533K di dati Facebook in pasto a chiunque

E’ molto probabile che il tuo account di Facebook sia stato violato.

Lo rivela Alon Gal su Twitter, annunciando che i dati di 533 milioni di utenti di Facebook, (telefono, facebook ID, nome e cognome, località, luoghi visitati, data di nascita, indirizzo e-mail, data di creazione dell’account, situazione sentimentale, ecc…) sono stati trafugati e ceduti “gratuitamente” su Telegram.

Facebook, come al solito, non chiarisce granchè ma sottolinea soltanto che si tratta di uno “scraping” risalente al 2019, facendo riferimento a un vecchio articolo apparso su CNET (anche se, per inciso, Wired, sostiene che Facebook si riferisca a un’altra storia), attraverso una funzione di importazione dei contatti che ora non più utilizzabile ma che faceva parte delle opportunità concesse agli utenti.
Come dire: è colpa vostra!

Si è vero. E’ colpa vostra.

Non per aver sottovalutato la funzione incriminata (per la quale non avete nessuna resonsabilità ma di chi ha permesso l’accesso a quelle informazioni non visibili) ma per avere un account sul social più merdoso del mondo che non protegge gli account e neanche li avvisa di eventuali vulnerabilità.

E’ quello che si chiede anche il Garante per la privacy italiano nell’istruttoria che interessa la violazione di 36 milioni gli utenti italiani (oltre il 90% degli utenti iscritti).

Tanto FaceApp per nulla?

Non è strano e neanche insolito che le applicazioni che fanno applicare filtri alle proprie foto sono tra le più scaricate. Poi se son fatte bene e il filtro è accattivante il successo è assicurato.

E’ proprio quello che è successo a FaceApp: invecchiarsi all’improvviso ha intrigato tutti, anche molti Vip che, come al solito, hanno tirato la volata all’app. Filtri del genere ce n’erano già ma il miglioramento software ha fatto davvero la differenza. In poco tempo i social sono stati invasi da circa 8 milioni di facce invecchiate.

Proprietaria dell’applicazione è la società russa Wireless Lab di Yaroslav Goncharov, ex manager di Yandex (il Google russo), che l’ha lanciata un paio di anni fa redendola disponibile sugli store in versione gratuita (ma bisogna passare a quella “Pro” per utilizzare tutte le funzioni disponibili).

Come tutte le app chiede l’accesso alle foto dello smartphone ma, come spiegato da Wired, non dice che i dati vengono inviati ai propri server, dove praticamente avviene la modifica, e qui conservati per un tempo non definito, prima di essere rispediti indietro allo smartphone di partenza.

Alle richieste di spiegazioni Wireless Lab ha risposto che i dati restano sui server per il tempo necessario all’elaborazione per poi essere cancellati e che nessun dato resta in territotio russo e che, in fondo, l’utente può sempre chiedere la cancellazione (anche se il procedimento è piuttosto complicato).

Alla parola “territorio russo” saltano tutti sulla sedia e si allarmano, perchè nell’immaginario collettivo (creato in anni e anni di perseveranza americana) è la terra dei cattivi per antonomasia: quella degli hacker che rubano informazioni e manipolano anche le elezioni (peccato che a beneficiarne è stato proprio il più amato degli americani)…  Tutto regolare e funzionale alla logica dell’americano medio, se non fosse per un piccolo particolare, che i server della Wireless Lab non sono in Russia ma su server in cloud di Amazon e di Google.

L’eco che arriva anche sulla stampa nostrana è lo stesso partito dalle preoccupazioni di alcuni senatori USA che hanno invitato tutti a disinstallare l’app perchè, si sa, la parola “russo” fa effetto anche da sola.   Ma non è che FaceApp sia proprio il male assoluto; in fondo tutte le applicazioni di questo tipo, alla fine, fanno più o meno le stesse cose. Anzi il diabolico trio di Zuckeberg (Facebook, Instagram e WhatsApp) fa anche peggio, per non parlare poi di quello che Google fa con i nostri dati.

C’è differenza? Non molto.  A parte il fatto che alcune app descrivono più o meno dettagliatamente dove si trovano i nostri dati e un po’ meno cosa si fa con essi, per il resto sappiamo bene che è meglio non fidarci e non usarle.

Ma è, come si dice dalle mie parti, “acqua santa persa” perchè non conosco molte persone che si preoccupano di leggersi tutto prima di installare un’app e soprattutto si rifiutino di autorizzarle a manipolare tutto sul nostro smartphone: dalla rubrica all’archivio, dalla fotocamera al microfono.

E quindi? Tanto rumore per nulla?

Per nulla proprio no, ma l’importante che un utente completamente immerso tra WhatsApp, Instagram, Facebook, Google, ecc… si preoccupi delle foto che viaggiano verso la Russia distraendosi, anche solo per poco tempo, di quello che fanno le solite multinazionali del digitale; tanto a tenere i nostri dati  al “sicuro” ci pensano proprio loro… sempre.

La criptomoneta di Facebook

La nuova moneta che un gruppo capitanato da Facebook si appresta a lanciare si chiamerà Libra ma le diffidenze stanno già crescendo giorno dopo giorno e negli USA ne chiedono già lo stop.

E’ progettata sulla blockchain ed è realizzata in partnership con Mastercard, Visa, Vodafone, Uber, eBay, Booking.com, Spotify, PayPal e altri, in un consorzio che al momento raggruppa 28 aziende del neo anarco-capitalismo americano.

Libra, secondo i supporters, non dovrebbe oscillare come i bitcoin poichè sarà agganciata a titoli e obbligazioni che ne dovrebbero ridurre la sua fluttuazione e per questo motivo molti la associano più ai JPM Coin di J.P. Morgan che ai bitcoin.
Il sistema dovrebbe avere una platea di utenti che supera i 5 miliardi di utenti di Facebook (Messenger), Instagram e WhatsApp, oltre a quelli di eBay, Spotify e Booking.com, ecc…. e che quindi, nelle intenzioni dei suoi promotori, dovrebbe diventare la moneta esclusiva degli scambi in digitale.

L’idea non è proprio nuovissima, non solo per la presenza oggi dei bitcoin e altri valori di scambio similari, ma perchè, almeno in linea generale, a me ricorda tanto il tentativo che fece Second Life con la sua moneta, i Linden Dollar (lanciati nel 2006 – erano necessari 260 Linden Dollar per avere un dollaro), che doveva alimentare l’economia di quell’ecosistema globale. Me lo ricorda perchè l’idea di avere tra le mani tante persone chiuse in uno stesso recinto (allora era un metaverso) alla fine incrementa strani appetiti. Credo che lo stesso sia stato per WeChat in Cina (ma anche in questo caso il legame con la valuta resta iprescindibile).

Probabilmente quello che pensò di fare Linden Lab potrebbe riuscire meglio a Zuckeberg e Co. per via di una maggiore apertura e facilità d’uso della sua piattaforma, oltre che per la numerorità degli utenti.
Certamente è un passo in più verso quell’immaginario anarco-capitalista che dall’inizio degli anni ’90 rappresenta la meta ambita di questi nuovi imprenditori in digitale e che risponderebbe alle domande e alle speranze che quell’anarco-economista von Hayek chiama “libertà di scegliere la moneta più consona” (“Denationalisation of Money”, 1990).

Datacrazia. Politica, cultura algoritmica e conflitti al tempo dei big data.

Anticamente per individuare una casa o un qualsiasi altro edificio, per scopi demografici e fiscali, si faceva riferimento all’isolato, alla parrocchia di appartenenza, al quartiere o alla vicinanza di un incrocio. Il sistema era abbastanza incerto e i grandi proprietari immobiliari iniziarono ad apporre sugli edifici un numero che veniva poi riportato nei propri inventari.  Quest’idea, estesa poi alle principali città, divenne il sistema stabile e convenzionale di numerazione degli edifici urbani utilizzato, soprattutto, per scopi fiscali e militari.

Sicuramente non sarà stata questa la prima raccolta seriale di dati ma certamente rappresenta un primo approccio politico alla sistemazione di una certa quantità di dati, quelli che poi diventeranno big data. Ovviamente non ancora in senso quantitativo e automatizzato ma un’idea del controllo massivo attraverso i dati c’era già tutto.

Questa tendenza non solo all’ordinamento e catalogazione, come per le reti di biblioteche, ma soprattutto al controllo, come quello più eclatante della città-stato di Singapore (dove il primo ministro Lee Hsien Loong, con la scusa di rincorrere una città “super smart”, ha imposto una trasparenza totale a tutti i cittadini in modo da conoscere tutto il possibile di tutti),  è stata chiamata “datacrazia” da Derrick de Kerckhove e proprio di Datacrazia si occupa, ed è intitolato, il libro curato da Daniele Gambetta, in libreria per i tipi di “D Editore”.

Datacrazia non è un solito libro che parla di big data ma un’antologia di saggi che indagano, in modalità interdisciplinare, tutto l’universo che ruota intorno alla raccolta e analisi dei dati in rete.  Perché è importante parlare a 360° dei dati e del loro utilizzo?  Semplice, perché sono loro a parlare di noi, comunque. I nostri dati ci definiscono, ci catalogano, ci illustrano, ci identificano, ci precedono e raccontano tutto di noi, sintetizzandosi in un “profilo” che, se ben corredato e schematizzato, viene utilizzato per gli scopi più impensabili. Da chi e per cosa e che potere di controllo resta a noi e quello che capiremo solo se iniziamo a interessarcene e se smettiamo di credere che la cosa non ci riguardi (o che “tanto non abbiamo nulla da nascondere”).

Un errore molto comune e quella tendenza ad associare il concetto di “dato” all’aggettivo “neutrale” che poi traina con se quello di “impersonale”. In verità dopo la comparsa degli algoritmi e dell’uso della machine learning, i dati sono tutto tranne che impersonali. Ma forse, come dice Alberto Ventura nella prefazione del libro, “in fin dei conti non c’è nulla di più rassicurante di sapere che qualcuno ti controlla, ti coccola, ti da attenzione”.

Questa frase mi ha fatto subito riaffiorare alla mente quando da bambini ci parlavano dell’angelo custode e di un dio che ci guardava con l’occhio della provvidenza (una specie di occhio di Sauron), ma su questo ci sarebbe da aprire un capitolo a parte, a partire da “Sorvegliare e Punire” di Foucalult.

Possiamo intanto partire dalla base, ovvero dall’algoritmo: quella semplice successione di istruzioni che, definendo una sequenza di operazioni da eseguire, raggiunge un obiettivo prefissato. E’ un concetto semplice e antico, se ne trovano tracce in documenti risalenti al XVII secolo (nei papiri di Ahmes) e forse il primo che ne parlò in modo specifico fu il matematico persiano al-Khwarizmi. Sostanzialmente è come quando seguite una ricetta per realizzare il vostro piatto preferito: avete gli ingredienti e un procedimento preciso a cui attenersi. L’enorme diffusione di PC e di device mobili ha massificato i processi di digitalizzazione (e datafication) e quei semplici algoritmi, integrati in motori di ricerca, in siti di news, in piattaforme di e-commerce e social networking, ecc…, si trasformano e diventano “decisori”.  Un fenomeno talmente ingigantito da essere definito “big data”. Poi più è vasta la quantità di dati più c’è la necessità di nuovi e più efficienti meccanismi di analisi.  Per farci un’idea di questa quantità di dati Daniele Gambetta, nell’introduzione al libro, cita uno studio di Martin Hilbert e Priscila López, secondo il quale nel 2013 le informazioni registrate sono state per il 98% in formato digitale (stimate intorno a 1200 Exabyte) e solo per il 2% in formato analogico; si pensi che nel 2000 le informazioni registrate in formato digitale erano state soltanto il 25%  mentre il resto era ancora tutto in analogico.

Il problema ancor più rilevante, e insieme preoccupante, è che questa grande quantità di dati è sotto il controllo di poche persone, come Zuckerberg che con Facebook (e Instagram e WhatsApp) raccoglieil più vasto insieme di dati mai assemblato sul comportamento sociale umano”.  Poi Amazon, Google, Reddit, Netflix, Twitter, ecc…, estraggono una infinità di dati dai miliardi di utenti che si connettono alle loro piattaforme; ne modellano la loro esperienza digitale, per offrire l’informazione più pertinente e il consiglio commerciale più giusto o, potremmo dire meglio, quello che probabilmente l’utente si aspetta di vedere.   Così, per esempio, il “recommender algorithm” di Amazon suggerisce cosa comprare insieme all’oggetto che si sta acquistando o Netflix consiglia il film o la serie in funzione di ciò che si è guardato in precedenza (David Carr ha raccontato che Netflix, attraverso l’analisi dei dati degli utenti, decide anche quali serie produrre). L’algoritmo ormai sa cosa piace alle persone in base all’età, alla provenienza; sa quando tempo si passa sul social, cosa si guarda, su cosa si mette il like, cosa e con chi si condividono i contenuti. E’ ovvio che alla fine ci darà solo quello che ci piace (e come si fa a non appassionarsi a questo?).

E’ la banalità dell’algoritmo, secondo Massimo Airoldi (autore in Datacrazia de “L’output non calcolabile”), cioè quella di creare una cultura incoraggiata da miliardi di stimoli automatizzati che pian piano deformano le lenti attraverso cui guardiamo o immaginiamo la realtà. Per cui su Facebook non vedremo più i post dei contatti con i quali interagiamo raramente; su Google troveremo soltanto link a pagine con ranking molto alto e su Amazon solo libri comprati in coppia. Insomma tutto ciò che “algoritmicamente è poco rilevante viene escluso dal nostro vissuto digitale”.  Siccome ormai le macchine che gestiscono i nostri dati, ci conoscono molto meglio di noi stessi, secondo Floridi è una rivoluzione che ha completamente trasfigurato la realtà.

Ma la sostanza è che i dati sono merce ed hanno un grande valore nella misura in cui si possiede un’elevata capacità di estrazione e di analisi. Il dato è caratterizzato da valore d’uso (come la forza lavoro) che si trasforma in valore di scambio all’interno di sistemi produttivi che utilizzano la tecnologia algoritmica.  La business intelligence di queste aziende è quella di estrarre valore dai dati attraverso un ciclo di vita che parte dalla “cattura”, o meglio dall’espropriazione (come la definisce Andrea Fumagalli nel saggio “Per una teoria del valore rete” in Datacrazia), poi li organizza e li integra (aspetto produttivo del valore di scambio), successivamente li analizza e li commercializza.

Questo è il processo di valorizzazione dei big-data ed è la strutturazione del capitalismo delle piattaforme, cioè “quella capacità delle imprese di definire una nuova composizione del capitale in grado di gestire in modo automatizzato il processo di divisione dei dati in funzione dell’utilizzo commerciale che ne può derivare”.  Gli utenti delle piattaforme forniscono la materia prima che viene sussunta nell’organizzazione capitalistica produttiva. Il capitale sussume e cattura le istanze di vita degli essere umani, le loro relazioni umane, le forme di cooperazione sociale e la produzione di intelligenza collettiva, portandole a un comune modo di produzione.

Gli algoritmi delle piattaforme sono le moderne catene di montaggio che fanno da intermediari tra i dati e il consumatore, concentrando al loro interno il potere e il controllo di tutto il processo.

Ma ovviamente i dati devono essere buoni e puliti, perché “se inserisci spazzatura esce spazzatura”, com’è accaduto al Chat-Bot Tay di Microsoft  che, vittima dei troll su Twitter, nel giro di 24 ore è diventato uno sfegatato nazista (il suo ultimo twit è stato: “Hitler was right I hate the jews”).

A differenza dei vecchi software il cui codice scritto spiega loro cosa fare passo per passo, con il Machine Learning la macchina scopre da sola come portare a termine l’obiettivo assegnato. Federico Najerotti (autore in Datacrazia del saggio “Hapax Legomenon”) spiega che non si tratta di pensiero o di intelligenza ma solo di capacità di analizzare, elaborare, velocemente una grande quantità di dati.  Se un software impara a riconoscere un gatto in milioni di foto, non significa che sappia cos’è un gatto. La stessa cosa vale per quei computer che battono gli umani a scacchi: in realtà non sanno assolutamente nulla di quello che stanno facendo.

Si tenga comunque in conto che gli algoritmi non sono neutrali: prendono decisioni e danno priorità alle cose e, come dice Robert Epstein, basterebbe “cambiare i risultati delle risposte sul motore di ricerca Google, per spostare milioni di voti” senza che nessuno ne sappia niente.

Anche il “Deep Learning” (recente evoluzione del Machine Learning, che lavora su un’enorme massa di strati interni alle reti neurali) che simula il funzionamento del cervello, fa più o meno la stessa cosa.  L’esplosione, anzi, l’accelerazione di questi processi, stanno riportando alla luce, in qualche modo, una sorta di nuovo positivismo: la potenza di calcolo viene assunta come essenziale valore di verità a discapito della capacità critica dell’uomo.

Un caso esemplare è rappresentato dalle “auto autonome” e il vecchio “dilemma del carrello”: ovvero come fa un’auto senza conducente a decidere se investire una persona o investirne altre sterzando improvvisamente?  Luciano Floridi dice che il problema è stato già risolto nel XIII secolo da Tommaso D’Aquino e che la cosa di cui dovremmo preoccuparci è capire come evitare di trovarci in una condizione del genere. Ovviamente la risposta è una soltanto: il controllo ultimo dev’essere sempre nelle mani dell’uomo!

Ma “cedere i propri dati significa cedere alcuni diritti e dovrebbe essere una scelta consapevole” (Daniele Salvini, “Son grossi dati, servono grossi diritti” in Datacrazia) oltre che essere remunerata. Purtroppo l’individuo si trova in un rapporto asimmetrico all’interno del quale  non può neanche quantificare il valore dei propri dati, poiché questi sono commerciabili solo in grosse quantità. Quando Facebook ha acquistato WhatsApp per 19 miliardi di dollari ha acquistato i dati di 400 milioni di utenti, cioè $ 40 a utente, solo che questi non ha preso un soldo da quella vendita.

Non solo non si guadagna e ci si rimette in diritti ma anche le libertà individuali subiscono una certa contrazione. Queste nuove tecnologie hanno anche ampliato e potenziato le politiche pervasive di controllo. Predpol è un software in uso da diverse polizie degli Stati Uniti che, grazie all’analisi di dati online, dice di riuscire a prevenire una generalità di crimini. Uno studio dell’Università della California ha mostrato come nelle città in cui PredPol viene utilizzato (Los Angeles, Atlanta, Seattle) i crimini si siano ridotti mediamente del 7,4%; il problema è che del gruppo di studio facevano parte anche due fondatori del software PredPol (infatti  i risultati sono stati messi in dubbio da uno studio dell’Università di Grenoble).  Ma il problema non è solo l’efficienza dell’algoritmo quanto il rischio che la polizia prenda di mira determinati quartieri (quelli abitati da minoranze etniche e immigrati) con una classica profilazione razziale.

In conclusione, ho cercato di dare proprio un modestissimo assaggio della grande quantità di argomenti e analisi che troverete nel libro che, come dicevo, è un’antologia divisa in sezioni: una prima di introduzione , una dedicata alla ricerca, un’altra all’intelligenza artificiale, poi all’analisi della pervasività delle nuove tecnologie e l’ultima che riguarda le strategie tecnopolitiche ispirate ai progetti sperimentati a Barcellona durante il 15M.  Non troverete soluzioni dirette o indicazioni precise come rimedio ma in compenso avrete ampie analisi che potrebbero indicare una strada. Certo, come ci ricorda Daniele Gambetta,  “elaborare piattaforme collaborative e non estrattive, creare strumenti di indagine e inchiesta che svelino i meccanismi, spesso proprietari e oscuri, degli algoritmi che determinano le nostre vite, far emergere contraddizioni utili nel rivendicare il proprio ruolo di sfruttati diffusi rimettendo al centro la questione del reddito, sono strade senz’altro percorribili”.

 

Datacrazia, a cura di Daniele Gambetta, D Editore, Roma, 2018, 364 pagine, € 15,90.

 

Cryptojacking

I bitcoin (o qualsiasi delle 900 cryptovalute ormai in circolazione) sono delle monete virtuali generate da un computer e usate esclusivamente in rete.  Non è una moneta ufficiale e non ha una banca o uno stato che li emetta ma un software distribuito che, utilizzando internet, memorizza tutte le transazioni, ne tiene traccia e ne garantisce la sicurezza.  Ci sono però alcuni stati, come il Giappone, che ne riconoscono validità, valore e corso legale.

Ancora oggi non si sa bene chi ne sia stato l’inventore. In rete viene chiamato Satoshi Nakamoto e Newsweek, nel 2014, provò a fare alcune ipotesi sulla sua identità.    Una cosa è certa ed è che Nagamoto è stato un attuatore delle teorie anarco-capitaliste di Rothbard.

Con la blockchain Nagamoto ha cercato di mettere su un sistema valutario decentralizzato, indipendente dai poteri centrali e regolato solo dai mercati. La disponibilità di bitcoin è prefissata (scarsità), perchè il suo prezzo non deve rispettare le politiche monetarie o le variazioni di tasso di interesse, ma dipendere esclusivamente dalla domanda sul mercato.  Anche se non c’è nessun divieto ad accumularli o «che enti intermediari, basandosi sulla necessità di utenti meno esperti di monitorare e gestire il loro gruzzolo (i cosiddetti wallet), divengano col tempo dei centri importanti della rete. Di peer-to-peer, inteso come rapporto tra pari basato sul mutuo appoggio e la solidarietà, c’è davvero poco. Ci sono delle differenze insuperabili, basate sulla competenza tecnica e i mezzi a disposizione, tra utenti medi e miners, ossia i produttori di nuovi bitcoin. Perché è un’operazione molto onerosa da un punto di vista computazionale ed energetico. Chi può e chi ci arriva prima ha due moventi: domina la tecnica o ha grossi fondi da investire, gli altri sono dei perdenti. La retorica della disintermediazione fa presa sui narcisisti ego-riferiti che pensano di poter fare a meno degli altri.»  (dal gruppo Ippolita)

Tecnicamente il sistema usa il protocollo proof-of-work con l’algoritmo hashcash (usato nelle applicazioni di posta elettronica) che dovrebbe scoraggiare gli attacchi DOS o tentativi di contraffaziomni o sottrazioni, all’interno di una rete peer-to-peer, con l’unica differenza che, in questo caso, gli hash rendono competitivo il mining.  Praticamente il primo miner che, attraverso un software (che deve trovare determinate stringhe di codice all’interno dei  blocchi di dati che ricostruiscono le transazioni), riesce a trovare la stringa corretta, viene ricompensato con un numero di criptomonete prestabilito.

Il miner esegue un programma nel pc che raccoglie, dagli scambi di monete online, tutte le transazioni non confermate, ne forma dei “blocchi” che saranno accettati dalla rete soltanto quando viene scoperto (tramite un metodo di prova ed errore) un hash con un sufficiente numero di zero bit che raggiunga l’obiettivo. Tutti i blocchi accettati dai miner formano una catena di blocchi di bitcoin (blockchain) che diventa il registro crescente di tutte le transazioni effettuate dalla creazione della moneta ad oggi.

Il sistema P2P fa si che tutti gli utenti verifichino tutte le transazioni: quando avviene un pagamento in bitcoin, tutti i computer collegati alla rete debbono risolvere un problema crittografico e il primo computer che ci riesce conferma il blocco di transazioni aggiungendolo alla blockchain generale che è l’unico posto dove vengono registrate le transazioni e che tiene il conto sia della quantità di bitcoin in circolazione che dei loro proprietari.  La blockchain  impedisce, per esempio, che un utente possa spendere i bitcoin già spesi, poiché il loro passaggio di proprietà è stato registrato ed è accessibile a tutti.  I proprietari vengono identificati da un codice e tutte le transazioni da una chiave pubblica (che verifica l’operazione) e da una chiave privata (che autorizza la transazione) da custodire gelosamente perchè è l’unica cosa che garantisce i soldi (ecco perchè è possibile rubarli, chi ha la chiave privata ha anche i soldi).

E’ la blockchain che fa quello che farebbe una banca: assicurarsi dell’esatta entità del conto dell’utente, prelevare i soldi che sono stati spesi e registrare l’operazione.

Oltre al “normale” pericolo di essere derubati della chiave privata c’è anche un pericolo per chi di criptomoneta non ne ha mai senito parlare ed è quello di diventare un miner senza saperlo.

E’ il cosiddetto “cryptojacking” che consiste nel minare criptovalute a discapito di computer ospiti (o zombi).  Sostanzialmente si infetta un dipositivo e lo si fa lavorare (CPU e/o scheda grafica) a suo discapito. Ormai i cracker sono quasi tutti impegnati a sfruttare le vulnerabilità (soprattutto JavaScript) per infilare nei computer delle vittime dei software di cryptomining. Le ultime analisi di sicurezza parlano anche delle pubblictà “DoubleClick” su YouTube e di quelle su Amazon quali maggiori responsabili di infezioni da estrattori di criptovaluta.

Neanche gli smartphone sono esclusi da questi attacchi, anche se la loro potenza di calcolo è trascurabile, Secondo Malwarebytes, quest’attività è diventata la seconda forma di crimine informatico attualmente più diffusa sui dispositivi Android, mentre sui dispositivi iOS si registra un trend in veloce crescita (nell’ultimo trimestre del 74%).

In alcuni casi non si installa nulla sul dispositivo ma lo si fa lavorare direttamente in una pagina web (drive-by cryptominin), ovviamente se si chiude la navigazione l’estrazione s’interrompe. Poi ci sono i “pop-under”  che non vedi perchè si aprono sotto la barra delle applicazioni e anche quando credi di aver abbandonato il sito la scheda continua a lavorare.

In generale sono attacchi che consumano un’enormità di risorse del computer vittima e che quindi rallentano notevolmente il suo normale funzionamento; per cui se notate un eccessivo rallentamento e/o un riscaldamento (ventole super accese), oppure un sito eccessivamente lento, installate adblock in modo da poter gestire tutta la pubblicità online del vostro browser.

Per finire c’è anche un cryptomining “etico” nel senso che l’utente lo sa già dall’inizio che quella data società succhia potenza di calcolo del PC ofrrendo in cambio qualche servizio senza pubblicità, e quello “collaborativo” di quei siti che offrono di farti minare con loro prendedosi delle commissioni (20/30%) su ogni guadagno.

L’ignavia nel web

Come nasce lo slogan “se è gratis allora il prodotto sei tu” lanciato da Time nel 2010?

Inizialmente dalla consapevolezza che se un’azienda regalava (quella che sembrava) la propria “merce/servizio” voleva dire, ovviamente, che il guadagno stava da un’altra parte.

All’inizio tutti abbiamo pensato che sorbirci la pubblicità, più o meno invadente, per usufruire di un servizio gratis, era il giusto prezzo o il male minore. Eravamo già abituati a quel modello imprenditoriale anni ‘90 proveniente dalle radio e TV private che affollavano i propri programmi di pubblicità e che su internet si traduceva in siti pieni zeppi di banner.  Poi un’idea un po’ più precisa ce la siamo fatta quando quella pubblicità è diventata sempre più precisa e sempre più in linea con i nostri desideri. Insomma un sospetto che quel social, quel motore, quel sito di e-commerce ci conoscesse almeno un pochino l’abbiamo avuta.  Un sospetto che si è fatto sempre più forte e preoccupante quando i siti hanno iniziato a farsi la lotta a colpi di spazio cloud di servizi on line gratuiti. Si è pure giocato sulla “minaccia del pagamento” per far accrescere i clienti. Vi ricordate le notizie che ciclicamente uscivano sul pagamento di WhatsApp (ma anche di Facebook)? Questa falsa notizia, spinta ad arte, ad ogni tornata raccoglieva qualche milione di utenti in più. Ma non solo, con il passaggio di piattaforma (dal pc allo smartphone) le aziende digitali si sono ritrovati fra le mani una miniera d’oro ricca di dati e senza alcun limite o restrizione. Una sorta di nuova corsa alla conquista del west. In un solo colpo si potevano raccogliere utenti distratti e poco preoccupati della privacy e una quantità di informazioni a cui nessuno avrebbe mai pensato di poter accedere: la rubrica telefonica, la fotocamera, il microfono e tutti i contenuti presenti sull’apparato, anche quelli che apparentemente sembravano non servire a nulla.

fonte: http://www.juliusdesign.net/28700/lo-stato-degli-utenti-attivi-e-registrati-sui-social-media-in-italia-e-mondo-2015/?update2017

Dalla tabella qui sopra possiamo comprendere l’enormità di dati di cui stiamo parlando; ma se questo numero non vi sembra abbastanza grande, provate a prendere su Facebook, anche soltanto di un mese, le vostre foto, i vostri messaggi (anche quelli privati), le news che avete linkato, i post che avete fatto e i like che avete lasciato, poi moltiplicatelo per 2 miliardi e forse vi farete un’idea approssimativa della quantità di dati che il social immagazzina in un solo mese.  Pensate che solo questo semplice calcolo fa valutare 500 miliardi di dollari Facebook in borsa. Poi dovreste ancora moltiplicare per altri software installati sul PC e altrettante App, anche quelle che vi sembrano più innocenti, presenti sullo smartphone ma così, giusto per avere un ordine di grandezza e, vi assicuro, sarete ancora lontani.  Questa grandezza numerica forse ci fa comprendere le motivazioni di un’ignavia strisciante che gira intorno e dentro il web e che ha fatto da ammortizzatore anche a bombe come quella di Cambridge Analytica.

Io ero convinto che sarebbero esplosi definitivamente tutti i ragionamenti intorno alla privacy, all’informazione manipolata e tossica e al controllo degli utenti e che in qualche maniera Zuckerberg ne sarebbe uscito malconcio. Ma come dimenticare che nel lontano 2003, quindi in un periodo ancora pre-social-autorappresentativo, aveva avuto problemi simili in tema di violazione della privacy con quella sorta di beta di Facebook, ma non subì alcuna conseguenza, anzi da lì comprese definitivamente qual era la sua merce principale.

La vicenda di Cambridge Analytica non è diventata poco credibile perché intricata o distopica, è solo passata indolore tra le fila degli utenti del social,  per via della sua intersecazione al “normale” piano di condivisione e autorappresentazione a cui gli utenti dei social sono abituati e a cui non intendono rinunciare.

Gli utenti di Facebook non sono diminuiti quando si è scoperto che Cambridge Analytica (società vicina alla destra americana) aveva raccolto dati personali per creare profili psicologici degli utenti in modo da lanciare una campagna di marketing elettorale personalizzata a favore di Trump; anche quando si scoprì che la società aveva creato una gran quantità di account fake per diffondevano false notizie su Hillary Clinton; e nemmeno quando Facebook venne accusata di avere reso possibile e facile la raccolta di questi dati e di avere cercato di nascondere il tutto.

Possiamo sfuggire ingannando il sistema? Certo, si può fare ma partire da un account fake e non da quello reale perché se ne andrebbe a farsi benedire la “reputazione on line” e quindi il motivo stesso per il quale si è su quel social.

E comunque, anche se non aderiamo alla filosofia di massa del “non abbiamo nulla da nascondere” e facciamo attenzione alla nostra vita on-line, i social (o la loro somma) raccontano molto, anzi troppo, di noi.  Bastano anche solo i like per far parlare le nostre preferenze e i nostri gusti, se poi si mettono in relazione amici, pagine, gruppi, post e condivisioni di notizie, facciamo emergere un profilo molto più preciso, pronto per chi unirà i puntini.

Che i dati siano una merce preziosa non lo dicono i fanatici della privacy ma lo dimostrano i vari attacchi tesi alla “sottrazione dei dati” come quello che è accaduto a Yahoo qualche anno fa.

Insomma i nostri gusti, le nostre ricerche, i nostri acquisti, le nostre letture sono informazioni che consapevolmente produciamo e inconsapevolmente cediamo gratis ad altri che su questo creano profitto.

Ovviamente la questione non riguarda esclusivamente i social o altri faccende legate al web che meglio conosciamo ma anche a una serie di servizi che invece non conosciamo di meno legati ai sistemi di domotica e di geolocalizzazione che vanno dall’accesso remoto alla lavatrice, all’orologio che ci mostra i chilometri e le calorie consumate, alla foto del piatto scattato nel ristorante, alla connessione wi-fi fatta in stazione.

Stiamo parlando di un centinaio di zettabyte di dati di cui non conosciamo quasi nulla, tanto meno chi, come e perchè li sta trattando.  Ma tanto agli ignavi del web frega poco, l’importante è condividere l’ultima foto della pappa del bimbo.

L’instant messaging XMPP (Jabber)

Ho già parlato di alcuni software di messaging qui, in riferimento a quelli più diffusi, ma il problema della sicurezza e della privacy degli utenti era e continua a rimanere una piaga aperta su cui i più, purtroppo, buttano semplicemente del sale. Qualsiasi ragionamento facciamo nella direzione della sicurezza/privacy, continua ad albergare all’interno di un’area di approssimazione, più o meno, accettabile.

Ora vorrei parlarvi di Jabber (o XMPP – Extensible Messaging and Presence Protocol – che è la stessa cosa) che l’officina ribelle eigenlab di Pisa ha presentato qualche giorno fa. Si tratta di un servizio di messaging open source che gira sul server di una rete XMPP privata (quella di eigenlab appunto) e che permette l’accesso, sicuro e protetto, alla rete XMPP pubblica.  Al contrario degli altri software come WhatsApp, Telegram o Signal, XMPP è un protocollo “federato”,  nel senso che i client della rete globale dialogano tra loro al di là del server sul quale si sono registrati e quindi  entrano in contatto anche con client di reti che utilizzano protocolli differenti (come OSCAR, .NET, ecc…).

Ovviamente esistono client multiprotocollo, ma a differenza di questi, XMPP (acronimo di “protocollo estendibile di messaggistica e presenza”) risolve la cosa già all’accesso del client sul server, poiché ha già messo insieme tutti i protocolli e le tecnologie necessarie, annullando così l’onere di dover programmare un supporto al protocollo a livello di client.
L’idea di Jabber nasce nel 1998 con Jeremie Miller e un gruppo di sviluppatori indipendenti che riescono a sviluppare una rete di instant messaging aperta ed espandibile a qualsiasi altro servizio di messaggistica già  esistente. Inoltre la filosofia open source garantì, già da subito, uno sviluppo migliore e un controllo generalizzato sulla sincerità e la bontà della sicurezza dei dati.

Per spiegare l’architettura XMPP, Markus Hofmann e Leland R. Beaumont utilizzano i personaggi “Romeo and Juliet” della tragedia shakespeariana. La metafora racconta che Giulietta e Romeo utilizzano account diversi, appartenenti ciascuno al proprio server familiare. Giulietta, con il proprio account juliet@example.com, invia al suo server un messaggio (Art thou not Romeo and a Montague?) per romeo@example.net; il testo viene ricevuto dal server “example.com” che contatterà il server “example.net” (che ospita l’account di Romeo) e verificata la rispondenza di indirizzo e di linguaggio, si stabilirà una connessione tra i due server recapitando così il messaggio al giusto destinatario che potrà rispondere (Neither, fair saint, if either thee dislike) e così via.

In sostanza, anche se gli utenti hanno client e sistemi operativi diversi, i server su cui poggiano gli account faranno in modo di portare a buon fine lo scambio comunicativo.
E’ quello che si chiama “sistema scalabile”: nessun server centrale che si occupa di smistare i messaggi, ma tanti server che diventano nodi di scambio all’interno della rete XMPP. Questo significa che anche se una parte della rete non funzionasse, quella restante continuerebbe a svolgere egregiamente il proprio compito.

XMPP fornisce sia chat singola che di gruppo, ha una rubrica per i contatti, permette di scambiare file e immagini in chat e stabilisce comunicazioni criptate sia singole che di gruppo.

E’ possibile installare una grande quantità di Clients per qualsiasi tipo di piattaforma e qui trovate tutta la lista.  Il migliore per Android è sicuramente Conversations che su Google Play è a pagamento mentre con F-Droid puoi scaricarlo gratis (se volete potete seguire questa guida); mentre per iOS consiglio Monal che trovate gratis sullo store ufficiale.

La sicurezza e la privacy, anche qui, sono affidate a una crittografia end-to-end ed è possibile ricevere messaggi cifrati su più dispositivi, o inviarli anche se il destinatario è offline. La crittografia funziona anche per immagini, file e messaggi vocali. I protocolli crittografici sono implementati in modo trasparente e, grazie allo sviluppo comunitario di questo open source, chiunque può verificare l’assenza di backdoor e di falle di sicurezza nel codice.

Ma per la nostra sicurezza, la domanda giusta è: di chi e di cosa ci fidiamo quando decidiamo di  dialogare con qualcuno?

Qualche esempio, un po’ grossolano, sulla nostra percezione (e sulle pratiche) della sicurezza in tema di conversazioni.

La prima cosa che facciamo quando instauriamo una conversazione è quella di capire/decidere, immediatamente, il livello (pubblico, sociale, privato, intimo) a cui tale tipo di comunicazione appartiene. Al netto di disturbi psicologici, sappiamo come discutere in un bar o nella sala d’attesa di un barbiere/parrucchiere, sappiamo (forse un po’ meno) come e cosa scrivere sulla nostra bacheca di Facebook, comprendiamo che per parlare di cose di famiglia è meglio farlo in casa nostra, allo stesso modo ci appartiamo in luoghi e con distanze opportune (curando bene il “canale”) per dialogare di cose intime.

Basandoci su tale paradigma, risolviamo una semplice proporzione che ci da, approssimativamente, il peso della propagazione dell’informazione, in rapporto al numero delle persone presenti nella conversazione. Ovvero, il potenziale di diffusione parte da un numero imprecisato (teoricamente infinito) “x” della conversazione pubblica e arriva fino a “2” nella conversazione intima (ovviamente parliamo di partecipanti e non di rischio diffusione o intercettazione).

Se, dunque, in analogico possiamo assumere come valore minimo teorico di diffusione il numero “2“, in digitale questo valore minimo dev’essere almeno “3” (i due dialoganti/intimi più colui che gestisce il canale). Questo vuol dire almeno due cose: la prima è che non esistere la condizione di “intimità” in una chat; la seconda che, come conseguenza della prima, la nostra soglia di prevenzione della privacy è diventata un po’ più “lasca”.

Ora, possiamo fare tutti i ragionamenti che vogliamo, sulla proprietà, sui sistemi e anche sulla criptazione o qualcos’altro, ma fondamentalmente dobbiamo sempre fidarci di qualcuno che è “altro” rispetto al nostro interlocutore intimo. In sostanza sta a noi scegliere se questo “altro” debba essere Zuckerberg (Messenger, WhatsApp, Instagram), Durov (Telegram), Google (Hangout e Yahoo! Messanger), Microsoft (MSN MessangerSkype) oppure un’organizzazione no-profit come Open Whisper Systems che gestisce l’open source Signal.

Ecco forse sta proprio qui la chiave di volta: fidarsi di chi  non crede che tutti gli scambi debbano essere per forza di natura economica, di chi non venderà i dati appena possibile, di chi non capitalizzerà il successo e di chi da anni si batte per una rete paritaria e democratica.

 

 

La nostra sicurezza nelle chat

In una ricerca pubblicata qualche giorno fa, Amnesty International ha stilato una classifica di 11 aziende (Apple, Blackberry, Facebook, Google, Kakao Corporation, LINE, Microsoft, Snapchat, Telegram, Tencent e Viber Media), proprietarie di applicazioni di messaggistica istantanea, che hanno maggior rispetto per la privacy dei loro clienti.

<img class=”wp-image-4163 alignleft” src=”http://www this content.vitocola.it/wordpress/wp-content/uploads/2016/10/prism2-300×225.jpg” alt=”prism” width=”440″ height=”330″ srcset=”http://www.vitocola.it/wordpress/wp-content/uploads/2016/10/prism2-300×225.jpg 300w, http://www.vitocola.it/wordpress/wp-content/uploads/2016/10/prism2.jpg 700w” sizes=”(max-width: 440px) 100vw, 440px” />Peccato che sia in testa che in coda alla classifica ci siano gli stessi nomi che dal 2007 al 2013 erano presenti nel famoso caso PRISM.  Amnesty International non ignorava la cosa e ha chiarito di essersi interessata alle aziende “commerciali” con le applicazioni più diffuse. Ecco perché, per esempio, non c’è Signal che appartiene a un gruppo non-profit.

In sostanza Amnesty classifica quelle aziende con più attinenza e rispetto della propria policy in modo da consigliarci un male minore.

I criteri indagati sono stati 5 (1-riconoscere le minacce online alla libertà di espressione e diritto alla privacy come i rischi per i suoi utenti attraverso le sue politiche e le procedure; 2- applica la crittografia “end-to-end” di default; 3-sensibilizza gli utilizzatori sulle minacce alla loro privacy e alla libertà di espressione; 4-rivela i dettagli del richieste del governo per i dati utente; 5-pubblica i dati tecnici del suo sistema della crittografia) ma nessuna analisi tecnica è stata condotta sulla sicurezza globale del servizio di messaggistica.

Precisiamo che neanche con la crittografia “end-to-end”  si è al riparo dagli spioni, poiché sarebbe sempre possibile entrare in possesso delle chiavi crittografiche private con un po’ di “social engineering”, ad esempio, fingendosi uno dei destinatari, oppure assicurandosi il controllo di un nodo della connessione, o anche semplicemente accedendo ai dati di backup del cloud, ecc…., più o meno quello che la NSA faceva con x-keyscore.

Dunque, forse, sarebbe stato più utile considerare “se, dove e come” queste aziende conservano i dati dei clienti.

overall-ranking

Per farla breve ne viene fuori che WhatsApp (il più utilizzato sia per numero di ore che per frequenza di utilizzo e che usa lo stesso protocollo di Signal) è la chat più sicura di tutte, superando anche la concorrente Telegram che, invece, dal 2015  ha messo in palio 300mila dollari per chiunque riesce a superare il proprio sistema di sicurezza.

Ultima cosa importante del documento di Amnesty è che solo la metà delle aziende intervistate, rende pubblico un report sulla quantità di dati degli utenti che viene dato ai governi in seguito a esplicite richieste.

Ma allora, qual è l’app di messaggistica più sicura?

 

ALLO di Google neanche a parlarne. A parte la crittografia traballante c’è quel forte interesse (comune a tutte le aziende) a far soldi con i dati degli utenti che qui viene affinata ancor di più attraverso la “machine learning”. Si tratta di un servizio di profilazione avanzato degli utenti con il quale Google capisce sia il testo che le immagini contenute nei messaggi. In tal modo l’app riesce sia a suggerire frasi automatiche in risposta a delle immagini inviate che consigliare dei risultati di ricerca con una geolocalizzazione rapida su Maps in funzione del contenuto del testo digitato.  Dunque tutto il contrario della privacy dell’utente.

WhatsApp è la più popolare in assoluto, supera il miliardo di utenti e, come dice Amnesty, usa una crittografia end-to-end.  Il problema serio è rappresentato dalla raccolta di dati e metadati (la lista dei contatti, numeri di telefono e a chi si scrive) che Facebook può utilizzare per i propri fini e anche consegnarli alle autorità qualora venissero richiesti. Se poi si sceglie di salvare i contenuti delle conversazioni su cloud si completa il quadro del rischio per l’utente.

Telegram usa il protocollo MTProto definito, però, “traballante” da Thaddeus Grugq. A suo demerito va detto che salva tutti i dati sui propri server in chiaro e a suo merito i “bot” e le api libere per poterli creare, ma sopratutto i “canali” con i quali è possibile comunicare istantaneamente con un grandissimo numero di utenti.

Il migliore è sicuramente Signal e non perchè  l’abbia detto Snowden un anno fa, piuttosto per la sua filosofia di base che lo rende più sicuro.  signalIntanto è un sistema aperto e questo già basta a garantire sulla sicurezza da solo. Anche se può sembrare un ossimoro, in realtà  quando i codici sorgenti sono aperti, chiunque può migliorarli creando patch e sviluppi alternativi attraverso collaborazioni diffuse e riutilizzo del codice.

Inoltre Signal non raccoglie dati e metadati degli utenti da nessuna parte, ma annota soltanto i tempi di connessione. Anche quando chiede di condividere i contatti (in modo da trovare chi usa la stessa app) tutta l’operazione viene subito cancellata dai server.  Non essendo presente la funzione di backup della chat, nel caso si cambiasse smartphone, si dovrà spostare tutto a mano.

E’ stata creata da Open Whispers System, una società no profit che si finanzia solo con le donazioni volontarie. L’unico neo di questa app è quella di essere poco diffusa (sembra che sia stata scaricata da poco più di 1 milione di utenti contro il miliardo di utenti dichiarato da WhatsApp) e probabilmente resterà tale proprio a causa della sua filosofia sulla sicurezza che la rende poco user friendly.

Hackmeeting 2016 (0x13)


locandina
Un giorno di parecchi anni fa, mio padre, di ritorno da un viaggio a Roma, mi portò in regalo un’automobilina elettrica.  Una macchina di una qualche polizia americana, con una vistosa calotta di plastica arancione sul tettuccio e con due poliziotti all’interno dipinti di fronte sul parabrezza e di profilo sui finestrini laterali. Era molto colorata e voluminosa e aveva un interruttore sul fondo, vicino allo sportello delle batterie che, una volta posizionato su ON, faceva partire il suono di una sirena e di una musichetta di sottofondo, la calotta arancione iniziava a illuminarsi a intermittenza e la macchina partiva verso una direzione qualsiasi, mai la stessa. Con mio grande stupore e divertimento, l’automobilina quando cozzava conto un ostacolo non si bloccava ma rinculava e cambiava direzione, sempre. Io mi divertivo a posizionarla sotto il tavolo con tutte le sedie intorno, perché tra tutti quei piedi l’automobilina non riusciva mai a venirne fuori. Alla lunga avevo decifrato tutti i suoi movimenti (non molti in verità) e con una serie di ostacoli, ben posizionati, riuscivo a determinare sia il percorso che il punto di arrivo dell’automobilina. Fatto questo (per un bel po’ di volte) ormai quella macchinina non aveva nient’altro da raccontarmi. Non mi restava che smontarla e vedere com’era fatta dentro, quello sarebbe stato il suo racconto più interessante. Nelle mie intenzioni c’era la fretta si smontarla ma anche la preoccupazione di riuscire a rimontarla daccapo. Adottai delle procedure professionali, cercando di imitare mio padre quando smontava gli orologi, e collocai tutti i pezzi smontati uno accanto all’altro, in un qualche ordine che me ne ricordasse la loro posizione originale. Non ricordo bene se il rimontaggio fallì perché la memoria mi tradì o perché l’intervento di mio padre mise fine all’intero esperimento. Ricordo soltanto le parole di sconforto di mia madre che per molto tempo mi ricordò di aver “rotto” un bel giocattolo.

Lo so che questo racconto più che avere a che fare con gli hackers riguarda il normale mondo della curiosità dei bambini, ma un nesso deve pur esserci se ancora oggi, quando smonto e rimonto una lavatrice, un ferro da stiro o un computer, mi viene sempre in mente quella macchinina della polizia americana.

Probabilmente non è un caso il fatto che alcuni studenti del MIT di Boston, cinquantotto anni fa, iniziarono giocando con i trenini elettrici per poi passere a divertirsi con un IBM 704. Furono proprio loro i primi a riutilizzare il termine Hacker e un primo manifesto culturale fu, certamente, la performance di un TX-0  a cui Peter Samson fece suonare la fuga di Bach.  La filosofia di base era estremamente semplice ed esplicativa: “hands on”. Metterci le mani, provarci, ma se possibile condividerne il processo e l’esperienza. Per quale finalità? Conoscenza e divertimento, non necessariamente in questo ordine.

Hacker è il nome di un comportamento, di una cultura, di un’etica, di una filosofia che ha radici molto antiche, risalenti a quelle pratiche umane slegata da attività di produzione, del lavoro e del profitto e corroborate dalle varie correnti dello scetticismo come fluido vitale. Non ha nulla a che fare con nuove etiche del lavoro (quelle che secondo Pekka Himanen mettono in discussione l’etica protestante del lavoro)  ma su di esso ha e continua ad avere forti ricadute sociali. Il problema di fondo è lo spirito del godimento personale, o la passione, lontani non soltanto dal dovere e dalla costrizione ma anche dalla natura stessa del lavoro e della produzione (anche se non alienante).

Il gioco, che come dice Huizinga è precedente allo sviluppo della cultura. ha molta più pertinenza con i prodromi dell’idea hacker di mondo possibile di qualsiasi altra etica. E’ fine a se stesso, è mezzo di godimento individuale e collettivo, è altamente contaminato e contaminabile e la sua socialità non può prescindere dalla condivisione profonda, radicale, di tutte le conoscenze. Non può darsi un gioco collettivo se tutti i giocatori non sono in possesso dello stesso livello di conoscenza. Parliamo del grado non agonistico del gioco, la paidia (gioco libero, spontaneo) che Platone e Aristotele tenevano ben distinto dall’agon (gioco competitivo).

I primi oggetti hackerati sono proprio dei giocattoli creati dal riutilizzo (dissacrazione) di oggetti utilizzati per rituali religiosi o di attrezzi casalinghi e di uso comune.  E’ vero che l’hackeraggio ha avuto e continua ad avere una sua utilità e funzionalità che va al di là del gioco in se, nel senso di far sopravvivere (o reificare) oggetti o dinamiche da lavoro, ma in questo caso il gioco si è tutto consumato all’interno del processo di apertura e trasformazione. In ogni caso l’oggetto iniziale è un nuovo oggetto: non è più quello di partenza poiché ha perso segretezza ed ha aumentato la conoscenza e la comprensione.

Che fosse fondamentale il gioco ce lo svelano anche gli scritti sull’educazione di Rousseau; la riduzione della persona a soggetto logico di Kant, l’antipatia di Hegel per tutto ciò che non fosse sottomissione alla disciplina (unico modo per conseguire il sapere assoluto e universale) e un polimorfo movimento culturale come il dadaismo.

Basta esser curiosi e smaniosi di conoscere infilando le proprie mani negli oggetti che si hanno di fronte, per avere una visione hacker del mondo? Si, è probabile, ma dovrebbe essere essenziale anche la volontà di condividere quel processo o quel sapere acquisito senza innescare profitti e, soprattutto, senza fondare poteri. Questa, forse, è la più grande e sottile differenza che sta alla base di tante iniziative che nel nome ricordano la filosofia hacker ma che, invece, stanno a mille miglia di distanza. Dai tanti variopinti hackathon (addirittura istituzionali o industriali), ai molti inutili HackLab o FabLab che nascondono aziende che producono “dal basso” (?) o hackerspace come fonti di guadagno imprenditoriali.

Questo spirito che conserva in modo originario una filosofia della conoscibilità del mondo è, per ora, ancora ristretto e nella società dell’informazione è messo a dura prova da una piramide (come quella disegnata da Russell Ackoff) che allarga sempre di più la sua base (dei dati). Per fortuna un’idea hacker di approccio anche alle scienze, ma soprattutto alla sua metodologia di trattamento dei dati, come scrive Alessandro Delfanti in “Biohacker”, ci pone di fronte a nuove frontiere e nuovi compiti come quello di “scardinare la ricerca biologica con lo stesso approccio usato un tempo per hackerare un computer” (la svolta open access di Craig Venter, la condivisione sulla viaria di Ilaria Capua, il collettivo DIYbio o la performance di Salvatore Iaconesi e Oriana Persico).

Il digitale e le nuove tecnologie sono, ovviamente, il terreno da osservare con maggiore scrupolo. Un’indagine critica sulla natura concettuale e i principi fondamentali dell’informazione, comprese le dinamiche collegate alla computazione, alla manipolazione meccanica di dati, al flusso informazionale (processo di raccolta e di scambio delle informazioni) e all’etica legata al suo utilizzo sono, necessariamente, i nuovi oggetti con cui giocare, le nuove teorie e pratiche da penetrare e da comprendere.

Momenti di confronto ce ne sono e quello degli hackmeeting sono fondamentali per indagare il conoscibile.

Come recita l’about del sito hackmeeting.org,  c’è un raduno periodico delle controculture digitali che ogni anno mette insieme tutti coloro che amano “gestire se stessi e la propria vita e che si battono per farlo”.

Quest’anno mediattivisti, ricercatori e semplici appassionati che si riconoscono nella filosofia hacker, si ritroveranno al Polo Fibonacci dell’Università di Pisa, dal 3 al 5 giugno, per l’edizione 2016 di Hackmeeting Italia.HM2

L’incontro annuale delle controculture digitali italiane, delle comunità che si pongono in maniera critica rispetto ai meccanismi di sviluppo delle tecnologie e dell’informazione, si svilupperà su tre giorni di seminari, giochi, feste, dibattiti, scambi di idee e apprendimento collettivo. Si analizzeranno le tecnologie che utilizziamo quotidianamente, come cambiano e che stravolgimenti inducono sulle nostre vite, quale ruolo è possibile all’interno del cambiamento.

L’evento è totalmente autogestito: non ci sono organizzatori e fruitori, ma solo partecipanti.

Qui trovate la mappa del meeting.

La comunità Hackmeeting ha una lista di discussione dove poter chiedere informazioni e seguire le attività della comunità.
Esiste anche un canale IRC (Internet Relay Chat) dove poter discutere e chiacchierare con tutti i membri della comunità: collegati al server irc.autistici.org ed entra nel canale #hackit99.

Per tutto il resto leggetevi l’articolo  di Daniele Gambetta, di eigenLab Pisa e ne capirete di più.

Panama papers e altri numeri

Conto corrente estero e conto offshore

da l’Espresso

Per lo Stato italiano, e per l’Europa, è possibile possedere un conto corrente all’estero a patto che venga dichiarato fiscalmente, inserendolo nella dichiarazione dei redditi (nell’apposito quadro RW della dichiarazione dei redditi a partire da una giacenza o movimentazione annuale pari o superiore a 15 mila euri). La banca estera nella quale si apre il conto è obbligata a comunicare allo stato di residenza del correntista tutte le informazioni relative al conto corrente.
Il correntista, di conseguenza, verserà un’imposta (Ivafe) sul suo valore del deposito pari al 2 per mille, oltre alla normale tassazione sulle plusvalenze realizzate.
Sostanzialmente è come tenere un conto in una banca italiana, l’unica convenienza potrebbe essere rappresentata da migliori condizioni sulla tenuta del conto, da servizi più efficaci ed efficienti o dalla convinzione di aver depositato i propri soldi in una banca più solida e più sicura ma, credo, niente di più.
Chi mira, invece, a risparmiare sul pagamento delle tasse dovrà eludere tutta la procedura ufficiale e seguirne una “offshore”, ovvero aprire un conto estero sul quale le tasse non vengono pagate grazie alla segretezza dell’identità del correntista.

Panama papers

Questo è proprio il punto nodale di un conto offshore: la segretezza. Ma non è cosa semplice da realizzare. Considerato l’obbligo della trasparenza delle aziende e il grande impegno dell’OCSE nella lotta contro i paradisi fiscali, diventano indispensabili almeno due cose: primo rivolgersi a uno dei 14 paesi dove è ancora possibile richiedere segretezza (Belize, Brunei, Isole Cook, Costa Rica, Guatemala, Filippine, Liberia, Isole Marshall, Montserrat, Nauru, Niue, Panama, Uruguay e Vanuatu) e poi affidarsi a società o agenzie specializzate che riescono a far arrivare il denaro sul conto corrente di questa banca estera senza lasciare tracce. Anche tracce come le “ Panama papers”. Quasi dodici milioni di documenti, relativi a transazioni finanziarie segrete, sottratti allo studio Mossack Fonseca da un anonimo whistleblower che, come dice l’Espresso, li ha forniti al quotidiano tedesco Suddeutsche Zeitung che, a sua volta, si è rivolto al ICIJ (l’International Consortium of Investigative Journalists che ha condiviso il lavoro e la scoperta con le 378 testate partner tra cui l’Espresso).
Siccome stiamo parlando di 2,6 terabyte di dati, c’è chi sostiene che non si tratti di una semplice gola profonda ma crackers che hanno sfruttato la vulnerabilità di un vecchio plugin su WordPress (“Revolution Slider” che in una sua versione non aggiornata fa caricare una shell remota – corretta già da due anni da Wordfence) e di un server di posta, al quale accedevano tutti i clienti dello studio, che risedevano sullo stesso network.
Insomma una grossolana leggerezza che ha permesso di scaricare, per mesi, tutto l’archivio dello studio Mossack Fonseca. Infatti, dopo il 3 aprile, il loro dominio è passato a Incapsula che ha trasferito tutto su server neozelandesi.

Crackers?

Crackers perché l’operazione è stata pagata (non si sa se commissionata o offerta) e la filosofia hacker non collima con questa tipologia di finalità; e poi perché nella rete hacker non c’è stata nessuna eco dell’impresa.
Pagata dagli americani perché l’ICIJ è stato fondato da un giornalista americano (Chuck Lewis) ed è sostenuta da: Adessium Foundation, Open Society Foundations, The Sigrid Rausing Trust, Fritt Ord Foundation, Pulitzer Center on Crisis Reporting, The Ford Foundation, The David and Lucile Packard Foundation, Pew Charitable Trusts and Waterloo Foundation.
Tant’é che, al momento, tra tutti gli americani presenti nei documenti, non è ancora saltato fuori nessun nome eccellente a fronte dei 140 politici e uomini di Stato del resto del mondo.

I numeri

215 mila le società coinvolte, riferite a 204 nazioni diverse e 511 banche (tra cui le italiane Ubi e Unicredit);
378 giornalisti, in un forum chiuso, analizzano un database di 2,6 terabyte lungo 38 anni di registrazioni.
800 sono gli italiani coinvolti e tutto quello che ne verrà fuori continueremo a leggerlo sulle maggiori testate giornalistiche del mondo.

La cassetta degli attrezzi di Snowden

Telefonate e SMS
Basta installare l’app Signal in modo da criptare tutte le conversazioni, così anche se venissero intercettate non si comprenderebbe nulla.

Notebook
Criptare l’hard disk l’hard disk in modo da rendere illeggibili tutti i dati nel caso venisse rubato o cadesse in mani sbagliate.

User e password
KeePassX è un buon software che consente di creare password sicure, ognuna dedicata a un solo sito Internet, ma senza il problema di doverle memorizzare. Siccome è molto diffusa l’abitudine di utilizzare la stessa password per registrarsi in tutti i siti internet, capita sovente che anche quella usata per Gmail, sia la stessa registrata tanti anni prima in un sito che adesso non si visita più e che potrebbe essere hackerato.

sicur2Identificazione
Conviene utilizzare l’identificazione a due fattori, cioè oltre alla password anche un mezzo alternativo di identificazione, per esempio un sms, così se qualcuno si impossessa della password, avrà bisogno anche del telefono. Gmail, Facebook, Twitter, Dropbox, GitHub, e tanti altri già lo fanno (qui una lista di chi offre tale servizio).

Browser
TOR  Browser è un ottima strada per accedere a un dato su Internet senza lasciare traccia. Può anche aiutare ad aggirare la censura quando siete in una rete in cui alcuni siti sono bloccati. E’ sicuramente il progetto più importante sotto dal punto di vista della privacy ma non è a “prova di bomba”. Resta comunque una buona misura di sicurezza per dissociare la propria posizione geografica dall’attività su Internet. La cosa più importante è che la rete TOR è gestita da volontari e chiunque può attivare un nodo della rete TOR, sia che si tratti di un nodo d’ingresso, che di uno intermedio o di uscita, basta voler accettare qualche rischio.

Facebook
Non è necessario condividere tutto e in ogni caso la condivisione deve essere selettiva. Non è necessario che tutti sappiano tutto di noi. Non è necessario mettere il nome da nubile della propria madre se lo si è utilizzato anche per recuperare la password di Gmail.
La condivisione è una buona cosa, ma deve essere fatta volontariamente e consapevolmente. Le informazioni condivise devono essere reciprocamente vantaggiose e non semplicemente cose che ti vengono prese.

sicur1Internet
Consideriamo che usando Internet ci vengono rubate informazioni silenziosamente, in modo invisibile, a ogni click. Delle informazioni personali vengono sottratte a ogni pagina che visitiamo: vengono raccolte, intercettate, analizzate e registrate. E’ importante assicurarsi che le informazioni che vengono raccolte su di voi, lo siano per vostra scelta.
Potremmo usare un plugin come HTTPS Everywhere  (già installato su TOR), per servirci di comunicazioni cifrate e sicure in modo che i dati scambiati restino protetti.

Adblock
Certi provider, come Comcast, AT&T e altri, inseriscono annunci pubblicitari durante le connessioni in chiaro (http) servendosi di Javascript  o Flash e proprio in quel momento stiamo aprendo le porte del browser ad un probabile attacco. Allora non ci resta che bloccare preventivamente questi annunci.

Script
E’ necessario disabilitarli (su Firefox è disponibile il plugin “noscritp”).

Virtual machine
E’ sempre preferibile utilizzare una macchina virtuale  (un programma che crea un sistema operativo separato da quello installato sul computer) che simula un secondo computer, perchè se questo se viene infettato, lo si distrugge semplicemente cancellando il file che lo contiene e se ne ricrea uno nuovo, senza che il sistema operativo originale subisca danni e che i virus si propaghino sul computer.

Sandbox
E’ un sistema che isola un certo programma dal vostro sistema operativo e, come per la macchina virtuale, lo si può distruggere se infettato dai virus (per esempio il progetto chromium).

Smartphone e sicurezza
Molti dimenticano che tutti i telefoni cellulari lasciano una registrazione permanente di tutti gli spostamenti, fornendo informazioni anche quando non li si usa. Questo non vuol dire che si devono bruciare ma che si deve pensare al fatto di averlo con se, quindi se dovete andare in un certo posto e non volete essere associati a quel luogo basta non portarselo dietro.

sicur3Sorveglianza di massa.
Il “Mixed routing”  (l’invio di proprie comunicazioni attraverso più macchine reali o virtuali) è una delle cose più importanti di cui abbiamo bisogno nel campo delle infrastrutture Internet. Non abbiamo ancora risolto il problema di come separare il contenuto della comunicazione dalla traccia che la comunicazione lascia. Per avere una privacy reale bisogna ottenere la separazione tra il contenuto e la traccia della comunicazione. Il problema con le comunicazioni di oggi è che il provider sa esattamente chi siamo. Sa esattamente dove viviamo. Conosce il numero della nostra carta di credito, l’ultima volta che è stata utilizzata e il montante della transazione.
Abbiamo bisogno di strumenti che possano connettersi anonimamente a Internet. Meccanismi che consentano che ci si associ privatamente. Soprattutto, abbiamo bisogno di sistemi che permettano la difesa della privacy nei pagamenti e nella consegna delle merci, che sono le basi del commercio.

[tratto dall’intervista di Micah Lee a Edward Snowden]