Controcorrente: il mining in cambio della mia privacy

Giorni fa ho segnalato attraverso mio hashtag twitter #ilvecchiolupodimare la notizia che il più noto sito di ricerca di torrent (The pirate bay, appunto) utilizzava all'insaputa dei suoi utilizzatori una parte del processore ospite per fare il mining delle criptovalute. Ammetto di essere piuttosto ignorante sull'argomento criptovalute, comunque i concetti fondamentali che servono a capire la questione sono:

• le criptovalute sono monete elettroniche, virtuali, non regolamentate né controllate da organismi governativi ed economici tradizionali
• tuttavia hanno un valore corrispondente nelle valute normali, ed un loro mercato (cioè il loro valore corrispondente aumenta o diminuisce in continuazione)
• il mining è l'elaborazione necessaria alla creazione di una nuova "porzione" di valuta (equivalente al conio di una nuova moneta)    

Per farla breve, poiché il mining è un'operazione che richiede enormi risorse di elaborazione, che ovviamente costano denaro sonante, il sito in questione guadagna soldi (virtuali, ma con corrispondente valore reale) usando invece le risorse dei suoi utilizzatori, anche se in questo caso (ripeto) a loro insaputa.

Sullo stesso argomento ho trovato un altro interessante articolo, che mette in evidenza un altro aspetto (che avevo intuito da solo, credetemi): cioè la possibilità che questo tipo di guadagno, da parte di chi offre un servizio gratuito (in questo caso anche illegale...), possa sostituire quello legato alla pubblicità, e quindi anche alla raccolta dei nostri dati per personalizzarla.

Agli albori di internet (fine anni '90), rimasi affascinato dal progetto SETI@home: si tratta di un software che permette di partecipare, attraverso un concetto di elaborazione distribuita, all'analisi dei segnali elettromagnetici provenienti dallo spazio, e raccolti da radiotelescopi sparsi in tutto il mondo, per la ricerca di segnali di origine non naturale (e che quindi potessero provenire da civiltà aliene tecnologicamente avanzate). Il principio è quello di partecipare, ognuno con le sue risorse, ad una causa comune, e scientificamente rilevante, diminuendone i costi.

Proviamo a sostituire al principio "nobile" quello più concreto della giusta mercede di chi lavora per offrirci i servizi che tanto utilizziamo giornalmente.

Concentrandomi solo sul lato tecnico della questione, la mia riflessione è stata questa:

1. un processore di un personal computer lavora normalmente meno del 10% del tempo; quindi c'è un margine di almeno il 90% che è semplicemente inutilizzato
2. se potessi, evitare volentieri di rinunciare alla privacy per accedere ai servizi (falsamente) gratuiti
3. anche se riconosco che molti di questi servizi lo meriterebbero, mi viene difficile pensare di pagare soldi veri per poterli utilizzare

Per cui mi dico, e vi propongo: non potrebbe essere il tempo di inattività del nostro processore la moneta con cui pagare i servizi che ci vengono offerti sula rete? Con l'ulteriore vantaggio che se il mining avviene solo quando utilizziamo il servizio, anche il "pagamento" sarà proporzionale all'effettivo utilizzo.

Certo, di questioni su cui porre molta attenzione prima che questa diventi una pratica reale, ce ne sono. La prima, ovviamente, la libertà di scelta: se non voglio il mining, posso continuare ad utilizzare i metodi tradizionali. Poi, porre un limite all'utilizzo del processore (mica voglio averlo al 100% tutto il giorno...). Ancora, la sicurezza di non avere accessi illegittimi ai miei dati (è pur sempre il mio computer). Infine, bisogna avere l'assoluta certezza della legalità dell'operazione e della finalità di mining.

Ma queste questioni sono superabili, se c'è la volontà degli operatori di porre in atto questa possibilità; e gli operatori investiranno solo se vedranno un reale interesse da parte dell'utenza, cioè noi. Io sono pronto: e voi, ci state?

Attendo risposte.

AGGIORNAMENTO
Anche SafeBrowse colta con le mani nel sacco a fare mining all'insaputa dell'utente.
Interessante, nell'articolo, la parte delle possibili controindicazioni al mining sui personal computer.

AGGIORNAMENTO 2
Qualcuno ha fatto i conti in tasca a Bitcoin, ma anche alle altre criptovalute: serve tanta energia, che ha notevole impatto sull'ambiente. Che resta, come anche i soldi (veri) spesi per il mining; mntre la criptovaluta, chissà...

NO, I DON'T WANNA CRY!!!

Spero almeno questa volta che tutti sappiano di cosa parliamo: il famigerato virus soprannominato WannaCry ("voglio piangere": un premio all'inventore del nome), che ha creato scompiglio negli ultimi giorni in un po' tutto il mondo.

Cosa è successo, è stato abbondantemente raccontato, anche se coi consueti toni sensazionalistici e più o meno grandi inesattezze, anche dai giornali generalisti: il virus cifra tutti i file importanti dei computer (rigorosamente Windows, questa volta) rendendoli inservibili, richiedendo un riscatto per decifrarli; la diffusione avviene via rete grazie ad un errore presente nell'implementazione di un servizio, peraltro noto e risolto lo scorso marzo.

Ciò che voglio sottolineare è che al di là dei già citati toni sensazionalistici, ciò che dominava nelle notizie era la sorpresa: come è potuto succedere una cosa del genere? Inaudito! Peccato che non a tutti la cosa suona come nuova: per esempio, in questo interessante post dello scorso dicembre, più o meno tutto veniva preannunciato, sottolineando come i ransomware (la classe di virus a cui appartiene WannaCry) sono, già da qualche anno, il più grosso pericolo che circola nella Rete mondiale (il fatto che l'autore del post sia il sottoscritto è, ovviamente, puramente casuale... 😊).

I più attenti dei miei 7 o 8 lettori noteranno che non avevo previsto tutto: per esempio, non avevo previsto lo sfruttamento del baco (ma già citavo la possibilità di infezione da computer a computer via rete). In effetti un errore l'avevo commesso: tra le raccomandazioni che già ponevo alla vostra attenzione, non c'era quella di tenere aggiornato il sistema operativo; ed in effetti, confesso di essere stato io per primo mancante (nessuno è perfetto). Ma il punto fondamentale di questa storia non è nemmeno questo, o il baco, o il ruolo dell'NSA, o chissà cos'altro: è invece il fatto che il punto di ingresso dell'infezione, nei sistemi di un particolare ente, era il servizio accessibile da chiunque nel mondo, perché esposto su internet! La base di tutte le protezioni informatiche è il filtraggio delle connessioni di rete (soprattutto quelle pubbliche, cioè attraverso internet, tramite un sistema chiamato firewall), impedendo tutte quelle non indispensabili. Scommetto che molti non sanno di cosa sto parlando; e scommetto pure che si stupirebbero, scoprendo che sul router che avete installato a casa per la connessione internet, il firewall è presente; e scommetto anche che nella stragrande maggioranza dei casi, è disattivato. Se tutto ciò è vero, di che che potete lamentarvi? Il virus ve lo me-ri-ta-te!

Finita la filippica, passiamo ora ai consigli. Lo faccio attraverso un esempio molto pratico, cioè quello che abbiamo fatto (io e soprattutto i miei collaboratori) in azienda.

Ovviamente avevamo un firewall; ovviamente non avevamo quel servizio esposto fuori della rete aziendale; ovviamente avevamo i sistemi operativi che si aggiornano automaticamente; ovviamente avevamo gli antivirus aggiornati; ovviamente avevamo i backup giornalieri. Tuttavia, la sicurezza assoluta non esiste. Il virus poteva infettare un computer portatile aziendale mentre si trovava fuori dalla nostra rete, durante il fine settimana; una volta rientrato in azienda lunedì, poteva infettare tutto l'infettabile, cioè quei sistemi per cui gli aggiornamenti, per un motivo o per un altro, non si erano installati o non erano ancora applicati. Per cui abbiamo speso la mattinata a fare ulteriori (rispetto al consueto) controlli a tappeto sugli aggiornamenti dei sistemi operativi, dell'antivirus, dei backup, dei firewall dei portatili, etc. Risultato: non proprio tutto tutto era a posto (ora lo è), ma abbiamo avuto la fortuna che niente è successo; ad ulteriore dimostrazione che bisogna sempre pensarci prima. Anche perché se questa volta sono stati utilizzati questi veicoli di infezione, la prossima volta sarà qualcos'altro; ed il rischio concreto è di scoprirlo quando è troppo tardi. Purtroppo, nulla va trascurato, bisogna ridurre i rischi al minimo possibile in ogni momento.

Ricapitolando:

• mantenete aggiornati i sistemi operativi e l'antivirus
• attivate le protezioni di rete (firewall) ovunque possiate
• non vi fidate degli sconosciuti (sì, esattamente come quando eravate bambini), ancorché digitali
• fate (e mantenete aggiornati) i backup
• e soprattutto, informatevi!

P.S. Odio avere sempre ragione.