In principio fu il Social Engineering

Profilazione, Big Data, pubblicità personalizzate, tutti temi molto in voga da qualche anno a questa parte, hanno un antenato comune: L'Ingegneria Sociale, dall'inglese Social Engineering. Per capire il significato di questa espressione bisogna tenere a mente che l'inglese "Engineering" ha un'accezione molto più estesa del corrispettivo italiano "Ingegneria": mentre quest'ultimo si riferisce quasi esclusivamente alla ben nota facoltà universitaria, cioè l'insieme delle capacità di trasformare le conoscenze in ambito scientifico e tecnologico in prodotti e servizi disponibili alla collettività, il termine inglese comprende anche le varie branche tecniche non necessariamente di livello universitario. Nel caso specifico, si intende la capacità di studiare il comportamento di qualcosa per intuirne il funzionamento interno; solo che il "Social" che viene prima ci precisa che il qualcosa sono le persone.

Di per sé, è una tecnica non recente, ma ovviamente l'avvento dell'informatica di massa l'ha resa particolarmente efficiente per via del numero elevato di elementi che possono esserne bersaglio, e la possibilità di effettuarla da lontano e in completo anonimato. In questa fase, la tecnica si poteva effettivamente considerare un attacco informatico, nel senso che c'era qualcuno che tramite azioni mirate ed ingannevoli cercava di indurre il malcapitato di turno a dare informazioni che altrimenti avrebbe tenute riservate, oppure a fare azioni a profitto dell'attaccante. Da quando poi c'è stato l'avvento dei social network, il fenomeno è esploso, tanto da specializzarsi in varie branche con scopi diversi e da diventare la fonte delle maggiori ricchezze moderne; ma in questo caso l'attacco mirato da parte di un malfattore è stato sostituito da una generale induzione alla condivisione selvaggia dei fatti propri attraverso prodotti e servizi apparentemente innocui ed utili (ogni riferimento a fatti reali è puramente... voluto!).

Cerchiamo di capirci meglio, andando nel concreto di qualche situazione.

Gli scopi più comuni sono:

• Furto d'identità
• Furto di password per accessi fraudolenti
• Ricatto
• Influenzare i comportamenti futuri

L'esempio più comune è il phishing, cioè la mail che induce ad inserire le proprie credenziali di accesso ad un servizio in un falso sito, per poi utilizzarle nel sito vero (se si parla della vostra banca, potete immaginare da soli l'effetto); sempre in tema di mail, esse sono il veicolo più utilizzato per la diffusione dei ransomware, cioè quei virus che cifrano i dati e richiedono un riscatto per la decifratura, attraverso allegati il cui presunto contenuto viene in qualche modo a scatenare il nostro interesse. Il più pericoloso attacco di questo tipo, soprattutto se perpetrato verso minori, è carpire la fiducia per poi abusarne (il termine non è scelto a caso: i casi di cronaca sono terrificanti).

Il vero scopo del post però è quelli di mettere in guardia rispetto alle tecniche passive, cioè a quelle che fanno uso dei dati che noi stessi rendiamo pubblici attraverso la nostra normale attività online.

L'esempio più lampante sono le innumerevoli foto fronte/retro postate sui social network delle carte di credito, così da rendere visibili tutti i dati che vi sono riportati: avete mai pensato che sono esattamente i dati che vengono richiesti quando fate un pagamento online? Quindi: foto postata, acquisto fraudolento in 5, 4, 3, 2, 1... (non ci credete che qualcuno sia così stupido? c'è un account twitter che retweeta questi geni...).

Simile è il caso del nostro codice fiscale, che racconta di noi tutti i dati anagrafici (e il furto d'identità è servito; per questo non vi lamentate quando vi chiedono la fotocopia della carta d'identità, e magari evitate di postarne una foto!).
Infine, i fatti recenti dimostrano che anche solo i like/mi piace/retweet e compagnia cantante forniscono indicazioni estremamente precise sulla nostra personalità, che poi vengono utilizzate per indirizzare i nostri comportamenti futuri, a partire dagli acquisti per finire al voto elettorale, attraverso informazioni personalizzate (e intendo: espressamente indirizzate ad una determinata persona).

Altra possibilità è quella di incrociare informazioni da fonti differenti: a me è capitato in più di un caso di intuire informazioni di persone che seguo su Twitter, ma che non conosco assolutamente di persona, basandomi solo su ciò è all'interno dei loro post (casi reali: ho trovato il cognome di un utente che aveva fornito solo il nome; per un altro ho capito dove vive; non si contano i casi di intuizione delle tendenze politiche). Ma il caso più comune e secondo me pericoloso è quello di fornire involontariamente indicazioni di quando si è lontani da casa (tipicamente, quando si è in vacanza, ma non solo), postando selfie appena scattati da cui è evidente risalire al luogo in cui ci si trova, che chiaramente non è quello in cui si vive; tenendo conto che ormai con l'intelligenza artificiale è possibile riconoscere posti anche molto poco comuni e da pochi, apparentemente insignificanti, dettagli.

L'errore più grave che si può commettere è quello di pensare che tutto ciò non riguardi noi: i malintenzionati non vanno per bersagli precisi, ma cercano nel mucchio di cui noi tutti facciamo parte. Il mio consiglio, prima di condividere anche la più più innocente delle informazioni, è chiedersi: a che scopo può essere utilizzata a mio danno? Ricordandoci poi che internet non dimentica.

P.S. Mai, MAI, MAI utilizzare informazioni personali per scegliere le vostre password!!!

Un post è per sempre

Tempo di elezioni. Tempo di esternazioni. Uno strazio. Però anche tempo in cui è più probabile trovare materiale per riflettere sui post dei social. Sì, perché capita sovente in questi giorni di sentire ai TG di un qualche politico che prima scrive un post "infelice" su Facebook o Twitter (tipicamente) o altri social, e poi lo rimuove dopo le immancabili polemiche.

Proprio perché siamo sotto elezioni, il meccanismo viene esasperato: giornalisti e avversari politici controllano quasi in tempo reale i profili social dei leader e/o candidati, proprio in attesa di un post su cui costruire una notizia; se poi il contenuto del post si presta a essere interpretato in senso negativo (per chi lo ha scritto), è una vera manna dal cielo. Quindi, prima regola: appena vedi il post, salvalo! Non sia mai venga rimosso. Basta catturare lo schermo in una immagine ed il gioco è fatto. Tempo richiesto: pochi secondi. E se il post viene eliminato, ecco che spuntano come funghi gli screenshot a futura memoria. E il povero mentecatto politico si ritrova a dover spiegare, scusarsi, controaccusare... di lasciar perdere, ovviamente, non se ne parla proprio.

Lasciamo la politica, che ce la dovremo sorbire a sufficienza di qui alle elezioni, e torniamo a casi più calzanti nella nostra vita. Un messaggio scritto in un momento di stress; video o foto imbarazzanti; una battuta che urta le sensibilità altrui: a chi non è capitato? Il problema è che pentirsi non è più sufficiente: una volta che quel messaggio/foto/battuta (più in generale: dato) ha lasciato il dispositivo su cui noi l'abbiamo creato, per finire all'interno dei meandri del servizio (social o sito) verso cui l'abbiamo postato, il controllo è perso. Non lasciatevi ingannare dalla possibilità di cancellare: essa esiste, funziona pure (anche se spesso non è immediata: è scritto nelle privacy policy...), ma non è sufficiente. Chiunque veda il nostro dato prima della cancellazione ha la possibilità, in vari modi (come quello che citavo all'inizio), di crearsene una sua copia, e poi di farne quello che vuole; compreso ri-postarlo da qualche altra parte o inviarlo a chi vuole. Esiste anche un servizio di archiviazione, utilissimo sotto molti punti di vista, ma deleterio per il caso che stiamo esaminando: archive.org, che permette di salvare una copia di qualsiasi risorsa internet accessibile tramite URL in quel momento, rendendo di fatto qualsiasi modifica  o cancellazione successiva inutile.

E la privacy? Dal punto di vista normativo, esiste la possibilità (rafforzata dal Regolamento Europeo che sarà applicabile dal prossimo maggio) di richiedere ai gestori dei servizi la cancellazione di qualsiasi dato personale, indipendentemente dal consenso concesso nel passato (il cosiddetto Diritto all'oblio). Benissimo, ma i tempi sono inevitabilmente lunghi e soprattutto il potere applicativo della normativa si ferma poi inevitabilmente davanti ai conflitti di giurisdizione per tutti quei servizi che risiedono fisicamente e legalmente all'infuori dell'Unione Europea.

La sostanza è che ogni nostro dato che finisce su qualche servizio internet viene immediatamente copiato e rielaborato in mille forme, a nostra insaputa e quindi senza che possiamo controllarle, ed eliminarlo completamente diviene impossibile. Anche se per assurdo esistesse la capacità di eliminarlo da ogni servizio internet, potrebbe sempre succedere che qualche persona poco simpatica ne tenga una copia privata e la ripubblichi dopo un po' di tempo. Ancora una volta, la nostra intelligenza è l'arma più potente che abbiamo per evitare brutte esperienze. I primi gestori della nostra privacy siamo noi. Ovvero: pensiamoci dieci volte prima di postare qualcosa.

Se tutto questo non bastasse, voglio proporre una mia riflessione. Uno dei romanzi più belli di John Grisham (La giuria) racconta di una causa contro la lobby del tabacco, accusata di aver deliberatamente pubblicizzato uno stile di vita che includesse il fumo come elemento di distinzione sociale, in modo da invogliare i giovani ad iniziare a fumare e quindi garantirsi clienti di lungo corso, a scapito della salute. Bene, a me sembra che è successa una cosa simile quando sono apparsi i primi social e se ne è cominciata a vedere la potenzialità economica: i giovani sono stati deliberatamente attratti verso servizi tutt'altro che fondamentali facendo leva sulla condivisione, concetto di per sé assolutamente positivo ma in questo contesto riproposto con un significato diverso, che va proprio nella direzione opposta rispetto a quello della privacy. Il risultato è che ora ci ritroviamo a dover combattere una guerra contro questo atteggiamento, dovendo ri-educare i ragazzi al corretto uso dei social (e degli altri strumenti digitali, ovviamente), in un'ottica di auto-protezione delle informazioni personali.

Qualcuno potrebbe chiedersi perché dobbiamo farlo; o, in altre parole, qual'è il valore della privacy. Un primo motivo, forse secondario come importanza, è semplicemente quello che i nostri dati personali permettono ad altri di arricchirsi (si dice che i dati personali sono l'oro del terzo millennio). Ma il motivo principale è che le informazioni che ci appartengono permettono agli altri di farci del male: lo dimostrano i casi di suicidio e cyberbullismo che le recenti cronache ci hanno raccontato.

Infine, dal punto di vista tecnico, ho una piccola proposta: perché non indirizzare gli studi sull'intelligenza artificiale anche verso la possibilità di trovare in rete tutte le copie, anche rielaborate, dei nostri dati, in modo da dare al diritto all'oblio un potere maggiore?

A maggio 2018 "cambia" la normativa privacy

Nel mondo commerciale informatico è periodo di gran fermento perché incombe una scadenza: a maggio prossimo entra in vigore il nuovo Regolamento dell'Unione Europea sulla protezione dei dati personali delle persone fisiche (che contestualmente abroga le normative precedenti degli stati membri), e un po' tutte le aziende devono adeguarsi alle nuove norme. Basta che fate una ricerca per GDPR (l'acronimo che identifica la nuova normativa, anche se ufficialmente è nota come 2016/679) e ve ne renderete conto. E forse vi renderete conto che tra i risultati difficilmente troverete qualcosa che spiega cosa cambia per i cittadini, invece che per le aziende. Poiché anch'io mi sto occupando della faccenda, ed avendo letto tutta la normativa, mi sento intitolato fare un po' il punto della situazione per il punto di vista del popolo.

Diciamo subito che rispetto alla normativa italiana vigente, per il cittadino cambia poco: i principi generali sono gli stessi. Però, avendoli letti, devo dire che, nella teoria, sono piuttosto buoni, nel senso che al privato cittadino sono garantiti diritti e libertà notevoli. In verità eccezioni a questi diritti e libertà non mancano, però mi sento di dire che hanno ragion d'essere: queste eccezioni tutelano gli interessi generali degli stati, la ricerca scientifica e medica, le finalità statistiche e di conservazione storica, le questioni giudiziarie, etc. La novità più rilevante è che la protezione europea si applicherà sostanzialmente anche quando i nostri dati finiscono in realtà fuori dai confini europei (esempi concreti? Google, Facebook, Apple, Microsoft, Instagram, Twitter...  praticamente il 99% dei nostri dati!).

Quindi? Tutto bene? Possiamo stare tranquilli? Beh, no, perché c'è il solito "però".

Il "però" in questione in realtà non è tra le novità, è un principio già presente da parecchi anni, ed è questo: tutte le protezioni della normativa si applicano a meno che non ci sia stato esplicito consenso a che i nostri dati venissero trattati in una data maniera. Per dirla in concreto: se un qualche call center vi perseguita al telefono per offrirvi imperdibili opportunità di risparmio, quasi certamente non sta violando nessuna norma, perché il vostro numero di telefono, insieme al consenso ad essere chiamati alle ore più improbabili, glielo avete dato voi accettando le condizioni (che non avete letto) per scaricare qualche nuova fantastica app o per la tessera punti del supermercato.

Ma poiché non ho scritto questo post per puntarvi il dito contro (ovviamente anch'io non sono senza peccato...), vediamo cosa possiamo fare grazie alla normativa.

In primis, tra i vari diritti riconosciuti agli "interessati" (cioè: i proprietari dei dati personali) c'è quello della revoca del consenso; ovviamente la revoca, e le sue conseguenze (quasi sicuramente la perdita del diritto ad usufruire del servizio), hanno effetto solo dal momento della revoca, in modo non retroattivo.

Poi c'è il cosiddetto "diritto all'oblio", che dovrebbe permettere la cancellazione totale dei dati, sia dal titolare che li ha originariamente acquisiti, ma anche da tutti quelli a cui sono stati trasmessi. Però (daje!) dobbiamo fare i conti con la potenza e quindi l'ingovernabilità del web: pensare di far sparire tutte le le copie esistenti di una foto o un video imbarazzanti è pura utopia. Basta che qualcuno (un privato, non un'azienda) abbia scaricato una copia e poi la riproponga su qualche altro sito, social, o che ne so io... e addio oblio, senza che nessuna autorità possa farci nulla!

C'è anche la "portabilità" dei dati: è un concetto simile a quello per il numero di telefono quando passiamo da un operatore all'altro, in questo caso sembrerebbe voler consentire una roba tipo portare i propri dati da un servizio verso un altro, per esempio potremmo "spostare" una casella di posta elettronica da un provider ad un altro; pensando invece ad un social, sinceramente non capisco proprio come ciò possa accadere, se non altro perché ogni social ha le sue specificità e mal si adatta a prendere in carico dati "pensati" per un altro.
Altra importantissima questione riguarda il trattamento automatico, spesso noto come profilazione, nei casi che questo comporti una significativa conseguenza all'interessato (pensiamo per esempio alla concessione o meno di un prestito, o al calcolo del premio di un'assicurazione): ora (cioè, da maggio) sarà possibile opporsi a questi tipi di trattamento, oppure richiedere l'intervento umano.
Infine, nel caso malaugurato di compromissione dei dati personali, è fatto obbligo al titolare del trattamento di informare l'interessato, che può poi rivolgersi all'autorità giudiziaria per l'eventuale risarcimento del danno (le sanzioni pecuniarie sono state decisamente inasprite: per i casi limite può arrivare a 20 milioni di euro o il 4% del fatturato annuo!).

A parte i diritti, una novità che ritengo importante è come viene rivisto l'obbligo di fornire le informazioni relative al trattamento (la cosiddetta informativa): essa deve essere concisa, trasparente, intelligibile per l'interessato e facilmente accessibile; occorre utilizzare un linguaggio chiaro e semplice, e per i minori occorre prevedere informative idonee. Speriamo che questo obbligo venga veramente rispettato, soprattutto nel suo condivisibilissimo spirito, però è tutto inutile se poi noi non facciamo la nostra parte: l'informativa va letta, capita e sulla base di essa dobbiamo effettuare la scelta libera e consapevole se concedere o no il nostro consenso, che è quello che lascia mano libera al titolare di fare tutto quello che vuole (basta che l'abbia scritto). Ci saranno, è inevitabile, delle informative che ci porranno davanti ad una sorta di ricatto: o il consenso, oppure niente servizio. Essere cittadini consapevoli e liberi significa avere il coraggio di saper dire No.
L'informativa deve anche contenere i contatti del titolare del trattamento (e, ove nominato, del responsabile della protezione) a cui è possibile fare le richieste riguardanti tutti i propri diritti.

Infine, voglio spendere 2 parole per la protezione di dati dei minori. Il regolamento prevede che il consenso sia valido a partire dai 16 anni; sotto questo limite, è necessario il consenso dei genitori. Ricordo anche che normalmente l'iscrizione ai social network, a parte quelli specificatamente dedicati ai bambini, è possibile solo a partire dai 13 anni, ma sento dire da più parti che questa regola (di buon senso, prima che formale) è deliberatamente ignorata da alcuni genitori.
A questo proposito, anche se usciamo dall'ambito del Regolamento in quanto siamo nell'ambito della vita privata, segnalo questa recente sentenza sul fatto che le foto dei figli possono essere pubblicate solo se entrambi i genitori sono d'accordo. Il che a maggior ragione contrasta con il diffuso malcostume di pubblicare foto che ritraggono anche figli di altri, senza chiedere nessun permesso. Non è inutile sottolineare che l'analfabetismo digitale è un problema soprattutto per gli adulti che hanno responsabilità educative!

Per chi volesse approfondire gli argomenti relativi alla privacy, segnalo il sito dell'Autorità Garante italiana, che trovo ottimo dal punto di vista dei contenuti (magari è un po' vintage nell'aspetto...).

La partizione smarrita (breve storia quasi felice)

Lo scorso sabato ero alle prese con le ultime attività prima della conclusione dell'operazione #AbbandonoWindows; in particolare, sul disco principale, quello da estrarre e mettere in un box USB, avevo deciso di eliminare una partizione che conteneva dati ormai inutili (vecchie immagini di Windows, e comunque salvate sul disco esterno) per allargarne un'altra in sofferenza di spazio. Il problema è che dopo l'operazione le partizioni eliminate erano 2: l'altra era, guardacaso, quella con tutti i miei dati. E sono assolutamente certo di non aver selezionato per sbaglio anche l'altra partizione, anche perché non era permesso.

Non mi sono fatto prendere dal panico, anche perché io non predico bene per razzolare male: i backup, li faccio! Per cui mi sono potuto lasciare andare ad una semplice inc*******a epocale (se una certa sede di Seattle non è crollata sotto i miei accidenti, vuole dire che è costruita proprio bene... 😁).

In realtà, mi sono subito posto l'obiettivo di recuperare la partizione, poiché i dati ed il filesystem non erano stati toccati: bastava ripristinare la tabella delle partizioni. Per far ciò, in prima istanza mi sono affidato ad un programma per Windows, in Trial ma che prometteva funzionalità completa: vero per la scansione, ma per il ripristino pretendeva l'acquisto della licenza (modalità legittima, ma estremamente fastidiosa...); e comunque avrei potuto solo copiare i file da un'altra parte. Allora mi sono affidato a linux: è bastato il primo risultato della ricerca per trovare lo strumento adatto (TestDisk) e scoprire che era disponibile in SystemRescueCD, che avevo già pronto sul drive USB per le emergenze. Detto, fatto: avviato, lanciato, fatta la scansione veloce, ma i parametri trovati non mi convincevano; con la scansione completa, anche se durata 3 ore, trovo i parametri giusti, et voilà, la partizione è tornata magicamente al suo posto con tutti i dati dentro.

Le morali della storia sono:

• Serve Linux per far funzionare o sistemare Windows;
• In ogni caso, serve lo strumento giusto, specializzato, e non un megarisolutore galattico di tutti i guai informatici;
• Recuperare situazioni apparentemente disperate qualche volta è possibile, e neanche troppo difficile, a condizione che sia abbiano le giuste competenze ed informazioni.

Voglio tornare su quest'ultimo punto per rimarcare che sono riuscito a riconoscere i parametri giusti da ripristinare solo perché avevo ben chiara quella che doveva essere la situazione corretta: se non fosse stato così, avrei avuto altissime probabilità di sbagliare, e fare un disastro (avrei perso l'intero disco). Se invece che al mio disco fosse successo a qualcun altro, avrei potuto certamente indicare lo strumento da utilizzare, ma non avrei mai, se non in casi semplicissimi, riconoscere la situazione corretta da ripristinare, semplicemente perché questa è giocoforza conoscenza esclusiva del proprietario del disco. Ma ahimé, sono certo che nel 99% dei casi il proprietario del disco non avrebbe nemmeno saputo di che stavo parlando, e si sarebbe aspettato da me il miracolo. Purtroppo non è così che funziona.

NO, I DON'T WANNA CRY!!!

Spero almeno questa volta che tutti sappiano di cosa parliamo: il famigerato virus soprannominato WannaCry ("voglio piangere": un premio all'inventore del nome), che ha creato scompiglio negli ultimi giorni in un po' tutto il mondo.

Cosa è successo, è stato abbondantemente raccontato, anche se coi consueti toni sensazionalistici e più o meno grandi inesattezze, anche dai giornali generalisti: il virus cifra tutti i file importanti dei computer (rigorosamente Windows, questa volta) rendendoli inservibili, richiedendo un riscatto per decifrarli; la diffusione avviene via rete grazie ad un errore presente nell'implementazione di un servizio, peraltro noto e risolto lo scorso marzo.

Ciò che voglio sottolineare è che al di là dei già citati toni sensazionalistici, ciò che dominava nelle notizie era la sorpresa: come è potuto succedere una cosa del genere? Inaudito! Peccato che non a tutti la cosa suona come nuova: per esempio, in questo interessante post dello scorso dicembre, più o meno tutto veniva preannunciato, sottolineando come i ransomware (la classe di virus a cui appartiene WannaCry) sono, già da qualche anno, il più grosso pericolo che circola nella Rete mondiale (il fatto che l'autore del post sia il sottoscritto è, ovviamente, puramente casuale... 😊).

I più attenti dei miei 7 o 8 lettori noteranno che non avevo previsto tutto: per esempio, non avevo previsto lo sfruttamento del baco (ma già citavo la possibilità di infezione da computer a computer via rete). In effetti un errore l'avevo commesso: tra le raccomandazioni che già ponevo alla vostra attenzione, non c'era quella di tenere aggiornato il sistema operativo; ed in effetti, confesso di essere stato io per primo mancante (nessuno è perfetto). Ma il punto fondamentale di questa storia non è nemmeno questo, o il baco, o il ruolo dell'NSA, o chissà cos'altro: è invece il fatto che il punto di ingresso dell'infezione, nei sistemi di un particolare ente, era il servizio accessibile da chiunque nel mondo, perché esposto su internet! La base di tutte le protezioni informatiche è il filtraggio delle connessioni di rete (soprattutto quelle pubbliche, cioè attraverso internet, tramite un sistema chiamato firewall), impedendo tutte quelle non indispensabili. Scommetto che molti non sanno di cosa sto parlando; e scommetto pure che si stupirebbero, scoprendo che sul router che avete installato a casa per la connessione internet, il firewall è presente; e scommetto anche che nella stragrande maggioranza dei casi, è disattivato. Se tutto ciò è vero, di che che potete lamentarvi? Il virus ve lo me-ri-ta-te!

Finita la filippica, passiamo ora ai consigli. Lo faccio attraverso un esempio molto pratico, cioè quello che abbiamo fatto (io e soprattutto i miei collaboratori) in azienda.

Ovviamente avevamo un firewall; ovviamente non avevamo quel servizio esposto fuori della rete aziendale; ovviamente avevamo i sistemi operativi che si aggiornano automaticamente; ovviamente avevamo gli antivirus aggiornati; ovviamente avevamo i backup giornalieri. Tuttavia, la sicurezza assoluta non esiste. Il virus poteva infettare un computer portatile aziendale mentre si trovava fuori dalla nostra rete, durante il fine settimana; una volta rientrato in azienda lunedì, poteva infettare tutto l'infettabile, cioè quei sistemi per cui gli aggiornamenti, per un motivo o per un altro, non si erano installati o non erano ancora applicati. Per cui abbiamo speso la mattinata a fare ulteriori (rispetto al consueto) controlli a tappeto sugli aggiornamenti dei sistemi operativi, dell'antivirus, dei backup, dei firewall dei portatili, etc. Risultato: non proprio tutto tutto era a posto (ora lo è), ma abbiamo avuto la fortuna che niente è successo; ad ulteriore dimostrazione che bisogna sempre pensarci prima. Anche perché se questa volta sono stati utilizzati questi veicoli di infezione, la prossima volta sarà qualcos'altro; ed il rischio concreto è di scoprirlo quando è troppo tardi. Purtroppo, nulla va trascurato, bisogna ridurre i rischi al minimo possibile in ogni momento.

Ricapitolando:

• mantenete aggiornati i sistemi operativi e l'antivirus
• attivate le protezioni di rete (firewall) ovunque possiate
• non vi fidate degli sconosciuti (sì, esattamente come quando eravate bambini), ancorché digitali
• fate (e mantenete aggiornati) i backup
• e soprattutto, informatevi!

P.S. Odio avere sempre ragione.

L'effetto di seguire questo blog: breve storia tristissima

Questa è la storia, assolutamente vera, di un mio amico, l'unico assiduo lettore di questo blog di cui sia a conoscenza (e che meriterebbe un applauso solo per questo). Egli ha trovato ispirazione dal mio post sui backup, e rendendosi conto dei rischi a cui i suoi dati erano sottoposti, ha deciso di intervenire (altro applauso).

La sua situazione era quella di avere i suoi dati sparsi su chiavette USB, computer, servizi cloud, un po' senza criterio e comunque senza copie di backup. Per cui, ha preso un drive USB (di un'ottima ed affidabilissima marca, che ovviamente non citerò) ed ha iniziato a spostare, da tutte queste fonti, i suoi file, in modo da riunirli ed organizzarli opportunamente, operazione che gli avrebbe permesso poi di fare facilmente le opportune copie (standing ovation). Inoltre, visto che questa operazione la effettuava da vari dispositivi fisicamente posti in luoghi diversi, ha pure cifrato il drive in questione con il programma in dotazione (nominaton all'Oscar dell'Informatica).

E proprio quando il lavoro era alla sua conclusione, il drive si è rotto. Fisicamente. Con l'unica copia di tutti i suoi dati.

Ora il drive viene sottoposto da un'azienda specializzata ad un'analisi in camera bianca per verificare se è possibile recuperarlo... tenendo presente che la cifratura comporta l'impossibilità del recupero parziale dei file, e soprattutto costi aggiuntivi.

Perché la racconto (ovviamente con la sua autorizzazione)? Non per ridere alle sue spalle... ma per riflettere ancora una volta sul fatto che i backup vanno sempre fatti prima (e bene)!

L'utilizzo consapevole degli strumenti digitali

Ricordo ancora quando entrai nel laboratorio dove avrei scritto la tesi di laurea, una stanza con qualche computer, che avevano la particolarità di avere un cavo coassiale che, attraverso dei connettori a T, passava da uno all'altro: mi spiegarono che era il collegamento di rete, al che io feci la domanda del secolo: "a che c**** serve mettere i computer in rete???". Era l'epoca in cui i computer erano roba da appassionati smanettoni, internet un nuovo giocattolo su cui il massimo dell'eccitazione era rappresentata dalle foto di Marte del primo rover americano, e i primi telefonini grossi come un libro arrivavano sul mercato (ma "non c'era campo"). La rivoluzione l'abbiamo vissuta senza nemmeno accorgercene, ed ora chiunque ha in mano un potentissimo computer miniaturizzato (che accidentalmente telefona pure), perennemente connesso senza fili ad internet, grazie alla quale siamo immersi in un mondo di informazione in tempo reale. Dove ci porterà il futuro, io non lo so, ma certamente la rivoluzione non è finita qui.

A dirla così, sembra fantastico, e senza dubbio lo è; ma vivendo la vita sia professionale che privata dal lato di "quelli che ne capiscono", la situazione non è così rosea. Questa rivoluzione è stata talmente veloce, e soprattutto guidata da interessi economici giganteschi, che ci siamo ritrovati in mano gli strumenti digitali senza preparazione. Il più grande cruccio con cui mi confronto tutti i giorni è che vedo, nella stragrande maggioranza dei casi, una mancanza di consapevolezza dei rischi che si possono incontrare nell'universo digitale. Tali rischi sono, a mio parere, di due grandi categorie: il primo è il trasferimento di nostre funzioni fondamentali (in primis: la memoria) a degli strumenti che, contrariamente a quanto ci fanno credere, non sono assolutamente infallibili; il secondo è rappresentato dagli utilizzi a scopo criminale, che in questo caso sono aggravati dal fatto che il mondo di internet è una sorta di terra di nessuno, in cui nascondersi è facilissimo.

Difendersi da questi rischi è possibile per ognuno di noi, anche senza preparazione specifica, a patto di possedere un substrato culturale in tema di informatica. Per intenderci meglio, faccio un paragone: la patente per la macchina. Spero nessuno pensi che essa sia solo una forma di estorsione voluta dei lobbisti delle scuole guida... poiché sulle strade si muore, è indispensabile che chi guida abbia una preparazione basilare, fatta sia di teoria che di pratica! E la dimostrazione che questa preparazione sia indispensabile è data proprio dal fatto che anche a chi non ce l'ha (ancora), si cerca di fornirla sotto forma di quella che si chiama "educazione stradale", perché anche chi non guida un'auto, ma si limita ad andare a piedi o in bicicletta, è parte del mondo stradale. Tutto ciò senza obbligare nessuno a prendere una laurea in ingegneria meccanica!

A pare casi estremi, con l'informatica non si muore. Ma si possono perdere soldi, oppure informazioni, che in certi casi hanno più valore del vile denaro. Inoltre, la cronaca recente ha raccontato diversi casi di quella che definirei perdita di dignità o di rispetto. Anche in questo caso, la parola chiave è prevenzione (perché "noi che ne capiamo" non possiamo far nulla se a monte sono state fatte scelte sbagliate), che è parente strettissima della consapevolezza, che a sua volta dipende dalla cultura.

Per le nuove generazioni, il compito di passare questa cultura è delle istituzioni educative (famiglia, scuola, associazioni); ma prima, ovviamente, devono essere le famiglie e gli educatori a dotarsi a loro volta di quello che prima ho chiamato substrato culturale. Se ciò non accade, il mio (personalissimo!) parere di esperto del campo è che gli strumenti digitali si trasformino in un boomerang e che siano di ostacolo, invece che di ausilio, al benessere comune.