesti, all'evoluzione sociale umana, etc. Il vero problema delle simulazioni non è però la quantità di calcoli necessaria: è la conoscenza reale del fenomeno che si vuole simulare, e la capacità di trasformarla in un modello matematico.

Primo esempio: le leggi che governano l'evoluzione dell'universo sono ormai acclarate con un buon grado di certezza; in questo caso, la capacità di calcolo dei nuovi computer permetterà sicuramente di andare oltre le nostre capacità attuali, permettendo nuove scoperte.

Secondo esempio: l'evoluzione del clima è probabilmente il problema con complessità più elevata che si affronti ai nostri giorni; ma al contrario di quello che la narrativa mediatica racconta, le dinamiche ed i fattori che la regolano sono note con estrema approssimazione (cioè: nessuno ne capisce ancora quasi nulla). Se i modelli di oggi falliscono nel fare previsioni accurate, il computer quantistico che userà gli stessi modelli permetterà di avere sì previsioni a più lungo termine, ma ancora più inaccurate ("propagazione dell'errore").

Ad onor del vero, la possibilità di aumentare i calcoli eseguibili permetterà di eliminare le approssimazioni che vengono volutamente introdotte nei modelli proprio per limitare il tempo necessario all'esecuzione dei calcoli; quindi un vantaggio, com'era prevedibile, si ha comunque.

Ma in ogni caso, senza l'intelligenza umana, anche il computer quantistico rimane un inutile ammasso di (costosissima) ferraglia.

AGGIORNAMENTO: IBM contesta la misura della prestazione rispetto ad un computer tradizionale, cioè lo stesso calcolo che il computer quantistico di Google ha fatto in 200 secondi, un computer di IBM lo avrebbe eseguito in circa 2 giorni e mezzo, invece di 10000 anni. Una bella differenza, che comunque non sminunisce il salto tecnologico; personalmente non sono in grado di giudicare chi abbia ragione, semplicemente la posizione di IBM mi sembra più plausibile.

AGGIORNAMENTO 2: un altro interessante articolo (anche se abbastanza tecnico), sostiene che in pratica il "calcolo" eseguito da Google non ha una reale utilità; ma la parte interessante è che pare che al momento i computer quantistici non siano programmabili nel senso tradizionale del termine. Questo vuol dire che finchè non sarà superato questo limite (se mai lo sarà), il computer quantistico sostanzialmente non serve a nulla! Lunga vita al computer tradizionale... ed ai programmatori.

Lasciami il tuo computer e diventerà mio

Nel lontanissimo (in termini tecnologici) anno 2000, un certo Scott Culp della Microsoft scrisse un articolo in cui definiva le 10 immutabili leggi della sicurezza; la numero 3 recita:

Se una persona disonesta ottiene accesso fisico illimitato al tuo computer, quello non è più il tuo computer.

Nel mio lavoro, ma anche nell'ambito privato, ho notato che questo tema sia particolarmente ostico agli utenti digitali "normali", probabilmente perché le pratiche basilari di sicurezza (tipicamente: la password, ed i permessi sui file) sono considerate sufficienti ed un fastidio già considerevole. In questo post cercherò di spiegare il senso pratico della legge sopra riportata e perché lasciare incustodito il proprio computer è sempre una pessima idea, al di là dei danni economici di un possibile furto.

Prima di tutto spieghiamo cosa intende dire la suddetta legge. Accesso fisico illimitato significa che la persona disonesta ha la possibilità di toccare "con mano" il computer e farci quello che vuole senza che nessuno lo ostacoli; non è più il tuo computer significa che, se riotterrai la disponibilità del computer, potresti trovarlo in qualsiasi condizione (vedremo dopo cosa significa) e soprattutto tutti i tuoi dati potrebbero essere stati violati e/o distrutti. Anche se le tecniche sono un po' diverse, quanto detto vale anche per smartphone e tablet, mentre nel seguito mi riferirò solo ai computer tradizionali (fissi, portatili, server), quelli con mouse e tastiera, per intenderci.

Veniamo a cosa posso fare se ho il "tuo" computer a mia completa disposizione.

Per prima cosa, posso spegnerlo: ho la possibilità di staccare l'alimentazione e, nel caso di portatili, di togliere la batteria (se è interna, è solo questione di un po' di tempo in più). Questo già significa che se il computer stava facendo qualcosa di importante, ti causo un disservizio.

Una volta spento, potrei staccare il disco fisso interno e quindi leggerlo o sovrascriverlo utilizzando un altro computer. Infatti, con un altro computer tutti i permessi eventualmente impostati sui file possono essere banalmente modificati dall'amministratore (che non sei più tu); e questo indipendentemente dal fatto che tu abbia utilizzato o no una buona password.

In realtà, non è nemmeno necessario staccare il disco, può tranquillamente rimanere dov'è: infatti io farò ripartire il "tuo" computer utilizzando però un mio drive USB con un sistema operativo alternativo di cui io sono l'amministratore. A quel punto ciò che posso fare è, semplicemente, tutto. Qualche esempio?

• Posso cambiare le password (senza bisogno di conoscerle) del "tuo" sistema operativo, così posso poi riavviare il computer ed impersonare te o l'amministratore;
• Posso leggere o modificare i file, indipendentemente dai permessi presenti sul "tuo" sistema operativo;
• Posso clonare l'intero disco (ogni singolo bit), con una tecnica che praticamente è quella usata per le indagini giudiziarie, così potrò poi leggere i tuoi file con calma e senza che tu nemmeno lo sappia;
• Posso collegarmi ad internet con il tuo provider e commettere atti illegali che risulteranno essere stati commessi da te;
• Posso sostituire completamente il sistema operativo e tutti i dati, così che dopo non riuscirai più ad utilizzare il "tuo" (ex) computer;
• Posso inserirti programmi (tipicamente, malevoli per te) a mio piacimento.

È bene precisare che quando dico "leggere i tuoi dati", mi riferisco, anche in questo caso, a tutto: password, numero della carta di credito, la cronologia della navigazione internet, i file che hai scaricato, le tue foto più intime... Evito di spiegare cosa succede se tra le password trovo quelle dei tuoi servizi internet (posta, social, disco remoto, etc): diciamo che anche quelli diventano non più tuoi.

Inoltre, il drive USB che citavo prima non è roba da hacker "cattivo": esso conterrebbe esattamente gli stessi strumenti che uso da anni per cercare di risolvere i malfunzionamenti dei computer. Non sono gli strumenti ad essere buoni o cattivi, ma l'uso che se ne fa.

Vuoi difenderti? Beh, intanto dovresti utilizzare una password anche nel BIOS (anche se ora si chiama UEFI) per avviare il computer, o anche solo per far avviare un sistema operativo diverso; ma comunque io sarò in grado di resettare il BIOS/UEFI e quindi cancellarti la password. Comunque non è banale e quindi è una misura semplice ed efficace per moltissimi casi.
Poi dovresti evitare di far ricordare le password dei vari servizi al browser e agli altri programmi... lo so, è tanto comodo, ma anche per i disonesti! E si, dovresti uscire tutte le volte e reinserire la password tutte le volte; oppure usare l'autenticazione a 2 fattori (il riconoscimento biometrico, invece, può non essere una buona soluzione).

Ma se vuoi davvero difenderti, ci sono solo 2 tecniche efficaci: la crittografia ed il backup. Con la prima ti proteggi dalla lettura dei dati che reputi "sensibili" (cioè, quelli che non vuoi far conoscere agli altri), con il secondo dalla distruzione dei dati. Ovviamente, per essere veramente efficaci queste 2 tecniche devono essere utilizzate con le giuste modalità. Per fare qualche esempio: la crittografia è inutile se la chiave si può trovare sullo stesso disco dove si trovano i dati protetti; la copia di backup (aggiornata!) deve trovarsi dove il malintenzionato non possa realmente accedere. Ma su questi argomenti ho già scritto (prova anche a vedere la sezione Suggerimenti) e continuerò a scrivere, vista la loro importanza.

Tutto chiaro, no? La sicurezza fisica dei computer non è secondaria a quella logica, su cui tanti spesso si soffermano, perché se è vero che è meno probabile (davvero?) venga violata per via della necessità dell'accesso, appunto, fisico, è anche vero che le conseguenze della violazione sono potenzialmente molto peggiori.

AGGIORNAMENTO: mi sono imbattuto in questo articolo che mina pure le certezze sulla crittografia come arma fondamentale contro i furti di dati; in realtà confermando anche il fatto che se la chiave è a disposizione "da qualche parte" che non sia la mia testa, un modo per recuperarla lo trovano sempre...

Aiuto, non ci sono più siti sicuri!

Pochi giorni fa è stata rilasciata la versione del browser Chrome che implementa la già annunciata funzionalità di segnalazione per i siti che non usano HTTPS.

Sul web molti siti specializzati (un esempio) ne hanno parlato, ma omettendo le informazioni basilari, per aiutare a capire l'importanza di questa scelta: ci provo io.

HTTP e HTTPS

HTTP (HyperText Transfer Protocol) è il protocollo di comunicazione su cui si basa il web, ossia internet come è conosciuta da tutti: i siti "parlano" con i browser utilizzando HTTP come linguaggio. HTTP è bidirezionale, nel senso che permette di inviare dati anche dal browser al server: funzionalità che viene usata per inviare i nostri parametri al server in modo da ottenere una risposta personalizzata.

HTTPS è la versione sicura, cioè crittografata, di HTTP. Il che vuol dire che HTTP invia i dati, in entrambe le direzioni, in chiaro, quindi facilmente leggibili (credetemi, l'intercettazione delle comunicazioni è banale).

La Crittografia di HTTPS

La crittografia trasforma un dato comprensibile in uno incomprensibile, tramite complesse funzioni matematiche. Mentre le funzioni sono sempre le stesse, ciò che rende unica ogni trasformazione è l'utilizzo di un altro dato, detto chiave, unico. Con la chiave si effettua sia la cifratura che la decifratura, il che vuol dire che la chiave deve essere conosciuta sia dal mittente che dal ricevente una comunicazione, e da nessun altro, altrimenti chiunque è in grado di decifrare la comunicazione. Questa modalità è scomoda perché mittente e destinatario devono scambiarsi la chiave in modo sicuro, e soprattutto ogni coppia mittente-destinatario deve avere chiavi diverse.

Per fortuna esistono metodi di cifratura con 2 chiavi diverse (ma correlate l'una all'altra): una deve essere tenuta segreta e l'altra può essere liberamente divulgata, semplicemente perché la cifratura avviene con una chiave e la decifratura con l'altra. Ebbene, HTTPS usa questa modalità: il server ha la chiave privata, ed il browser ha la chiave pubblica, che si scarica prima di iniziare a comunicare.

Riservatezza

Il difetto della chiave pubblica è che è, appunto, uguale per tutti, per cui chiunque sarebbe in grado di decifrare le comunicazioni provenienti dal servizio: per renderla univoca, si aggiunge un codice di sessione (creato alla prima comunicazione tra il server ed ogni singolo browser); in questa maniera, HTTPS è in grado di scambiare dati mantenendo la riservatezza degli stessi.

Autenticazione

Il fatto che il servizio possegga una chiave unica, creata appositamente e tenuta segreta comporta una seconda caratteristica: la corrispondente chiave pubblica funziona solo e esclusivamente con quel servizio, per cui il browser è sicuro di comunicare proprio con quel servizio e con nessun altro: potrei quindi autenticare il servizio.

Purtroppo, poiché la chiave pubblica è fornita dal servizio stesso, a meno di non fidarsi ciecamente, non possiamo essere sicuri che il servizio sia effettivamente quello che dichiara di essere. Per cui la vera autenticazione di un servizio ha bisogno di un ulteriore passaggio: la chiave pubblica, prima di essere utilizzata, viene a sua volta autenticata (e firmata digitalmente) da una entità terza, che effettua dei controlli per verificare che il servizio (in realtà, il proprietario, azienda o persona che sia) sia realmente chi dichiara di essere.

Siti sicuri e non sicuri

Il browser è in grado di riconoscere la firma digitale della chiave pubblica: quindi, se riconosce la firma come valida, e la chiave pubblica funziona rispetto al servizio (e quindi alla sua chiave privata), si è certi che stia parlando proprio col servizio (sito) giusto, quindi sicuro. In tutti gli altri casi, è considerato non sicuro.

Quindi i fornitori di siti hanno tutti gli interessi a farsi considerare sicuri, per le ragioni suddette: per un discorso di reputazione possono voler essere riconosciuti con certezza (es. un giornale online); per un discorso di segretezza delle informazioni (es. tutti i casi in cui si usano password); per entrambe (es. banca online).

Altre considerazioni

Tutto a posto? Ovviamente no. Ecco alcune questioni a cui fare attenzione.

• Un sito non sicuro può non essere un problema: dipende dalla criticità delle informazioni che tratta.
• Le chiavi possono avere una scadenza: se non vengono rinnovate in tempo, il sito può improvvisamente essere considerato non sicuro, pur essendolo fino a poco prima. La comunicazione rimane cifrata, ma non si può più fare completo affidamento sull'identità del servizio.
• I criminali informatici cercano continuamente metodi per ingannarci e farci considerare come sicuro un sito che non lo è. Un metodo divertente ed esemplificativo è questo. Inoltre, l'iconcina del lucchetto non è sufficiente perché banalmente falsificabile.
• La segnalazione di sito sicuro può essere assolutamente valida anche per siti con nomi simili a quelli più famosi: quindi, sempre occhio al nome del servizio nella barra degli indirizzi! Se notate qualcosa di strano, verificate che il proprietario del sito sia chi vi aspettate, e non qualcun altro.
• Tutti i metodi crittografici sono comunque vulnerabili al cosiddetto attacco a forza bruta, ossia cercare di trovare le chiavi semplicemente provando tutte le combinazioni possibili; per questo motivo la lunghezza della chiave è un fattore determinante (all'aumentare della lunghezza, il numero di tentativi aumenta in maniera esponenziale).
• Una pagina web può essere composta di parti diverse, che possono provenire da siti differenti (questo post ne è un esempio); ognuna di queste parti può utilizzare HTTPS oppure HTTP semplice, per cui la sicurezza complessiva potrebbe essere compromessa. In realtà i browser segnalano anche questa situazione (in particolare, pagine miste HTTP e HTTPS sono viste con sospetto).

Quindi: bisogna (tanto per cambiare) usare la testa. Mai e poi mai accedere al proprio conto corrente online (è solo un esempio) senza l'indicazione di sito sicuro; negli altri casi, cliccando sull'indicazione, è possibile avere i dettagli della segnalazione, e sulla base di quella decidere se andare avanti o no; e comunque si può considerare la reputazione di un sito anche sulla base dell'utilizzo e della relativa manutenzione dei certificati necessari all'HTTPS.
Anche gli altri browser permettono di fare le stesse verifiche, semplicemente (al momento) non danno l'indicazione nella stessa maniera come ora ha introdotto Chrome. Quest'ultimo ha "solo" fatto la scelta di spingere l'adozione di HTTPS anche nei casi in cui finora non se ne era sentita la necessità.

In principio fu il Social Engineering

Profilazione, Big Data, pubblicità personalizzate, tutti temi molto in voga da qualche anno a questa parte, hanno un antenato comune: L'Ingegneria Sociale, dall'inglese Social Engineering. Per capire il significato di questa espressione bisogna tenere a mente che l'inglese "Engineering" ha un'accezione molto più estesa del corrispettivo italiano "Ingegneria": mentre quest'ultimo si riferisce quasi esclusivamente alla ben nota facoltà universitaria, cioè l'insieme delle capacità di trasformare le conoscenze in ambito scientifico e tecnologico in prodotti e servizi disponibili alla collettività, il termine inglese comprende anche le varie branche tecniche non necessariamente di livello universitario. Nel caso specifico, si intende la capacità di studiare il comportamento di qualcosa per intuirne il funzionamento interno; solo che il "Social" che viene prima ci precisa che il qualcosa sono le persone.

Di per sé, è una tecnica non recente, ma ovviamente l'avvento dell'informatica di massa l'ha resa particolarmente efficiente per via del numero elevato di elementi che possono esserne bersaglio, e la possibilità di effettuarla da lontano e in completo anonimato. In questa fase, la tecnica si poteva effettivamente considerare un attacco informatico, nel senso che c'era qualcuno che tramite azioni mirate ed ingannevoli cercava di indurre il malcapitato di turno a dare informazioni che altrimenti avrebbe tenute riservate, oppure a fare azioni a profitto dell'attaccante. Da quando poi c'è stato l'avvento dei social network, il fenomeno è esploso, tanto da specializzarsi in varie branche con scopi diversi e da diventare la fonte delle maggiori ricchezze moderne; ma in questo caso l'attacco mirato da parte di un malfattore è stato sostituito da una generale induzione alla condivisione selvaggia dei fatti propri attraverso prodotti e servizi apparentemente innocui ed utili (ogni riferimento a fatti reali è puramente... voluto!).

Cerchiamo di capirci meglio, andando nel concreto di qualche situazione.

Gli scopi più comuni sono:

• Furto d'identità
• Furto di password per accessi fraudolenti
• Ricatto
• Influenzare i comportamenti futuri

L'esempio più comune è il phishing, cioè la mail che induce ad inserire le proprie credenziali di accesso ad un servizio in un falso sito, per poi utilizzarle nel sito vero (se si parla della vostra banca, potete immaginare da soli l'effetto); sempre in tema di mail, esse sono il veicolo più utilizzato per la diffusione dei ransomware, cioè quei virus che cifrano i dati e richiedono un riscatto per la decifratura, attraverso allegati il cui presunto contenuto viene in qualche modo a scatenare il nostro interesse. Il più pericoloso attacco di questo tipo, soprattutto se perpetrato verso minori, è carpire la fiducia per poi abusarne (il termine non è scelto a caso: i casi di cronaca sono terrificanti).

Il vero scopo del post però è quelli di mettere in guardia rispetto alle tecniche passive, cioè a quelle che fanno uso dei dati che noi stessi rendiamo pubblici attraverso la nostra normale attività online.

L'esempio più lampante sono le innumerevoli foto fronte/retro postate sui social network delle carte di credito, così da rendere visibili tutti i dati che vi sono riportati: avete mai pensato che sono esattamente i dati che vengono richiesti quando fate un pagamento online? Quindi: foto postata, acquisto fraudolento in 5, 4, 3, 2, 1... (non ci credete che qualcuno sia così stupido? c'è un account twitter che retweeta questi geni...).

Simile è il caso del nostro codice fiscale, che racconta di noi tutti i dati anagrafici (e il furto d'identità è servito; per questo non vi lamentate quando vi chiedono la fotocopia della carta d'identità, e magari evitate di postarne una foto!).
Infine, i fatti recenti dimostrano che anche solo i like/mi piace/retweet e compagnia cantante forniscono indicazioni estremamente precise sulla nostra personalità, che poi vengono utilizzate per indirizzare i nostri comportamenti futuri, a partire dagli acquisti per finire al voto elettorale, attraverso informazioni personalizzate (e intendo: espressamente indirizzate ad una determinata persona).

Altra possibilità è quella di incrociare informazioni da fonti differenti: a me è capitato in più di un caso di intuire informazioni di persone che seguo su Twitter, ma che non conosco assolutamente di persona, basandomi solo su ciò è all'interno dei loro post (casi reali: ho trovato il cognome di un utente che aveva fornito solo il nome; per un altro ho capito dove vive; non si contano i casi di intuizione delle tendenze politiche). Ma il caso più comune e secondo me pericoloso è quello di fornire involontariamente indicazioni di quando si è lontani da casa (tipicamente, quando si è in vacanza, ma non solo), postando selfie appena scattati da cui è evidente risalire al luogo in cui ci si trova, che chiaramente non è quello in cui si vive; tenendo conto che ormai con l'intelligenza artificiale è possibile riconoscere posti anche molto poco comuni e da pochi, apparentemente insignificanti, dettagli.

L'errore più grave che si può commettere è quello di pensare che tutto ciò non riguardi noi: i malintenzionati non vanno per bersagli precisi, ma cercano nel mucchio di cui noi tutti facciamo parte. Il mio consiglio, prima di condividere anche la più più innocente delle informazioni, è chiedersi: a che scopo può essere utilizzata a mio danno? Ricordandoci poi che internet non dimentica.

P.S. Mai, MAI, MAI utilizzare informazioni personali per scegliere le vostre password!!!

La biometria e la falsa sicurezza

Non so se avete saputo, visto che la notizia è passata sotto silenzio (😉), ma è in commercio da qualche settimana il nuovo iPhone; e tra le nuove funzionalità, c'è Face ID, cioè lo sblocco dello smartphone attraverso il riconoscimento facciale. In questo caso molto avanzato (viene utilizzata una mappatura tridimensionale), tuttavia circolano in rete, e non mi risultano siano state smentite, notizie secondo cui si è ottenuto uno sblocco "fraudolento" tramite una maschera di silicone (dal costo di 150$), oppure con un familiare, come un fratello ma anche un figlio.

Non è proprio la stessa cosa, però qualche giorno fa mi è capitato di "sbloccare" la ricerca di Google sullo smartphone di un collega con la mia voce (casualmente, non stavamo facendo un esperimento mirato).

Questo genere di funzionalità fanno parte del ben più ampio campo della biometria utilizzata come metodo di riconoscimento considerato sicuro. Non siamo forse abituati all'utilizzo delle impronte digitali, che sono ormai anche dentro il passaporto e regolarmente utilizzate nelle procedure di ingresso in stati come gli USA?

Anche nel mondo digitale, lo sappiamo benissimo, c'è il problema del riconoscimento sicuro, perché il furto di identità può avere impatti notevolissimi sulla vita del malcapitato, anche fuori dal mondo virtuale (basta pensare cosa accade se l'identità in questione è quella del conto corrente bancario). La sicurezza della propria identità è affidata primariamente all'odiatissima password, però è ormai chiaro che non basta più; e per questo sono arrivati l'autenticazione a due fattori, dove alla password vera e propria viene affiancato un secondo codice generato casualmente con validità brevissima, ed appunto la biometria.

Ma non è tutt'oro quello che luccica. Ai più la biometria può essere l'uovo di colombo: una volta identificata quale sia la caratteristica fisica più adatta, cioè meno soggetta a falsi positivi, il gioco è fatto. La questione è un po' più delicata per almeno due motivi.

Il primo è la privacy: se la caratteristica in questione è sotto gli occhi di tutti e facilmente accessibile, chiunque è in grado di carpircela e riutilizzarla al nostro posto. Per esempio, ritornando all'inizio del post, la nostra faccia compare in migliaia, se non milioni, di immagini di cui spesso non conosciamo nemmeno l'esistenza. Nel caso (più estremo) delle impronte digitali, utilizzate già da tempo sugli smartphone non solo più di fascia alta, mi ricollego ad una serie televisiva di spionaggio (ma sono sicuro non fosse un'idea originale) in cui viene tagliato il dito ad una persona per poterlo utilizzare su un lettore di impronte al posto suo. Quindi occhio: impostare il riconoscimento facciale per qualche servizio critico, e poi postare selfie a raffica sui social, espone al rischio di essere chiamati dal sottoscritto "demente" (oltre a quello di ritrovarsi il conto bancario prosciugato).

Il secondo motivo riguarda un aspetto molto più tecnico, ma da tenere presente: una qualsiasi caratteristica fisica, una volta acquisita, è codificata digitalmente come sequenza binaria per poter essere memorizzata e confrontata (magari in modi non banali) con le nuove acquisizioni della stessa caratteristica nel momento in cui vengono utilizzate per l'identificazione; il che rende quel dato memorizzato estremamente critico, sia in termini di riservatezza che di protezione. Per dirla chiaramente: se viene perso (cancellato), addio identificazione e quindi accesso al servizio; se viene carpito fraudolentemente da qualcuno, non è possibile modificarlo come una password!

In conclusione, è molto imprudente considerare la biometria LA soluzione del problema identificazione sicura; è sicuramente una possibilità, e non secondaria, all'interno di un sistema più complesso. Personalmente preferisco l'autenticazione a due fattori con password (che posso scegliere, modificare, e mantenere realmente segreta) e secondo codice che sia invece generato da un ente terzo, rinnovabile e fornitomi in modo assolutamente riservato (tipo token o certificati digitali).

Proteggiamo i nostri dati: la cifratura

Ogni storia di spionaggio che si rispetti prevede che i protagonisti si scambino messaggi attraverso codici, intellegibili solo agli interessati. Il caso più famoso, anche perché venuto alla ribalta in tempi relativamente recenti, riguarda Enigma, cioè la macchina utilizzata dalla marina militare tedesca durante la seconda guerra mondiale, e lo sforzo intellettuale e tecnico degli inglesi per decifrare i messaggi.

Forse non tutti sanno che il risultato di questo sforzo fu quello che viene considerato il primo computer della storia. Dal che si deduce che il computer è nato proprio per questa funzione: cifrare e decifrare.

Mantenere segrete informazioni era una volta prerogativa delle questioni militari e politiche ; poi sono arrivate le questioni economiche; ed ai tempi di internet la cosa può, anzi deve, riguardare tutti noi (inclusa, ahimé, la questione dei ransomware!). In definitiva, tutto si riduce a questo: un soggetto interessato a sapere cosa fa un altro soggetto, perché sapendolo ne ricava un qualche vantaggio. Concentrandosi solo sul caso di noi utenti digitali, il soggetto interessato è chiunque voglia utilizzare i nostri dati personali a fini commerciali: lo abbiamo ribadito più volte. Le leggi sulla privacy ci tutelano solo fino ad un certo punto (per usare un eufemismo...), e comunque per usufruire dei servizi internet, siamo costretti a fornire tutta una serie di dati (di cui al 90% non siamo nemmeno consapevoli); ma tutto ciò è inevitabile. Tuttavia ci sono altri dati che non siamo costretti a divulgare (per fortuna), e che dall'altra parte sono oggetto della infinita "curiosità" della rete. Qualche esempio? Gli estratti conto del nostro conto corrente bancario (che contengono dati sensibilissimi: il nostro saldo, o al contrario il nostro debito; l'ammontare delle nostre entrate e la distribuzione delle nostre uscite). Oppure le nostre foto private (che nel caso delle celebrità, finiscono immancabilmente per essere pubblicate). Ma per tutti questi casi, basta ricorrere alla cifratura "fai da te".

Cifrare i propri file non è operazione difficile: esistono diversi modi e molti programmi a disposizione tra cui scegliere. Però è necessario capire bene alcuni concetti fondamentali.

1. Il dato cifrato è illeggibile a chiunque, compreso il proprietario del dato.
2. La cifratura però è reversibile, cioè dal dato cifrato si può tornare all'originale.
3. Perché la reversibilità sia possibile solo al legittimo proprietario del dato, si deve utilizzare una chiave che per definizione deve essere in possesso solo del proprietario.

In pratica: qualsiasi metodo utilizziamo per cifrare i nostri dati, dobbiamo scegliere una chiave che sia conosciuta esclusivamente da noi. Questo perché chiunque sia in possesso di quella chiave, è in grado di decifrare i dati. Normalmente la chiave è una parola (cioè una password), ma in realtà può anche essere il contenuto di un file. Badate bene: in quest'ultimo caso, il file può anche essere pubblico; ma poiché al mondo esistono miliardi di miliardi di file diversi, la vera informazione da tenere riservata è quale sia questo file. Va da sé che perdere o anche solo modificare il file comporta l'impossibilità di decifrare i dati...

I programmi di cifratura usano 2 modalità principali: o cifrano il singolo file (il che corrisponde anche a poter differenziare la chiave per ogni file da cifrare), oppure fare un unico contenitore dove mettere tutti i file che vogliamo (in questo caso basta una sola chiave). Personalmente preferisco la seconda modalità.

Qualcuno potrebbe chiedersi (o chiedermi): ma a che scopo tutta 'sta fatica? Beh, l'utilizzo principale che io vedo è quello di poter utilizzare con tranquillità i servizi cloud: anche se qualcuno riuscisse a evitare tutti i controlli ed ad accedere alla mia area privata (ricordate che il cloud altro non è che il computer di qualcun altro), dovrebbe ancora trovare il modo di decifrare i dati. Oppure, in caso di computer condiviso, si evita di lasciare leggibili i nostri dati a tutti gli altri utilizzatori. Non serve essere spie o malviventi per proteggere i nostri dati!

Non ti sopporto più (ovvero: la password)

La navigazione su internet, o l'utilizzo di app, ormai sembra non poter fare a meno della famigerata password: quasi ovunque è richiesto registrarsi e quindi impostarne una. I risultati, ovviamente, sono questi:

http://mobile.hdblog.it/2017/01/16/123456-password-utilizzata-2016/

Ora, finché queste password sono utilizzate per servizi banali (per esempio, registrare le ricette preferite), passi... ma se sono utilizzate per la posta elettronica (privata: quella lavorativa non la prendo nemmeno in considerazione, altrimenti qualcuno rischia che lo sbrani) o per il conto corrente online, beh, allora tutto il male che può accadere è pienamente meritato!

Quindi, poiché sono un male necessario, cerchiamo di capire l'importanza delle password e come gestirle.

La password è uno dei due elementi fondamentali di ciò che comunemente vengono chiamate "credenziali"; l'altro è il nome utente (o username, più comunemente). Questa coppia fa sostanzialmente due lavori: con lo username avviene l'identificazione, cioè il riconoscimento univoco, in funzione di associazione univoca delle informazioni, della persona; con la password, avviene l'autenticazione, ossia si controlla la veridicità dell'identificazione. Questa verifica è necessaria perché lo username, in un certo senso, è un dato pubblico, quindi per riconoscere il legittimo proprietario bisogna che si utilizzi un dato privato, cioè conosciuto appunto solo da lui. Il senso della password è tutto qua: che sia un dato noto soltanto alla persona a cui appartiene. Nel momento in cui tale dato perde il suo carattere di segretezza, non ha più senso; e questo avviene in tutti i casi seguenti:

• la rendiamo pubblica (o nota anche ad una sola altra persona)
• ne utilizziamo una estremamente diffusa (come avviene appunto per le password della lista riportata nell'articolo sopra citato)
• la scriviamo in un posto facilmente accessibile (il post-it sul monitor è un classico)
• la scegliamo utilizzando informazioni pubblicamente note (come la data di nascita, propria o di qualche familiare, o il nome del gatto...)

Un altro comune errore è quello di lasciare al browser, al programma di posta, o alla app di turno, la registrazione delle password, in modo da evitare che venga richiesta ogni accesso. A parte che la registrazione può avvenire in modo non protetto (cioè cifrato, o se la cifratura viene utilizzata, senza che ne abbiamo noi il controllo)... così ci mettiamo alla mercé di chi dovesse avere l'accesso al nostro dispositivo o profilo, perché non dovrebbe nemmeno fare la fatica di cercare o indovinare le password. Ma il più grave errore che si può fare in tema di password, è pensare che a nessuno interessi soffiarcela. Come detto prima, con la password si autentica l'identità, quindi in realtà con la nostra password un malintenzionato impersona noi stessi, e può compiere qualsiasi atto a nostro nome (e dimostrare di aver subito il furto di identità non è cosa banale). Forse non tutti sanno che esistono vere e proprie aste di gruppi di credenziali valide di alcuni celebri servizi, segno evidente dell'interesse che ha questa "merce" (vedere, solo per fare un esempio, questa notizia)

Il problema alla base delle scellerate scelte della password sta tutto nella necessità di ricordarla. Ma è un falso problema: non è necessario ricordare a memoria tutte le password (in realtà, è il regolare utilizzo che, stimolando la nostra memoria, le fa ricordare, a prescindere dalla complessità e lunghezza). Io per primo, che credo di essere un bravo utilizzatore di buone password, non pretendo di ricordarle tutte, anzi! L'unico trucco necessario e sufficiente a gestire correttamente le password è scriverle, ma esclusivamente in un posto sicuro. Esistono molti programmi o app che fanno proprio questo: un piccolo database dedicato alle password, ovviamente cifrato. Il difetto è che per cifrare (e decifrare) il database, una password è necessaria: ma una sola. Questa sì che vale la pena dello sforzo di trovarne una sufficientemente complessa, veramente privata, e che non corriamo il rischio di dimenticare (se non in caso di amnesie gravi, ma in quel caso questo è un problema minore); anche perché la raccomandazione è quella di non scriverla, mai, da nessuna parte, e di non dirla veramente a nessuno! Se utilizziamo uno di questi "password manager", ed impariamo ad usarlo sempre, allora verrà facile anche passare ad una logica che fa fare il salto di qualità in termini di sicurezza: non scegliere più le password per far sì che siano in qualche modo mnemoniche, ma farle generare in modo casuale, e con lunghezze significative (dai 12 caratteri in su), e soprattutto cambiare regolarmente quelle più critiche.

Altro metodo di sicurezza che sta progressivamente diffondendosi è quello dell'autenticazione a due fattori (two-factor authentication): la fase di autenticazione si basa non solo sulla password, ma su un ulteriore codice che ha una validità limitata nel tempo, e quindi ogni accesso va nuovamente generato. Questo secondo codice può arrivarci con un metodo che abbiamo precedentemente validato (la nostra mail, il nostro cellulare), oppure con dispositivi appositi, chiamati token, che vengono rilasciati dal fornitore del servizio. Certamente è un ulteriore passaggio che ai più sembrerà un ulteriore fastidiosa perdita di tempo, ma a me sembra trascurabile davanti alla concreta possibilità di trovarsi il conto in banca svuotato.

In conclusione, dovremmo convincerci che dobbiammo riservare alle password la stessa attenzione che riserviamo alle chiavi di casa: esse rappresentano di fatto il modo di impedire agli estranei l'accesso al nostro piccolo "regno digitale".