Hardware/Software

20/11/201820/11/2018

Datacrazia. Politica, cultura algoritmica e conflitti al tempo dei big data.

Anticamente per individuare una casa o un qualsiasi altro edificio, per scopi demografici e fiscali, si faceva riferimento all’isolato, alla parrocchia di appartenenza, al quartiere o alla vicinanza di un incrocio. Il sistema era abbastanza incerto e i grandi proprietari immobiliari iniziarono ad apporre sugli edifici un numero che veniva poi riportato nei propri inventari. Quest’idea, estesa poi alle principali città, divenne il sistema stabile e convenzionale di numerazione degli edifici urbani utilizzato, soprattutto, per scopi fiscali e militari.

Sicuramente non sarà stata questa la prima raccolta seriale di dati ma certamente rappresenta un primo approccio politico alla sistemazione di una certa quantità di dati, quelli che poi diventeranno big data. Ovviamente non ancora in senso quantitativo e automatizzato ma un’idea del controllo massivo attraverso i dati c’era già tutto.

Questa tendenza non solo all’ordinamento e catalogazione, come per le reti di biblioteche, ma soprattutto al controllo, come quello più eclatante della città-stato di Singapore (dove il primo ministro Lee Hsien Loong, con la scusa di rincorrere una città “super smart”, ha imposto una trasparenza totale a tutti i cittadini in modo da conoscere tutto il possibile di tutti), è stata chiamata “datacrazia” da Derrick de Kerckhove e proprio di Datacrazia si occupa, ed è intitolato, il libro curato da Daniele Gambetta, in libreria per i tipi di “D Editore”.

Datacrazia non è un solito libro che parla di big data ma un’antologia di saggi che indagano, in modalità interdisciplinare, tutto l’universo che ruota intorno alla raccolta e analisi dei dati in rete. Perché è importante parlare a 360° dei dati e del loro utilizzo? Semplice, perché sono loro a parlare di noi, comunque. I nostri dati ci definiscono, ci catalogano, ci illustrano, ci identificano, ci precedono e raccontano tutto di noi, sintetizzandosi in un “profilo” che, se ben corredato e schematizzato, viene utilizzato per gli scopi più impensabili. Da chi e per cosa e che potere di controllo resta a noi e quello che capiremo solo se iniziamo a interessarcene e se smettiamo di credere che la cosa non ci riguardi (o che “tanto non abbiamo nulla da nascondere”).

Un errore molto comune e quella tendenza ad associare il concetto di “dato” all’aggettivo “neutrale” che poi traina con se quello di “impersonale”. In verità dopo la comparsa degli algoritmi e dell’uso della machine learning, i dati sono tutto tranne che impersonali. Ma forse, come dice Alberto Ventura nella prefazione del libro, “in fin dei conti non c’è nulla di più rassicurante di sapere che qualcuno ti controlla, ti coccola, ti da attenzione”.

Questa frase mi ha fatto subito riaffiorare alla mente quando da bambini ci parlavano dell’angelo custode e di un dio che ci guardava con l’occhio della provvidenza (una specie di occhio di Sauron), ma su questo ci sarebbe da aprire un capitolo a parte, a partire da “Sorvegliare e Punire” di Foucalult.

Possiamo intanto partire dalla base, ovvero dall’algoritmo: quella semplice successione di istruzioni che, definendo una sequenza di operazioni da eseguire, raggiunge un obiettivo prefissato. E’ un concetto semplice e antico, se ne trovano tracce in documenti risalenti al XVII secolo (nei papiri di Ahmes) e forse il primo che ne parlò in modo specifico fu il matematico persiano al-Khwarizmi. Sostanzialmente è come quando seguite una ricetta per realizzare il vostro piatto preferito: avete gli ingredienti e un procedimento preciso a cui attenersi. L’enorme diffusione di PC e di device mobili ha massificato i processi di digitalizzazione (e datafication) e quei semplici algoritmi, integrati in motori di ricerca, in siti di news, in piattaforme di e-commerce e social networking, ecc…, si trasformano e diventano “decisori”. Un fenomeno talmente ingigantito da essere definito “big data”. Poi più è vasta la quantità di dati più c’è la necessità di nuovi e più efficienti meccanismi di analisi. Per farci un’idea di questa quantità di dati Daniele Gambetta, nell’introduzione al libro, cita uno studio di Martin Hilbert e Priscila López, secondo il quale nel 2013 le informazioni registrate sono state per il 98% in formato digitale (stimate intorno a 1200 Exabyte) e solo per il 2% in formato analogico; si pensi che nel 2000 le informazioni registrate in formato digitale erano state soltanto il 25% mentre il resto era ancora tutto in analogico.

Il problema ancor più rilevante, e insieme preoccupante, è che questa grande quantità di dati è sotto il controllo di poche persone, come Zuckerberg che con Facebook (e Instagram e WhatsApp) raccoglie “il più vasto insieme di dati mai assemblato sul comportamento sociale umano”. Poi Amazon, Google, Reddit, Netflix, Twitter, ecc…, estraggono una infinità di dati dai miliardi di utenti che si connettono alle loro piattaforme; ne modellano la loro esperienza digitale, per offrire l’informazione più pertinente e il consiglio commerciale più giusto o, potremmo dire meglio, quello che probabilmente l’utente si aspetta di vedere. Così, per esempio, il “recommender algorithm” di Amazon suggerisce cosa comprare insieme all’oggetto che si sta acquistando o Netflix consiglia il film o la serie in funzione di ciò che si è guardato in precedenza (David Carr ha raccontato che Netflix, attraverso l’analisi dei dati degli utenti, decide anche quali serie produrre). L’algoritmo ormai sa cosa piace alle persone in base all’età, alla provenienza; sa quando tempo si passa sul social, cosa si guarda, su cosa si mette il like, cosa e con chi si condividono i contenuti. E’ ovvio che alla fine ci darà solo quello che ci piace (e come si fa a non appassionarsi a questo?).

E’ la banalità dell’algoritmo, secondo Massimo Airoldi (autore in Datacrazia de “L’output non calcolabile”), cioè quella di creare una cultura incoraggiata da miliardi di stimoli automatizzati che pian piano deformano le lenti attraverso cui guardiamo o immaginiamo la realtà. Per cui su Facebook non vedremo più i post dei contatti con i quali interagiamo raramente; su Google troveremo soltanto link a pagine con ranking molto alto e su Amazon solo libri comprati in coppia. Insomma tutto ciò che “algoritmicamente è poco rilevante viene escluso dal nostro vissuto digitale”. Siccome ormai le macchine che gestiscono i nostri dati, ci conoscono molto meglio di noi stessi, secondo Floridi è una rivoluzione che ha completamente trasfigurato la realtà.

Ma la sostanza è che i dati sono merce ed hanno un grande valore nella misura in cui si possiede un’elevata capacità di estrazione e di analisi. Il dato è caratterizzato da valore d’uso (come la forza lavoro) che si trasforma in valore di scambio all’interno di sistemi produttivi che utilizzano la tecnologia algoritmica. La business intelligence di queste aziende è quella di estrarre valore dai dati attraverso un ciclo di vita che parte dalla “cattura”, o meglio dall’espropriazione (come la definisce Andrea Fumagalli nel saggio “Per una teoria del valore rete” in Datacrazia), poi li organizza e li integra (aspetto produttivo del valore di scambio), successivamente li analizza e li commercializza.

Questo è il processo di valorizzazione dei big-data ed è la strutturazione del capitalismo delle piattaforme, cioè “quella capacità delle imprese di definire una nuova composizione del capitale in grado di gestire in modo automatizzato il processo di divisione dei dati in funzione dell’utilizzo commerciale che ne può derivare”. Gli utenti delle piattaforme forniscono la materia prima che viene sussunta nell’organizzazione capitalistica produttiva. Il capitale sussume e cattura le istanze di vita degli essere umani, le loro relazioni umane, le forme di cooperazione sociale e la produzione di intelligenza collettiva, portandole a un comune modo di produzione.

Gli algoritmi delle piattaforme sono le moderne catene di montaggio che fanno da intermediari tra i dati e il consumatore, concentrando al loro interno il potere e il controllo di tutto il processo.

Ma ovviamente i dati devono essere buoni e puliti, perché “se inserisci spazzatura esce spazzatura”, com’è accaduto al Chat-Bot Tay di Microsoft che, vittima dei troll su Twitter, nel giro di 24 ore è diventato uno sfegatato nazista (il suo ultimo twit è stato: “Hitler was right I hate the jews”).

A differenza dei vecchi software il cui codice scritto spiega loro cosa fare passo per passo, con il Machine Learning la macchina scopre da sola come portare a termine l’obiettivo assegnato. Federico Najerotti (autore in Datacrazia del saggio “Hapax Legomenon”) spiega che non si tratta di pensiero o di intelligenza ma solo di capacità di analizzare, elaborare, velocemente una grande quantità di dati. Se un software impara a riconoscere un gatto in milioni di foto, non significa che sappia cos’è un gatto. La stessa cosa vale per quei computer che battono gli umani a scacchi: in realtà non sanno assolutamente nulla di quello che stanno facendo.

Si tenga comunque in conto che gli algoritmi non sono neutrali: prendono decisioni e danno priorità alle cose e, come dice Robert Epstein, basterebbe “cambiare i risultati delle risposte sul motore di ricerca Google, per spostare milioni di voti” senza che nessuno ne sappia niente.

Anche il “Deep Learning” (recente evoluzione del Machine Learning, che lavora su un’enorme massa di strati interni alle reti neurali) che simula il funzionamento del cervello, fa più o meno la stessa cosa. L’esplosione, anzi, l’accelerazione di questi processi, stanno riportando alla luce, in qualche modo, una sorta di nuovo positivismo: la potenza di calcolo viene assunta come essenziale valore di verità a discapito della capacità critica dell’uomo.

Un caso esemplare è rappresentato dalle “auto autonome” e il vecchio “dilemma del carrello”: ovvero come fa un’auto senza conducente a decidere se investire una persona o investirne altre sterzando improvvisamente? Luciano Floridi dice che il problema è stato già risolto nel XIII secolo da Tommaso D’Aquino e che la cosa di cui dovremmo preoccuparci è capire come evitare di trovarci in una condizione del genere. Ovviamente la risposta è una soltanto: il controllo ultimo dev’essere sempre nelle mani dell’uomo!

Ma “cedere i propri dati significa cedere alcuni diritti e dovrebbe essere una scelta consapevole” (Daniele Salvini, “Son grossi dati, servono grossi diritti” in Datacrazia) oltre che essere remunerata. Purtroppo l’individuo si trova in un rapporto asimmetrico all’interno del quale non può neanche quantificare il valore dei propri dati, poiché questi sono commerciabili solo in grosse quantità. Quando Facebook ha acquistato WhatsApp per 19 miliardi di dollari ha acquistato i dati di 400 milioni di utenti, cioè $ 40 a utente, solo che questi non ha preso un soldo da quella vendita.

Non solo non si guadagna e ci si rimette in diritti ma anche le libertà individuali subiscono una certa contrazione. Queste nuove tecnologie hanno anche ampliato e potenziato le politiche pervasive di controllo. Predpol è un software in uso da diverse polizie degli Stati Uniti che, grazie all’analisi di dati online, dice di riuscire a prevenire una generalità di crimini. Uno studio dell’Università della California ha mostrato come nelle città in cui PredPol viene utilizzato (Los Angeles, Atlanta, Seattle) i crimini si siano ridotti mediamente del 7,4%; il problema è che del gruppo di studio facevano parte anche due fondatori del software PredPol (infatti i risultati sono stati messi in dubbio da uno studio dell’Università di Grenoble). Ma il problema non è solo l’efficienza dell’algoritmo quanto il rischio che la polizia prenda di mira determinati quartieri (quelli abitati da minoranze etniche e immigrati) con una classica profilazione razziale.

In conclusione, ho cercato di dare proprio un modestissimo assaggio della grande quantità di argomenti e analisi che troverete nel libro che, come dicevo, è un’antologia divisa in sezioni: una prima di introduzione , una dedicata alla ricerca, un’altra all’intelligenza artificiale, poi all’analisi della pervasività delle nuove tecnologie e l’ultima che riguarda le strategie tecnopolitiche ispirate ai progetti sperimentati a Barcellona durante il 15M. Non troverete soluzioni dirette o indicazioni precise come rimedio ma in compenso avrete ampie analisi che potrebbero indicare una strada. Certo, come ci ricorda Daniele Gambetta, “elaborare piattaforme collaborative e non estrattive, creare strumenti di indagine e inchiesta che svelino i meccanismi, spesso proprietari e oscuri, degli algoritmi che determinano le nostre vite, far emergere contraddizioni utili nel rivendicare il proprio ruolo di sfruttati diffusi rimettendo al centro la questione del reddito, sono strade senz’altro percorribili”.

Datacrazia, a cura di Daniele Gambetta, D Editore, Roma, 2018, 364 pagine, € 15,90.

22/06/201722/06/2017

Un trojan di stato alla prova dei fatti

Come funziona e quanto è sicuro un “captatore informatico”?

Sul sito DDAY.it, già all’epoca dell’hackeraggio del sito di HackingTeam, era possibile trovare una dettagliata descrizione del funzionamento del famoso RCS Galileo (il captatore informatico creato dall’azienda italiana che fornisce questa suite di intelligence a oltre 21 stati nel mondo) ma il Collettivo Autistici Inventati fa di più: installa e mette in funzione il software simulando un’intrusione vera e prorpria. In tal modo mette alla prova “RCS Galileo” e soprattutto dimostra, se mai ce ne fosse stato bisogno, quanto “ingovernabile” e/o “normabile” possa essere un trojan e quindi come il DDL Orlando, da poco licenziato anche alla Camera, apra la strada al più pericoloso abbassamento della privacy e della sicurezza di tutti noi.

galileo from cami on Vimeo.

06/04/201721/06/2017

L’instant messaging XMPP (Jabber)

Ho già parlato di alcuni software di messaging qui, in riferimento a quelli più diffusi, ma il problema della sicurezza e della privacy degli utenti era e continua a rimanere una piaga aperta su cui i più, purtroppo, buttano semplicemente del sale. Qualsiasi ragionamento facciamo nella direzione della sicurezza/privacy, continua ad albergare all’interno di un’area di approssimazione, più o meno, accettabile.

Ora vorrei parlarvi di Jabber (o XMPP – Extensible Messaging and Presence Protocol – che è la stessa cosa) che l’officina ribelle eigenlab di Pisa ha presentato qualche giorno fa. Si tratta di un servizio di messaging open source che gira sul server di una rete XMPP privata (quella di eigenlab appunto) e che permette l’accesso, sicuro e protetto, alla rete XMPP pubblica. Al contrario degli altri software come WhatsApp, Telegram o Signal, XMPP è un protocollo “federato”, nel senso che i client della rete globale dialogano tra loro al di là del server sul quale si sono registrati e quindi entrano in contatto anche con client di reti che utilizzano protocolli differenti (come OSCAR, .NET, ecc…).

Ovviamente esistono client multiprotocollo, ma a differenza di questi, XMPP (acronimo di “protocollo estendibile di messaggistica e presenza”) risolve la cosa già all’accesso del client sul server, poiché ha già messo insieme tutti i protocolli e le tecnologie necessarie, annullando così l’onere di dover programmare un supporto al protocollo a livello di client.
L’idea di Jabber nasce nel 1998 con Jeremie Miller e un gruppo di sviluppatori indipendenti che riescono a sviluppare una rete di instant messaging aperta ed espandibile a qualsiasi altro servizio di messaggistica già esistente. Inoltre la filosofia open source garantì, già da subito, uno sviluppo migliore e un controllo generalizzato sulla sincerità e la bontà della sicurezza dei dati.

Per spiegare l’architettura XMPP, Markus Hofmann e Leland R. Beaumont utilizzano i personaggi “Romeo and Juliet” della tragedia shakespeariana. La metafora racconta che Giulietta e Romeo utilizzano account diversi, appartenenti ciascuno al proprio server familiare. Giulietta, con il proprio account juliet@example.com, invia al suo server un messaggio (Art thou not Romeo and a Montague?) per romeo@example.net; il testo viene ricevuto dal server “example.com” che contatterà il server “example.net” (che ospita l’account di Romeo) e verificata la rispondenza di indirizzo e di linguaggio, si stabilirà una connessione tra i due server recapitando così il messaggio al giusto destinatario che potrà rispondere (Neither, fair saint, if either thee dislike) e così via.

In sostanza, anche se gli utenti hanno client e sistemi operativi diversi, i server su cui poggiano gli account faranno in modo di portare a buon fine lo scambio comunicativo.
E’ quello che si chiama “sistema scalabile”: nessun server centrale che si occupa di smistare i messaggi, ma tanti server che diventano nodi di scambio all’interno della rete XMPP. Questo significa che anche se una parte della rete non funzionasse, quella restante continuerebbe a svolgere egregiamente il proprio compito.

XMPP fornisce sia chat singola che di gruppo, ha una rubrica per i contatti, permette di scambiare file e immagini in chat e stabilisce comunicazioni criptate sia singole che di gruppo.

E’ possibile installare una grande quantità di Clients per qualsiasi tipo di piattaforma e qui trovate tutta la lista. Il migliore per Android è sicuramente Conversations che su Google Play è a pagamento mentre con F-Droid puoi scaricarlo gratis (se volete potete seguire questa guida); mentre per iOS consiglio Monal che trovate gratis sullo store ufficiale.

La sicurezza e la privacy, anche qui, sono affidate a una crittografia end-to-end ed è possibile ricevere messaggi cifrati su più dispositivi, o inviarli anche se il destinatario è offline. La crittografia funziona anche per immagini, file e messaggi vocali. I protocolli crittografici sono implementati in modo trasparente e, grazie allo sviluppo comunitario di questo open source, chiunque può verificare l’assenza di backdoor e di falle di sicurezza nel codice.

Ma per la nostra sicurezza, la domanda giusta è: di chi e di cosa ci fidiamo quando decidiamo di dialogare con qualcuno?

Qualche esempio, un po’ grossolano, sulla nostra percezione (e sulle pratiche) della sicurezza in tema di conversazioni.

La prima cosa che facciamo quando instauriamo una conversazione è quella di capire/decidere, immediatamente, il livello (pubblico, sociale, privato, intimo) a cui tale tipo di comunicazione appartiene. Al netto di disturbi psicologici, sappiamo come discutere in un bar o nella sala d’attesa di un barbiere/parrucchiere, sappiamo (forse un po’ meno) come e cosa scrivere sulla nostra bacheca di Facebook, comprendiamo che per parlare di cose di famiglia è meglio farlo in casa nostra, allo stesso modo ci appartiamo in luoghi e con distanze opportune (curando bene il “canale”) per dialogare di cose intime.

Basandoci su tale paradigma, risolviamo una semplice proporzione che ci da, approssimativamente, il peso della propagazione dell’informazione, in rapporto al numero delle persone presenti nella conversazione. Ovvero, il potenziale di diffusione parte da un numero imprecisato (teoricamente infinito) “x” della conversazione pubblica e arriva fino a “2” nella conversazione intima (ovviamente parliamo di partecipanti e non di rischio diffusione o intercettazione).

Se, dunque, in analogico possiamo assumere come valore minimo teorico di diffusione il numero “2“, in digitale questo valore minimo dev’essere almeno “3” (i due dialoganti/intimi più colui che gestisce il canale). Questo vuol dire almeno due cose: la prima è che non esistere la condizione di “intimità” in una chat; la seconda che, come conseguenza della prima, la nostra soglia di prevenzione della privacy è diventata un po’ più “lasca”.

Ora, possiamo fare tutti i ragionamenti che vogliamo, sulla proprietà, sui sistemi e anche sulla criptazione o qualcos’altro, ma fondamentalmente dobbiamo sempre fidarci di qualcuno che è “altro” rispetto al nostro interlocutore intimo. In sostanza sta a noi scegliere se questo “altro” debba essere Zuckerberg (Messenger, WhatsApp, Instagram), Durov (Telegram), Google (Hangout e Yahoo! Messanger), Microsoft (MSN Messanger e Skype) oppure un’organizzazione no-profit come Open Whisper Systems che gestisce l’open source Signal.

Ecco forse sta proprio qui la chiave di volta: fidarsi di chi non crede che tutti gli scambi debbano essere per forza di natura economica, di chi non venderà i dati appena possibile, di chi non capitalizzerà il successo e di chi da anni si batte per una rete paritaria e democratica.

16/02/2017

Il mio primo Sinclair QL

Gli anni ’80 possono essere ricordati, tranquillamente, per le “musicassette” che, a tutti gli effetti, sono state le chiavi per aprire il mondo conosciuto e quello conoscibile.

Credo di essermi sentito un pirata per la prima volta, dopo aver duplicato della musica da una cassetta originale a una vergine o, come molti altri, dopo aver registrato dei pezzi col miscrofono direttamente dalla radio per poi riprodurli e diffonderli (anche se quest’attività la facevo già da qualche anno prima, con la trasmissione “Pop-Off” che andava in onda dopo le 21 sul secondo canale della Rai) .

Poi mi sentivo un vero e proprio hacker quando duplicavo una cassetta per un datasette.

Insomma le musicassette stavano dappertutto: nelle case, nelle auto, in giro nei walkman e io ne avevo la stanza piena fino al soffitto. Fu, probabilmente, questa la ragione che mi spinse ad avvicinarmi al QL, l’ultimo prodotto di casa Sinclair (CPU Motorola 68008 a 7.5 MHz e 128k di RAM). Perchè QL, oltre al suo Qdos multitasking e al suo SuperBasic, utilizzava dei mini supporti di memorizzazione magnetici, i ZX Microdrive, sui quali girava anche una suite office di serie (word processor, foglio di calcolo, database e grafica) sviluppati dalla Psion. Altra novità erano le due porte QLAN che permettevano di creare una rete di QL e/o Spectrum a 100 Kbaud.

In sostanza Sinclair cercava di intromettersi in un mercato ancora fortemente diviso tra computer home e sistemi professionali, facendo da cerniera tra i due mondi.

Le cose, però, non andarono proprio nel modo sperato: il periodo fu infelice a causa dell’uscita di Macintosh 128k e della fretta che ebbe la Sinclair nel lanciare il QL prima di Apple. Forse proprio quella fretta fece partorire un prodotto con diversi difetti sia nell’hardware che nel software.

Quei mini supporti magnetici, poi, si rivelarono poco affidabili e poco capienti (100 Kb) e il Qdos fu costretto a un numero imprecisato di patch. Anche la compatibilità con gli altri prodotti della stessa casa andò a farsi benedire, mentre sul mercato si affacciavano macchine con architetture più performanti.

Insomma nel giro di qualche anno, con l’acquisizione d Sinclair da parte di Amstrad, il QL esce completamente di scena e io invece ci continuai a lavorarci, giocarci per quanto possibile; anzi grazie a quel QL sviluppai una passione che porto ancora dentro.

Poi come fai a non commuoverti davanti a una coriacea community che è attiva ancora oggi.

25/10/2016

Ninux Day 2016

A Firenze, nell’ex villa rurale del 1500 di ExFila (che fu la storica sede della fabbrica di matite Fila), dal 26 al 27 novembre ci sarà il Ninux Day, organizzato dalla wireless community network ninux.org.

Tutti i membri delle community italiane ed europee e gli appassionati delle reti free, si riuniranno per discutere di:

* rete come bene comune
* networking spontaneo, dal basso
* governance di comunita’ decentralizzate
* aspetti legislativi legati alle community networks e delle reti wireless
* espressioni artistiche nell’ambito delle community networks o reti wireless
* reti cittadine
* wireless mesh networks
* protocolli di routing
* sistemi operativi FLOSS orientati al networking
* management e monitoring distribuito
* servizi distribuiti e decentralizzati
* fog computing e cloud (IaaS) distribuito
* reti resilienti

Se volete farvi un’idea su Ninux e le reti libere ne parlavo un po’ di tempo fa qui e qui.

Se invece volete proporre un talk o un workshop, potete invia un’e-mail a contatti@ninux.org con una breve biografia e un abstract da 50-100 parole entro il 15 Novembre.

Dove: Exfila, Via Leto Casini 11, Firenze
Wiki: http://wiki.ninux.org/NinuxDay2016
Blog: http://blog.ninux.org
Mappa dei nodi ninux: http://map.ninux.org

23/10/2016

La nostra sicurezza nelle chat

In una ricerca pubblicata qualche giorno fa, Amnesty International ha stilato una classifica di 11 aziende (Apple, Blackberry, Facebook, Google, Kakao Corporation, LINE, Microsoft, Snapchat, Telegram, Tencent e Viber Media), proprietarie di applicazioni di messaggistica istantanea, che hanno maggior rispetto per la privacy dei loro clienti.

<img class=”wp-image-4163 alignleft” src=”http://www this content.vitocola.it/wordpress/wp-content/uploads/2016/10/prism2-300×225.jpg” alt=”prism” width=”440″ height=”330″ srcset=”http://www.vitocola.it/wordpress/wp-content/uploads/2016/10/prism2-300×225.jpg 300w, http://www.vitocola.it/wordpress/wp-content/uploads/2016/10/prism2.jpg 700w” sizes=”(max-width: 440px) 100vw, 440px” />Peccato che sia in testa che in coda alla classifica ci siano gli stessi nomi che dal 2007 al 2013 erano presenti nel famoso caso PRISM. Amnesty International non ignorava la cosa e ha chiarito di essersi interessata alle aziende “commerciali” con le applicazioni più diffuse. Ecco perché, per esempio, non c’è Signal che appartiene a un gruppo non-profit.

In sostanza Amnesty classifica quelle aziende con più attinenza e rispetto della propria policy in modo da consigliarci un male minore.

I criteri indagati sono stati 5 (1-riconoscere le minacce online alla libertà di espressione e diritto alla privacy come i rischi per i suoi utenti attraverso le sue politiche e le procedure; 2- applica la crittografia “end-to-end” di default; 3-sensibilizza gli utilizzatori sulle minacce alla loro privacy e alla libertà di espressione; 4-rivela i dettagli del richieste del governo per i dati utente; 5-pubblica i dati tecnici del suo sistema della crittografia) ma nessuna analisi tecnica è stata condotta sulla sicurezza globale del servizio di messaggistica.

Precisiamo che neanche con la crittografia “end-to-end” si è al riparo dagli spioni, poiché sarebbe sempre possibile entrare in possesso delle chiavi crittografiche private con un po’ di “social engineering”, ad esempio, fingendosi uno dei destinatari, oppure assicurandosi il controllo di un nodo della connessione, o anche semplicemente accedendo ai dati di backup del cloud, ecc…., più o meno quello che la NSA faceva con x-keyscore.

Dunque, forse, sarebbe stato più utile considerare “se, dove e come” queste aziende conservano i dati dei clienti.

Per farla breve ne viene fuori che WhatsApp (il più utilizzato sia per numero di ore che per frequenza di utilizzo e che usa lo stesso protocollo di Signal) è la chat più sicura di tutte, superando anche la concorrente Telegram che, invece, dal 2015 ha messo in palio 300mila dollari per chiunque riesce a superare il proprio sistema di sicurezza.

Ultima cosa importante del documento di Amnesty è che solo la metà delle aziende intervistate, rende pubblico un report sulla quantità di dati degli utenti che viene dato ai governi in seguito a esplicite richieste.

Ma allora, qual è l’app di messaggistica più sicura?

ALLO di Google neanche a parlarne. A parte la crittografia traballante c’è quel forte interesse (comune a tutte le aziende) a far soldi con i dati degli utenti che qui viene affinata ancor di più attraverso la “machine learning”. Si tratta di un servizio di profilazione avanzato degli utenti con il quale Google capisce sia il testo che le immagini contenute nei messaggi. In tal modo l’app riesce sia a suggerire frasi automatiche in risposta a delle immagini inviate che consigliare dei risultati di ricerca con una geolocalizzazione rapida su Maps in funzione del contenuto del testo digitato. Dunque tutto il contrario della privacy dell’utente.

WhatsApp è la più popolare in assoluto, supera il miliardo di utenti e, come dice Amnesty, usa una crittografia end-to-end. Il problema serio è rappresentato dalla raccolta di dati e metadati (la lista dei contatti, numeri di telefono e a chi si scrive) che Facebook può utilizzare per i propri fini e anche consegnarli alle autorità qualora venissero richiesti. Se poi si sceglie di salvare i contenuti delle conversazioni su cloud si completa il quadro del rischio per l’utente.

Telegram usa il protocollo MTProto definito, però, “traballante” da Thaddeus Grugq. A suo demerito va detto che salva tutti i dati sui propri server in chiaro e a suo merito i “bot” e le api libere per poterli creare, ma sopratutto i “canali” con i quali è possibile comunicare istantaneamente con un grandissimo numero di utenti.

Il migliore è sicuramente Signal e non perchè l’abbia detto Snowden un anno fa, piuttosto per la sua filosofia di base che lo rende più sicuro. Intanto è un sistema aperto e questo già basta a garantire sulla sicurezza da solo. Anche se può sembrare un ossimoro, in realtà quando i codici sorgenti sono aperti, chiunque può migliorarli creando patch e sviluppi alternativi attraverso collaborazioni diffuse e riutilizzo del codice.

Inoltre Signal non raccoglie dati e metadati degli utenti da nessuna parte, ma annota soltanto i tempi di connessione. Anche quando chiede di condividere i contatti (in modo da trovare chi usa la stessa app) tutta l’operazione viene subito cancellata dai server. Non essendo presente la funzione di backup della chat, nel caso si cambiasse smartphone, si dovrà spostare tutto a mano.

E’ stata creata da Open Whispers System, una società no profit che si finanzia solo con le donazioni volontarie. L’unico neo di questa app è quella di essere poco diffusa (sembra che sia stata scaricata da poco più di 1 milione di utenti contro il miliardo di utenti dichiarato da WhatsApp) e probabilmente resterà tale proprio a causa della sua filosofia sulla sicurezza che la rende poco user friendly.

11/04/2016

Panama papers e altri numeri

Conto corrente estero e conto offshore

Per lo Stato italiano, e per l’Europa, è possibile possedere un conto corrente all’estero a patto che venga dichiarato fiscalmente, inserendolo nella dichiarazione dei redditi (nell’apposito quadro RW della dichiarazione dei redditi a partire da una giacenza o movimentazione annuale pari o superiore a 15 mila euri). La banca estera nella quale si apre il conto è obbligata a comunicare allo stato di residenza del correntista tutte le informazioni relative al conto corrente.
Il correntista, di conseguenza, verserà un’imposta (Ivafe) sul suo valore del deposito pari al 2 per mille, oltre alla normale tassazione sulle plusvalenze realizzate.
Sostanzialmente è come tenere un conto in una banca italiana, l’unica convenienza potrebbe essere rappresentata da migliori condizioni sulla tenuta del conto, da servizi più efficaci ed efficienti o dalla convinzione di aver depositato i propri soldi in una banca più solida e più sicura ma, credo, niente di più.
Chi mira, invece, a risparmiare sul pagamento delle tasse dovrà eludere tutta la procedura ufficiale e seguirne una “offshore”, ovvero aprire un conto estero sul quale le tasse non vengono pagate grazie alla segretezza dell’identità del correntista.

Panama papers

Questo è proprio il punto nodale di un conto offshore: la segretezza. Ma non è cosa semplice da realizzare. Considerato l’obbligo della trasparenza delle aziende e il grande impegno dell’OCSE nella lotta contro i paradisi fiscali, diventano indispensabili almeno due cose: primo rivolgersi a uno dei 14 paesi dove è ancora possibile richiedere segretezza (Belize, Brunei, Isole Cook, Costa Rica, Guatemala, Filippine, Liberia, Isole Marshall, Montserrat, Nauru, Niue, Panama, Uruguay e Vanuatu) e poi affidarsi a società o agenzie specializzate che riescono a far arrivare il denaro sul conto corrente di questa banca estera senza lasciare tracce. Anche tracce come le “ Panama papers”. Quasi dodici milioni di documenti, relativi a transazioni finanziarie segrete, sottratti allo studio Mossack Fonseca da un anonimo whistleblower che, come dice l’Espresso, li ha forniti al quotidiano tedesco Suddeutsche Zeitung che, a sua volta, si è rivolto al ICIJ (l’International Consortium of Investigative Journalists che ha condiviso il lavoro e la scoperta con le 378 testate partner tra cui l’Espresso).
Siccome stiamo parlando di 2,6 terabyte di dati, c’è chi sostiene che non si tratti di una semplice gola profonda ma crackers che hanno sfruttato la vulnerabilità di un vecchio plugin su WordPress (“Revolution Slider” che in una sua versione non aggiornata fa caricare una shell remota – corretta già da due anni da Wordfence) e di un server di posta, al quale accedevano tutti i clienti dello studio, che risedevano sullo stesso network.
Insomma una grossolana leggerezza che ha permesso di scaricare, per mesi, tutto l’archivio dello studio Mossack Fonseca. Infatti, dopo il 3 aprile, il loro dominio è passato a Incapsula che ha trasferito tutto su server neozelandesi.

Crackers?

Crackers perché l’operazione è stata pagata (non si sa se commissionata o offerta) e la filosofia hacker non collima con questa tipologia di finalità; e poi perché nella rete hacker non c’è stata nessuna eco dell’impresa.
Pagata dagli americani perché l’ICIJ è stato fondato da un giornalista americano (Chuck Lewis) ed è sostenuta da: Adessium Foundation, Open Society Foundations, The Sigrid Rausing Trust, Fritt Ord Foundation, Pulitzer Center on Crisis Reporting, The Ford Foundation, The David and Lucile Packard Foundation, Pew Charitable Trusts and Waterloo Foundation.
Tant’é che, al momento, tra tutti gli americani presenti nei documenti, non è ancora saltato fuori nessun nome eccellente a fronte dei 140 politici e uomini di Stato del resto del mondo.

I numeri

215 mila le società coinvolte, riferite a 204 nazioni diverse e 511 banche (tra cui le italiane Ubi e Unicredit);
378 giornalisti, in un forum chiuso, analizzano un database di 2,6 terabyte lungo 38 anni di registrazioni.
800 sono gli italiani coinvolti e tutto quello che ne verrà fuori continueremo a leggerlo sulle maggiori testate giornalistiche del mondo.

23/05/2015

Meerkat on Android

Meerkat è il nome con il quale gli africani chiamavano il Suricata. Venne introdotto nella lingua inglese attraverso un errore di comprensione dall’olandese che invece con quel nome identificavano un Cercopithecus.
C’è chi sostiene che la derivazione sia sanscrita, ma questa è un’altra storia. Sicuramente a molti il suricata, farà venire in mente “Hakuna Matata” cantata da Timon e Pumbaa nel Re Leone; ma noi ci occuperemo qui, più semplicemente, di un’app per lo streaming video.

E Periscope?
Perché parlane ora dal momento che l’app c’è già da un po’ di tempo? Anzi sono già forti le polemiche e la concorrenza con Periscope? Semplicemente perché da poco è stata rilasciata sullo store di Google ed è fuori dalla beta anche per i dispositivi Android.
Diciamo subito, così ci togliamo il dente, che le differenze più vistose con Periscope sono la completa integrazione-complicità con Twitter (ma prima che Twitter comprasse Periscope c’era anche per Meerkat) e le possibilità sia di far rivedere lo streaming in replay che di crearne uno privato che Meerkat non fa. Però mentre Periscope è presente soltanto su Apple Store, Meerkat lo trovate anche sul Play di Google e questo basta e avanza.

Ma andiamo alla parte pratica.
Per avviare l’app avrete bisogno di un account Twitter (a breve sarà possibile accedere anche con un account Facebook, cosa già possibile con la versione 1.3.1 per iOs) e dell’uso della fotocamera del device (fronte, retro o flash lo sceglierete in avvio di streaming).
Partita l’app vedrete in alto a sinistra, in un quadratino, il vostro account twitter e il vostro “score” (se ci fate tap col dito vedrete following, followers e il tasto del log-out ); al centro la faccina del suricata con il profilo a destra (in questo caso vedrete in basso soltanto 3 live streaming), se ci tappate su, si gira a sinistra e vi mostra tutto il live di quel momento.
A destra trovate una lente d’ingrandimento per cercare i follower e una medaglia (Leaderboard) che vi mostrerà la classifica degli utenti più seguiti (Nora Segura, Madonna, ecc…), quindi se volete iniziare a seguire qualcuno potete iniziare anche da qui.
Più sotto una piccola barra vi invita a scrivere qualcosa (write what’s happening) che sarà il titolo del vostro streaming, mentre più sotto vedrete scorrere le finestre del live streaming . Se qualcosa vi incuriosisce basterà tapparci sopra per guardare, commentare, metterci un like o condividere su Twitter.
Per lanciare il vostro streaming premete sul rettangolino con su scritto “Stream”; parte subito, quindi tenetevi pronti già con la prima inquadratura. In alto vedrete gli utenti che guardano il vostro video in quel momento (now watching) mentre dal basso scorreranno gli eventuali commenti.
Per terminare premete “Stop” e Meerkat vi mostrerà il totale delle persone che l’avranno visto.

25/08/2014

Android a rischio (UI State Inference Attack)

Secondo un team di ricercatori della University of Michigan e dell’Università della California, una “debolezza” di Android metterebbe a rischio la sicurezza dei dati dell’utente del dispositivo.

Stiamo parlando di “UI State Inference Attack” ovvero l’attacco all’interfaccia dell’utente che avvalendosi di autorizzazioni alla condivisione della memoria, concesse da Android senza speciali permessi per consentire a un’applicazione di raccogliere informazioni sullo stato di altre applicazioni, permette di prelevare facilmente i dati dell’utente.

Zhiyun Qian, professore in sicurezza informatica presso l’Università della California, mette sull’avviso gli utenti sui seri rischi derivanti da questa debolezza e in un video da qualche esempio di come può funzionare l’attacco: per esempio rubare il nome utente e la password dell’applicazione “H&R Block”, copiare l’immagine di controllo presa dall’applicazione “Chase Bank” e recuperare le informazioni della carta di credito da “NewEgg”.

I ricercatori hanno aggiunto che questo tipo di attacco, non basandosi su una falla del sistema, è possibile replicarlo anche su altre piattaforme.

04/08/2014

Mohiomap organizza la tua discarica info

Dice Catherine Shu che dopo essersi accorta di aver usato Evernote come una discarica di informazioni, ha provato ad usare Mohiomap, una web app che trasforma tutte le note e i file di Evernote, di Google Drive e Dropbox in mappe mentali.

In sostanza si passa da un concetto lineare (liste o elenchi) ad uno rizomatico (rete o mappa) di organizzazione delle informazioni archiviate sui diversi cloud.

La nuova forma semantica delle informazioni, secondo Christian Hirsch, dovrebbe aiutare le persone ad organizzare meglio i loro contenuti e collegarli tra loro.

Al momento la versione gratuita permette solo di visualizzare e navigare tra le proprie mappe ma se si vogliono creare delle connessioni trai i vari nodi, accedere a una dashboard di analisi e aggiungere commenti alle note o ai file, ci vuole un account “Premium” e 5 dollari al mese.

29/07/2014

Un acquisto giusto

Non faccio pubblicità (nessuno mi paga) ma questo nuovo smartphone credo che vada consigliato agli amici o comunque a chiunque sia interessato all’acquisto di qualcosa di simile e voglia risparmiare un bel po’.
Si chiama “OnePlusOne” e se leggete le sue specifiche tecniche non potete che rimanerne sorpresi.
Processore Qualcomm Snapdragon 801 con una Quad-Core CPU clockata a 2.5GHz; un nuovo EMMC 5.0 con accesso in scrittura a 400MB/s; RAM I XGB di LP-DDR3 clockata a 1866MHz e fotocamera Sony Exmor IMX214 da 13 Megapixel.
Interessante anche la politica della privacy con la CyanogenMod che protegge la tua identità crittografando automaticamente tutti i dati al momento dell’invio.
I prezzi vanno da € 269 per il 16 Gb a € 299 per il 64 Gb, dunque notevolmente al di sotto dei suoi concorrenti (S5 e iPhone 5s, solo per citarne due).
L’unico problema è che per averlo, direttamente dalla casa madre, bisogna prenotarsi per l’acquisto e dal momento della sua disponibilità avete 24 ore per acquistarlo.
Ovviamente lo si trova anche altrove ma a prezzi leggermente maggiorati.