Tanto FaceApp per nulla?

Non è strano e neanche insolito che le applicazioni che fanno applicare filtri alle proprie foto sono tra le più scaricate. Poi se son fatte bene e il filtro è accattivante il successo è assicurato.

E’ proprio quello che è successo a FaceApp: invecchiarsi all’improvviso ha intrigato tutti, anche molti Vip che, come al solito, hanno tirato la volata all’app. Filtri del genere ce n’erano già ma il miglioramento software ha fatto davvero la differenza. In poco tempo i social sono stati invasi da circa 8 milioni di facce invecchiate.

Proprietaria dell’applicazione è la società russa Wireless Lab di Yaroslav Goncharov, ex manager di Yandex (il Google russo), che l’ha lanciata un paio di anni fa redendola disponibile sugli store in versione gratuita (ma bisogna passare a quella “Pro” per utilizzare tutte le funzioni disponibili).

Come tutte le app chiede l’accesso alle foto dello smartphone ma, come spiegato da Wired, non dice che i dati vengono inviati ai propri server, dove praticamente avviene la modifica, e qui conservati per un tempo non definito, prima di essere rispediti indietro allo smartphone di partenza.

Alle richieste di spiegazioni Wireless Lab ha risposto che i dati restano sui server per il tempo necessario all’elaborazione per poi essere cancellati e che nessun dato resta in territotio russo e che, in fondo, l’utente può sempre chiedere la cancellazione (anche se il procedimento è piuttosto complicato).

Alla parola “territorio russo” saltano tutti sulla sedia e si allarmano, perchè nell’immaginario collettivo (creato in anni e anni di perseveranza americana) è la terra dei cattivi per antonomasia: quella degli hacker che rubano informazioni e manipolano anche le elezioni (peccato che a beneficiarne è stato proprio il più amato degli americani)…  Tutto regolare e funzionale alla logica dell’americano medio, se non fosse per un piccolo particolare, che i server della Wireless Lab non sono in Russia ma su server in cloud di Amazon e di Google.

L’eco che arriva anche sulla stampa nostrana è lo stesso partito dalle preoccupazioni di alcuni senatori USA che hanno invitato tutti a disinstallare l’app perchè, si sa, la parola “russo” fa effetto anche da sola.   Ma non è che FaceApp sia proprio il male assoluto; in fondo tutte le applicazioni di questo tipo, alla fine, fanno più o meno le stesse cose. Anzi il diabolico trio di Zuckeberg (Facebook, Instagram e WhatsApp) fa anche peggio, per non parlare poi di quello che Google fa con i nostri dati.

C’è differenza? Non molto.  A parte il fatto che alcune app descrivono più o meno dettagliatamente dove si trovano i nostri dati e un po’ meno cosa si fa con essi, per il resto sappiamo bene che è meglio non fidarci e non usarle.

Ma è, come si dice dalle mie parti, “acqua santa persa” perchè non conosco molte persone che si preoccupano di leggersi tutto prima di installare un’app e soprattutto si rifiutino di autorizzarle a manipolare tutto sul nostro smartphone: dalla rubrica all’archivio, dalla fotocamera al microfono.

E quindi? Tanto rumore per nulla?

Per nulla proprio no, ma l’importante che un utente completamente immerso tra WhatsApp, Instagram, Facebook, Google, ecc… si preoccupi delle foto che viaggiano verso la Russia distraendosi, anche solo per poco tempo, di quello che fanno le solite multinazionali del digitale; tanto a tenere i nostri dati  al “sicuro” ci pensano proprio loro… sempre.

La criptomoneta di Facebook

La nuova moneta che un gruppo capitanato da Facebook si appresta a lanciare si chiamerà Libra ma le diffidenze stanno già crescendo giorno dopo giorno e negli USA ne chiedono già lo stop.

E’ progettata sulla blockchain ed è realizzata in partnership con Mastercard, Visa, Vodafone, Uber, eBay, Booking.com, Spotify, PayPal e altri, in un consorzio che al momento raggruppa 28 aziende del neo anarco-capitalismo americano.

Libra, secondo i supporters, non dovrebbe oscillare come i bitcoin poichè sarà agganciata a titoli e obbligazioni che ne dovrebbero ridurre la sua fluttuazione e per questo motivo molti la associano più ai JPM Coin di J.P. Morgan che ai bitcoin.
Il sistema dovrebbe avere una platea di utenti che supera i 5 miliardi di utenti di Facebook (Messenger), Instagram e WhatsApp, oltre a quelli di eBay, Spotify e Booking.com, ecc…. e che quindi, nelle intenzioni dei suoi promotori, dovrebbe diventare la moneta esclusiva degli scambi in digitale.

L’idea non è proprio nuovissima, non solo per la presenza oggi dei bitcoin e altri valori di scambio similari, ma perchè, almeno in linea generale, a me ricorda tanto il tentativo che fece Second Life con la sua moneta, i Linden Dollar (lanciati nel 2006 – erano necessari 260 Linden Dollar per avere un dollaro), che doveva alimentare l’economia di quell’ecosistema globale. Me lo ricorda perchè l’idea di avere tra le mani tante persone chiuse in uno stesso recinto (allora era un metaverso) alla fine incrementa strani appetiti. Credo che lo stesso sia stato per WeChat in Cina (ma anche in questo caso il legame con la valuta resta iprescindibile).

Probabilmente quello che pensò di fare Linden Lab potrebbe riuscire meglio a Zuckeberg e Co. per via di una maggiore apertura e facilità d’uso della sua piattaforma, oltre che per la numerorità degli utenti.
Certamente è un passo in più verso quell’immaginario anarco-capitalista che dall’inizio degli anni ’90 rappresenta la meta ambita di questi nuovi imprenditori in digitale e che risponderebbe alle domande e alle speranze che quell’anarco-economista von Hayek chiama “libertà di scegliere la moneta più consona” (“Denationalisation of Money”, 1990).

La super potenza del controllo di massa

La Cina è uno di qui paesi dove la sorveglianza di massa è cosa normalizzata e istituzionalizzata ed è di questi giorni la notizia, data da The Intercept, dei due colossi tecnologici americani (Google e IBM) che da un po’ di anni aiutano il governo cinese a migliorare il loro sistema di controllo totale.  Insomma se da un lato fanno finta di lamentarsi perchè sono bloccati dalla censura cinese, dall’altro collaborano al sistema di controllo e censura governativo.

La collaborazione avviene attraverso un’organizzazione non profit (la OpenPower Foundation) a cui partecipano Google, IBM, la cinese Semptian (nota alle cronache perchè un dipendente dell’azienda confessò che i prodotti tecnologici della società venivano utilizzati per monitorare l’attività in rete di 200 milioni di persone attraverso iNext, una società di facciata che oltre ad essere ubicata nella stessa sede di Semptian ne condivide anche i dipendenti) e Xilinx (produttore di chip) con l’obiettivo “ufficiale”  di aumentare e dirigere l’innovazione cinese.

Cosa si intende, in questo caso, per innovazione? Semplice: produrre e mettere a disposizione tecnologia (anche microprocessori) in grado di analizzare grandi quantità di dati in modo più veloce ed efficiente.

Semptian è un’azienda fondata nel 2003 e da anni è partner del governo cinese che gli ha assegnato lo status di azienda nazionale e le aziende che ricevono tale status sono ricompensate con un trattamento preferenziale sotto forma di agevolazioni fiscali e altro.

Nel 2011, il settimanale tedesco Der Spiegel pubblica un articolo che mette in evidenza il contributo dato da Semptian agli aspetti tecnici di quel grande sistema di censura cinese su Internet (il blocco dei siti web che il governo ritiene indesiderabili) che va sotto il nome di National Firewall.

Nel 2013 Semptian inizia a promuovere i suoi prodotti in tutto il mondo e due anni dopo, con l’adesione alla OpenPower Foundation,  comincia a utilizza la tecnologia americana per rendere più potente il suo sistema di sorveglianza.

Giusto per farci un’idea: Semptian, tramite iNext, ha messo su un sistema di sorveglianza di massa chiamato “Aegis” che analizza e archivia una quantità “illimitata” di dati, fornendo una profilazione accurata di ogni singolo cinese in rete.  Ma non solo, perchè il controllo è invasivo e pervasivo e interessa, oltre internet, anche le reti telefoniche, consentendo di raccogliere il contenuto delle telefonate, delle e-mail, dei messaggi di testo; di conoscere la posizione del cellulare, le cronologie di navigazione web, della rubrica telefonica ecc….  Di tutti questi dai non si può certo dire che poi il governo cinese non ne abbia fatto tesoro nel perseguire gli attivisti per i diritti umani e tutti coloro che a qualsiasi titolo si siano dimostrati critici verso Xi Jinping.

Sono circa 800 milioni i cinesi su Internet e quindi il potenziale numero di persone da seguire e di dati da analizzare è davvero enorme.  Al momento la tecnologia di Semptian analizza, a loro dire, migliaia di terabit al secondo e sembra che stiano analizzando “soltanto” i dati di un quarto della popolazione online.

The Intercept ha pubblicato anche un breve video dove viene mostrato il funzionamento di Aegis. E’ possibile inserire qualsiasi tipo di dato per la ricerca, anche semplicemente il numero di cellulare, per ricevere informazioni sull’attività del dispositivo: dalla mappatura degli spostamenti georeferenziati, all’app di instant messenger; dall’attività su un forum a un commentto su un blog, ecc…. Il sistema, inoltre, registra anche l’audio di una telefonata, il contenuto di un messaggio di testo o di una e-mail.

E’ già dal 2015 che Semptian è entrata a far parte di OpenPower Foundation (il cui presidente è Michelle Rankin della IBM e il direttore Chris Johnson di Google) e sul proprio sito web dichiara di  “lavorare attivamente con aziende di livello mondiale come IBM e Xilinx” e queste aziende, certo, non possono dire di ignorare di cosa si occupi specificatamente la Semptian; anzi a dicembre, quest’azienda è stata invitata ufficialmente al summit che OpenPower hanno organizzato a Pechino, e qui ha dato una dimostrazione pratica dell’utilizzo di questa sua nuova tecnologia di analisi video sviluppata per il “monitoraggio dell’opinione pubblica”.  Alle  domande specifiche fatte a un portavoce della OpenPower Foundation circa i rapporti di lavoro della non profit con Semptian, questi si è rifiutato di rispondere dicendo solo che “la tecnologia che passa attraverso la Fondazione è di uso generale, disponibile in commercio in tutto il mondo e non richiede una licenza di esportazione negli Stati Uniti“.  Questo è quanto basta?

L’app che non ti frega solo il sudore

Stamattina un’amica mi chiede informazioni su “SweatCoin”  (letteralmente moneta per il sudore) che è un’app che fa guadagnare dei “punti virtuali” (che molti confondo con i bitcoin ma in realtà non sono soldi virtuali poiché non si tratta di una criptovaluta su tecnologie blockchain) con i quali poter acquistare dei prodotti all’interno dei negozi legati alla piattaforma.

Ogni mille passi tracciati dal Gps dello smartphone,  compiuti esclusivamente all’aperto (non valgono tapis roulant o spostamenti dentro casa), fanno  guadagnare uno sweatcoin, anzi 0,95 e per comprare qualcosa ce ne vogliono minimo 15; ma ovviamente per qualcosa di serio ce ne vuole qualche migliaio.

Dicono nelle condizioni d’uso che “Gli sweatcoin possono essere utilizzati per riscattare prodotti, servizi e altri benefici tramite l’app Sweatcoin, nella misura in cui tali prodotti, servizi e altri vantaggi sono offerti dagli utenti. L’utente riconosce e accetta che Sweatcoin non può essere riscattato in denaro da SweatCo o da una delle sue affiliate” e che “potremmo decidere di imporre un onere della commissione denominato Sweatcoin sulla generazione di Sweatcoin che ci autorizza a detrarre una parte degli sweatcoin che generi”.

Comunque se fate due calcoli veloci ci vogliono mesi o anni per poter accumulare una cifra dignitosa e anche se siete un maratoneta folle, con l’app gratuita non potete fare più di 5.000 passi al giorno e guadagnare più di 5 sweatcoin.

Bisogna quindi passare a una modalità a pagamento che permette di poterne accumulare di più. Gli utenti, infatti, sono stati divisi in quattro categorie in funzione del numero massimo di crediti che possono accumulare quotidianamente:

Insomma, mentre voi vi inondate di sudore la SweatCo avrà già monetizzato tutti i dati raccolti all’interno del vostro dispositivo e avrà già venduto la vostra dettagliata profilazione a qualche azienda che poi vi seguirà anche se state seduti sul divano di casa.

Ora a parte tutti i problemi tecnici sul conteggio dei passi di cui si lamenta la maggioranza degli utenti (https://play.google.com/store/apps/details?id=in.sweatco.app&showAllReviews=true), date un’occhiata alle autorizzazioni che bisogna concedere all’app per farla funzionare:

Identità

  • read your own contact card

Contatti

  • read your contacts

Luogo

  • approximate location (network-based)
  • precise location (GPS and network-based)

Telefono

  • read phone status and identity

Foto/elementi multimediali/file

  • read the contents of your USB storage
  • modify or delete the contents of your USB storage

Spazio di archiviazione

  • read the contents of your USB storage
  • modify or delete the contents of your USB storage

Fotocamera

  • take pictures and videos

Informazioni sulla connessione Wi-Fi

  • view Wi-Fi connections

ID dispositivo e dati sulle chiamate

  • read phone status and identity

Altro

  • receive data from Internet
  • view network connections
  • full network access
  • run at startup
  • draw over other apps
  • control vibration
  • prevent device from sleeping

fonte: https://play.google.com/store/apps/details?id=in.sweatco.app

L’ignavia nel web

Come nasce lo slogan “se è gratis allora il prodotto sei tu” lanciato da Time nel 2010?

Inizialmente dalla consapevolezza che se un’azienda regalava (quella che sembrava) la propria “merce/servizio” voleva dire, ovviamente, che il guadagno stava da un’altra parte.

All’inizio tutti abbiamo pensato che sorbirci la pubblicità, più o meno invadente, per usufruire di un servizio gratis, era il giusto prezzo o il male minore. Eravamo già abituati a quel modello imprenditoriale anni ‘90 proveniente dalle radio e TV private che affollavano i propri programmi di pubblicità e che su internet si traduceva in siti pieni zeppi di banner.  Poi un’idea un po’ più precisa ce la siamo fatta quando quella pubblicità è diventata sempre più precisa e sempre più in linea con i nostri desideri. Insomma un sospetto che quel social, quel motore, quel sito di e-commerce ci conoscesse almeno un pochino l’abbiamo avuta.  Un sospetto che si è fatto sempre più forte e preoccupante quando i siti hanno iniziato a farsi la lotta a colpi di spazio cloud di servizi on line gratuiti. Si è pure giocato sulla “minaccia del pagamento” per far accrescere i clienti. Vi ricordate le notizie che ciclicamente uscivano sul pagamento di WhatsApp (ma anche di Facebook)? Questa falsa notizia, spinta ad arte, ad ogni tornata raccoglieva qualche milione di utenti in più. Ma non solo, con il passaggio di piattaforma (dal pc allo smartphone) le aziende digitali si sono ritrovati fra le mani una miniera d’oro ricca di dati e senza alcun limite o restrizione. Una sorta di nuova corsa alla conquista del west. In un solo colpo si potevano raccogliere utenti distratti e poco preoccupati della privacy e una quantità di informazioni a cui nessuno avrebbe mai pensato di poter accedere: la rubrica telefonica, la fotocamera, il microfono e tutti i contenuti presenti sull’apparato, anche quelli che apparentemente sembravano non servire a nulla.

fonte: http://www.juliusdesign.net/28700/lo-stato-degli-utenti-attivi-e-registrati-sui-social-media-in-italia-e-mondo-2015/?update2017

Dalla tabella qui sopra possiamo comprendere l’enormità di dati di cui stiamo parlando; ma se questo numero non vi sembra abbastanza grande, provate a prendere su Facebook, anche soltanto di un mese, le vostre foto, i vostri messaggi (anche quelli privati), le news che avete linkato, i post che avete fatto e i like che avete lasciato, poi moltiplicatelo per 2 miliardi e forse vi farete un’idea approssimativa della quantità di dati che il social immagazzina in un solo mese.  Pensate che solo questo semplice calcolo fa valutare 500 miliardi di dollari Facebook in borsa. Poi dovreste ancora moltiplicare per altri software installati sul PC e altrettante App, anche quelle che vi sembrano più innocenti, presenti sullo smartphone ma così, giusto per avere un ordine di grandezza e, vi assicuro, sarete ancora lontani.  Questa grandezza numerica forse ci fa comprendere le motivazioni di un’ignavia strisciante che gira intorno e dentro il web e che ha fatto da ammortizzatore anche a bombe come quella di Cambridge Analytica.

Io ero convinto che sarebbero esplosi definitivamente tutti i ragionamenti intorno alla privacy, all’informazione manipolata e tossica e al controllo degli utenti e che in qualche maniera Zuckerberg ne sarebbe uscito malconcio. Ma come dimenticare che nel lontano 2003, quindi in un periodo ancora pre-social-autorappresentativo, aveva avuto problemi simili in tema di violazione della privacy con quella sorta di beta di Facebook, ma non subì alcuna conseguenza, anzi da lì comprese definitivamente qual era la sua merce principale.

La vicenda di Cambridge Analytica non è diventata poco credibile perché intricata o distopica, è solo passata indolore tra le fila degli utenti del social,  per via della sua intersecazione al “normale” piano di condivisione e autorappresentazione a cui gli utenti dei social sono abituati e a cui non intendono rinunciare.

Gli utenti di Facebook non sono diminuiti quando si è scoperto che Cambridge Analytica (società vicina alla destra americana) aveva raccolto dati personali per creare profili psicologici degli utenti in modo da lanciare una campagna di marketing elettorale personalizzata a favore di Trump; anche quando si scoprì che la società aveva creato una gran quantità di account fake per diffondevano false notizie su Hillary Clinton; e nemmeno quando Facebook venne accusata di avere reso possibile e facile la raccolta di questi dati e di avere cercato di nascondere il tutto.

Possiamo sfuggire ingannando il sistema? Certo, si può fare ma partire da un account fake e non da quello reale perché se ne andrebbe a farsi benedire la “reputazione on line” e quindi il motivo stesso per il quale si è su quel social.

E comunque, anche se non aderiamo alla filosofia di massa del “non abbiamo nulla da nascondere” e facciamo attenzione alla nostra vita on-line, i social (o la loro somma) raccontano molto, anzi troppo, di noi.  Bastano anche solo i like per far parlare le nostre preferenze e i nostri gusti, se poi si mettono in relazione amici, pagine, gruppi, post e condivisioni di notizie, facciamo emergere un profilo molto più preciso, pronto per chi unirà i puntini.

Che i dati siano una merce preziosa non lo dicono i fanatici della privacy ma lo dimostrano i vari attacchi tesi alla “sottrazione dei dati” come quello che è accaduto a Yahoo qualche anno fa.

Insomma i nostri gusti, le nostre ricerche, i nostri acquisti, le nostre letture sono informazioni che consapevolmente produciamo e inconsapevolmente cediamo gratis ad altri che su questo creano profitto.

Ovviamente la questione non riguarda esclusivamente i social o altri faccende legate al web che meglio conosciamo ma anche a una serie di servizi che invece non conosciamo di meno legati ai sistemi di domotica e di geolocalizzazione che vanno dall’accesso remoto alla lavatrice, all’orologio che ci mostra i chilometri e le calorie consumate, alla foto del piatto scattato nel ristorante, alla connessione wi-fi fatta in stazione.

Stiamo parlando di un centinaio di zettabyte di dati di cui non conosciamo quasi nulla, tanto meno chi, come e perchè li sta trattando.  Ma tanto agli ignavi del web frega poco, l’importante è condividere l’ultima foto della pappa del bimbo.

WannaCry: che fare?

Qualche giorno fa, oltre duecentomila computer nel mondo, sono stati infettati da un ransomware che, come al solito, ha criptato i file (rendendoli inaccessibili) per poi chiedere il pagamento in cambio della chiave di decriptazione. Il malware si chiama WannaCry  e si è diffuso con una rapidità incredibile in un bel numero di paesi; ha sfruttato una falla di sicurezza nel sistema di condivisione dei file e di conseguenza ha avuto gioco facile all’interno delle reti a dominio Windows.

La debolezza era già nota a Microsoft, poiché l’exploit usato (EternalBlue), messo a punto dalla NSA per i loro consueti usi di spionaggio, era stato rubato dal gruppo Shadow Brokers che l’aveva messo on-line ad aprile (una settimana dopo che Trump aveva ordinato il bombardamento della base siriana).

Infatti Microsoft, il 14 marzo, aveva rilasciato degli aggiornamenti, per corregge la modalità con le quali SMBv1 gestisce “le richieste appositamente create a un Microsoft Server Message Block 1.0“.  

Ma si sa che gli utenti windows sono dei buon temponi che non badano troppo agli aggiornamenti di Windows Update (a dirla tutta sono forse gli unici utenti che stanno loggati h24 come administrator sulle proprie macchine) e che hanno permesso a WannaCry di moltiplicarsi a dismisura. Poi nelle lan aziendali, dove le politiche di aggiornamento sono elefantiache, l’intrusione è stata uno scherzetto (benedetto WSUS).

Ora, se non siete stati infettati (e l’Italia è fra le nazioni meno colpite) potete semplicemente avviare Windows Update, verificare la presenza di aggiornamenti e installarli subito, altrimenti vi tocca ripristinare i file dal vostro backup. Se non avete fatto neanche quello… pazienza, vi servirà da lezione e magari, poi, imposterete gli aggiornarsi in modalità “automatica”.
Anche per quelli che ancora smanettano su Windows XP (un sistema ormai dismesso da Microsoft) è stato diffuso un aggiornamento di sicurezza che dovrebbe metterli al sicuro.

Questa era la parte, per così dire, tecnico-descrittiva dell’azione, ora dovremmo cercare di capirne la natura e la logica sottesa a quello che solitamente ci raccontano.

Edward Snowden sostiene che gli attacchi alla rete arrivano anche dagli stati nazionali che si combattono, attraverso le agenzie di intelligence, a colpi di software malevoli. Forse non è un caso se WannaCry sia una diretta derivazione di quello della NSA.

Brad Smith, president and chief Legal Officer di Microsoft, ha detto che questo attacco fornisce un esempio della grande attività di “stoccaggio delle vulnerabilità da parte dei governi”: un po’ come se rubassero agli Usa qualche suo missile Tomahawk. 

Secondo altri, esistono consistenti evidenze di legami tra Shadow Brokers e Putin. Proprio Shadow Brokers aveva detto a Trump di aver votato per lui, ma di aver perso la fiducia riposta nell’attività del neo presidente.

Per tutto il resto vi consiglio questo articolo di Daniele Gambetta su Il Manifesto.

Il mio primo Sinclair QL

Gli anni ’80 possono essere ricordati, tranquillamente, per le “musicassette” che, a tutti gli effetti, sono state le chiavi per aprire il mondo conosciuto e quello conoscibile.

Credo di essermi sentito un pirata per la prima volta, dopo aver duplicato della musica da una cassetta originale a una vergine o, come molti altri, dopo aver registrato dei pezzi col miscrofono direttamente dalla radio per poi riprodurli e diffonderli (anche se quest’attività la facevo già da qualche anno prima, con la trasmissione “Pop-Off” che andava in onda dopo le 21 sul secondo canale della Rai) .

Poi mi sentivo un vero e proprio hacker quando duplicavo una cassetta per un datasette.

Insomma le musicassette stavano dappertutto: nelle case, nelle auto, in giro nei walkman e io ne avevo la stanza piena fino al soffitto. Fu, probabilmente, questa la ragione che mi spinse ad avvicinarmi al QL, l’ultimo prodotto di casa Sinclair (CPU Motorola 68008 a 7.5 MHz e 128k di RAM). Perchè QL, oltre al suo Qdos multitasking e al suo SuperBasic, utilizzava dei mini supporti di memorizzazione magnetici, i ZX Microdrive, sui quali girava anche una suite office di serie (word processor, foglio di calcolo, database e grafica) sviluppati dalla Psion.  Altra novità erano le due porte QLAN che permettevano di creare una rete di QL e/o Spectrum a 100 Kbaud.

In sostanza Sinclair cercava di intromettersi in un mercato ancora fortemente diviso tra computer home e sistemi professionali, facendo da cerniera tra i due mondi.

Le cose, però, non andarono proprio nel modo sperato: il periodo fu infelice a causa dell’uscita di Macintosh 128k e della fretta che ebbe la Sinclair nel lanciare il QL prima di Apple. Forse proprio quella fretta fece partorire un prodotto con diversi difetti sia nell’hardware che nel software.

Quei mini supporti magnetici, poi, si rivelarono poco affidabili e poco capienti (100 Kb) e il Qdos fu costretto a un numero imprecisato di patch. Anche la compatibilità con gli altri prodotti della stessa casa andò a farsi benedire, mentre sul mercato si affacciavano macchine con architetture più performanti.

Insomma nel giro di qualche anno, con l’acquisizione d Sinclair da parte di Amstrad, il QL esce completamente di scena e io invece ci continuai a lavorarci, giocarci per quanto possibile; anzi grazie a quel QL sviluppai una passione che porto ancora dentro.

Poi come fai a non commuoverti davanti a una coriacea community che è attiva ancora oggi.

Ninux Day 2016

A Firenze, nell’ex villa rurale del 1500 di ExFila (che fu la storica sede della fabbrica di matite Fila), dal 26 al 27 novembre ci sarà il Ninux Day, organizzato dalla wireless community network ninux.org.

Tutti i membri delle community italiane ed europee e gli appassionati delle reti free, si riuniranno per discutere di:

* rete come bene comune
* networking spontaneo, dal basso
* governance di comunita’ decentralizzate
* aspetti legislativi legati alle community networks e delle reti wireless
* espressioni artistiche nell’ambito delle community networks o reti wireless
* reti cittadine
* wireless mesh networks
* protocolli di routing
* sistemi operativi FLOSS orientati al networking
* management e monitoring distribuito
* servizi distribuiti e decentralizzati
* fog computing e cloud (IaaS) distribuito
* reti resilienti

Se volete farvi un’idea su Ninux e le reti libere ne parlavo un po’ di tempo fa qui e qui.

Se invece volete proporre un talk o un workshop, potete invia un’e-mail a contatti@ninux.org con una breve biografia e un abstract da 50-100 parole entro il 15 Novembre.

Dove: Exfila, Via Leto Casini 11, Firenze
Wiki: http://wiki.ninux.org/NinuxDay2016
Blog: http://blog.ninux.org
Mappa dei nodi ninux: http://map.ninux.org

L'internet delle cose vostre

Prima di raccontavi questa storia è bene evidenziare 4 parole chiave.

IoT

è l’acronimo di Internet of things (Internet delle cose) ed è la possibilità concessa agli oggetti di connettersi alla rete e comunicare tra loro. Per esempio un piccolo termostato installato su un frigorifero, un forno, una caldaia, che avvisa via internet il raggiungimento di una temperatura, oppure delle scatoline porta-farmaci che fanno squillare il cellulare di un familiare se il nonno si dimentica di prendere la pillola, tutte le smartTV, l’impianto di riscaldamento o di climatizzazione, ecc….  Insomma tutti quegli oggetti che attraverso un protocollo IP sono in grado di dialogare con qualche nodo della rete Internet e dei quali ci occupiamo poco in termini di sicurezza perché ci viene facile pensare che nessuno voglia entrare nel nostro tostapane.

DNS

è l’acronimo di Domain Name System e serve a “risolvere” i nomi dei nodi della rete in indirizzi IP e viceversa. Per esempio se digitiamo sulla barra degli indirizzi del nostro browser questo indirizzo IP: 216.58.198.36 ci comparirà la pagina di Google, come se avessimo scritto www.google.com. Sostanzialmente a questo serve il DNS e prima della loro invenzione (giugno 1983) se avessimo voluto trovare Google avremmo dovuto conoscere esattamente il suo indirizzo IP.  In pratica, ogni dominio internet viene registrato con un indirizzo IP pubblico e un nome, poi dei database sui server DNS si incaricano di accoppiarli sempre.

Ddos

Il Distributed Denial of Service è un tipo di attacco malevolo che, sfruttando la logica della comunicazione con il protocollo TCP, consiste nell’inviare molti pacchetti di richieste a un server il quale, dovendo rispondere necessariamente a ogni richiesta, si “ingolfa” al punto da rendersi inefficiente.  Quindi tutti gli apparati collegati a internet con TCP sono potenzialmente soggetti a questo tipo di attacco. Ovviamente maggiore è la quantità delle richieste inviate al server e più letale sarà il Ddos, ecco perché, prima di sferrare l’attacco, i cracker devono mettere insieme un buon numero di macchine attaccanti.  Siccome queste macchine sono poi individuabili, i cracker infettano prima un buon numero di apparati, attraverso virus che aprono delle porte esterne, e poi le comandano da remoto. Tutti questi computer diventati “zombie” entrano a far parte della BotNet che diventa la vera macchina da guerra.  E’ interessante sapere che vengono preferite le macchine che eseguono Windows perché è più facile inoculare un trojan ed è praticamente assicurata la diffusione dell’infezione a tutti i contatti presenti sul computer, quindi automaticamente ingigandire la botnet.

ddos-attackEra la primavera del 2013 e i server di  Spamhaus, un’organizzazione che fornisce filtri per bloccare lo spam nelle email, subisce una serie di attacchi informatici che costringono a una navigazione lenta e addirittura nulla in intere regioni del Belgio, Lussemburgo, Olanda, Gran Bretagna e in minima parte anche in Germania e in Francia. Si tratta di attacchi Ddos partiti ai primi di marzo in sordina e che verso la metà del mese erano diventati già insostenibili per i server di Spamhaus. La mole di dati che bombarda questi server viaggiano, all’inizio, a circa 10 Gigabit al secondo, poi si incrementano fino a 100 Gigabit e alla fine raggiungono i 300 Gigabit per secondo (cioè una cosa come 300 miliardi di bit al secondo).  Subito dopo tutti parlano del più grande attacco informatico che la rete abbia mai conosciuto e, per inciso, i sospetti cadranno su  CyberBunker, un gruppo olandese di web hosting che era stato accusato, proprio da Spamhaus, di usare lo spam per la vendita di prodotti e per questo l’aveva inserito nella sua lista per i filtri antispam.  Anche se, in verità, la polemica era già iniziata prima, nel momento esatto in cui CyberBunker aveva ospitato il dominio di “The Pirate Bay”.

Fra coloro che subirono più disservizi ci fu la webtv Netflix che restò irraggiungibile per un bel po’ di tempo.

C’è di nuovo Netflix fra i siti bloccati con l’ultimo attacco Ddos di qualche giorno fa, insieme a Twitter, Spotify, Airbnb, Reddit, Etsy, SoundCloud, GitHub e The New York Times, giusto per fare i nomi più grossi.  La trama è simile a quella appena raccontata e si riparla del “più grande attacco a internet“: la tecnica è la stessa, cambia solo il target,  ma la quantità di dati inviati ai server attaccati è di oltre 620 Gigabit al secondo, più del doppio di quello del 2013.

Alla base c’è sempre il solito Ddos (ormai il 90% degli attacchi sono di questo tipo) ma la prima differenza è rappresentata dal bersaglio: i server di Dyn.com, una società che offre il DNS ai molti domini Internet, che appena attaccata crea un effetto domino su un numero incredibilmente alto di altri server che non riescono più ad essere raggiunti nella rete perchè non rispondono più alla chiamata in chiaro in internet. La seconda sostanziale differenza è costituita dalla botnet: non più un esercito di computer zombie ma una massa indecifrata di attrezzature e oggetti che utilizzano l’IoT:  immaginate un esercito zombie di frigoriferi, televisori, lavatrici, macchine fotografiche, termostati, router, telecamere, video registratori digitali, strumenti della robotica, ecc…. che lanciano l’attacco alla Dyn.

E’ da tempo che l’internet delle cose veniva accusato di non badare troppo alla sicurezza, lo diceva già Forbes nel 2014, per esempio.  Brian Krebs, fra i maggiori esperti di sicurezza informatica, l’aveva previsto e aveva lanciato l’allarme denunciando la presenza di un codice che alimenta la botnet costruita su IoT.

Insomma, l’attacco del 21 ottobre sicuramente farà storia per la semplicità con la quale è riuscita a piegare i grandi di internet senza attaccare i loro server. Farà anche accademia per quanti vorranno provarci seguendo uno dei tanti tutorial disponibili in rete e noleggiando una botnet per 5 dollari l’ora.

Chi è stato? Al momento è difficile dirlo o fare delle previsioni, tutte le strade sono aperte: un gruppo di cracker ingaggiati da qualche azienda o qualche partito? oppure una semplice prova sul campo di una nuova strategia di intelligence?

La nostra sicurezza nelle chat

In una ricerca pubblicata qualche giorno fa, Amnesty International ha stilato una classifica di 11 aziende (Apple, Blackberry, Facebook, Google, Kakao Corporation, LINE, Microsoft, Snapchat, Telegram, Tencent e Viber Media), proprietarie di applicazioni di messaggistica istantanea, che hanno maggior rispetto per la privacy dei loro clienti.

<img class=”wp-image-4163 alignleft” src=”http://www this content.vitocola.it/wordpress/wp-content/uploads/2016/10/prism2-300×225.jpg” alt=”prism” width=”440″ height=”330″ srcset=”http://www.vitocola.it/wordpress/wp-content/uploads/2016/10/prism2-300×225.jpg 300w, http://www.vitocola.it/wordpress/wp-content/uploads/2016/10/prism2.jpg 700w” sizes=”(max-width: 440px) 100vw, 440px” />Peccato che sia in testa che in coda alla classifica ci siano gli stessi nomi che dal 2007 al 2013 erano presenti nel famoso caso PRISM.  Amnesty International non ignorava la cosa e ha chiarito di essersi interessata alle aziende “commerciali” con le applicazioni più diffuse. Ecco perché, per esempio, non c’è Signal che appartiene a un gruppo non-profit.

In sostanza Amnesty classifica quelle aziende con più attinenza e rispetto della propria policy in modo da consigliarci un male minore.

I criteri indagati sono stati 5 (1-riconoscere le minacce online alla libertà di espressione e diritto alla privacy come i rischi per i suoi utenti attraverso le sue politiche e le procedure; 2- applica la crittografia “end-to-end” di default; 3-sensibilizza gli utilizzatori sulle minacce alla loro privacy e alla libertà di espressione; 4-rivela i dettagli del richieste del governo per i dati utente; 5-pubblica i dati tecnici del suo sistema della crittografia) ma nessuna analisi tecnica è stata condotta sulla sicurezza globale del servizio di messaggistica.

Precisiamo che neanche con la crittografia “end-to-end”  si è al riparo dagli spioni, poiché sarebbe sempre possibile entrare in possesso delle chiavi crittografiche private con un po’ di “social engineering”, ad esempio, fingendosi uno dei destinatari, oppure assicurandosi il controllo di un nodo della connessione, o anche semplicemente accedendo ai dati di backup del cloud, ecc…., più o meno quello che la NSA faceva con x-keyscore.

Dunque, forse, sarebbe stato più utile considerare “se, dove e come” queste aziende conservano i dati dei clienti.

overall-ranking

Per farla breve ne viene fuori che WhatsApp (il più utilizzato sia per numero di ore che per frequenza di utilizzo e che usa lo stesso protocollo di Signal) è la chat più sicura di tutte, superando anche la concorrente Telegram che, invece, dal 2015  ha messo in palio 300mila dollari per chiunque riesce a superare il proprio sistema di sicurezza.

Ultima cosa importante del documento di Amnesty è che solo la metà delle aziende intervistate, rende pubblico un report sulla quantità di dati degli utenti che viene dato ai governi in seguito a esplicite richieste.

Ma allora, qual è l’app di messaggistica più sicura?

 

ALLO di Google neanche a parlarne. A parte la crittografia traballante c’è quel forte interesse (comune a tutte le aziende) a far soldi con i dati degli utenti che qui viene affinata ancor di più attraverso la “machine learning”. Si tratta di un servizio di profilazione avanzato degli utenti con il quale Google capisce sia il testo che le immagini contenute nei messaggi. In tal modo l’app riesce sia a suggerire frasi automatiche in risposta a delle immagini inviate che consigliare dei risultati di ricerca con una geolocalizzazione rapida su Maps in funzione del contenuto del testo digitato.  Dunque tutto il contrario della privacy dell’utente.

WhatsApp è la più popolare in assoluto, supera il miliardo di utenti e, come dice Amnesty, usa una crittografia end-to-end.  Il problema serio è rappresentato dalla raccolta di dati e metadati (la lista dei contatti, numeri di telefono e a chi si scrive) che Facebook può utilizzare per i propri fini e anche consegnarli alle autorità qualora venissero richiesti. Se poi si sceglie di salvare i contenuti delle conversazioni su cloud si completa il quadro del rischio per l’utente.

Telegram usa il protocollo MTProto definito, però, “traballante” da Thaddeus Grugq. A suo demerito va detto che salva tutti i dati sui propri server in chiaro e a suo merito i “bot” e le api libere per poterli creare, ma sopratutto i “canali” con i quali è possibile comunicare istantaneamente con un grandissimo numero di utenti.

Il migliore è sicuramente Signal e non perchè  l’abbia detto Snowden un anno fa, piuttosto per la sua filosofia di base che lo rende più sicuro.  signalIntanto è un sistema aperto e questo già basta a garantire sulla sicurezza da solo. Anche se può sembrare un ossimoro, in realtà  quando i codici sorgenti sono aperti, chiunque può migliorarli creando patch e sviluppi alternativi attraverso collaborazioni diffuse e riutilizzo del codice.

Inoltre Signal non raccoglie dati e metadati degli utenti da nessuna parte, ma annota soltanto i tempi di connessione. Anche quando chiede di condividere i contatti (in modo da trovare chi usa la stessa app) tutta l’operazione viene subito cancellata dai server.  Non essendo presente la funzione di backup della chat, nel caso si cambiasse smartphone, si dovrà spostare tutto a mano.

E’ stata creata da Open Whispers System, una società no profit che si finanzia solo con le donazioni volontarie. L’unico neo di questa app è quella di essere poco diffusa (sembra che sia stata scaricata da poco più di 1 milione di utenti contro il miliardo di utenti dichiarato da WhatsApp) e probabilmente resterà tale proprio a causa della sua filosofia sulla sicurezza che la rende poco user friendly.

La banda dell'ultralarga

Ha ragione da vendere Massimo Mantellini quando mette il punto interrogativo sulle “competenze” di Enel, aggiungendo che “Solo un burocrate spericolato chiuso nel proprio ufficio può immaginare che l’infrastuttura digitale del Paese sia in fondo un gingillo tecnologico alla portata di chiunque”.

Stiamo parlando della “banda ultralarga”, annunciata da Renzi qualche giorno fa e che riguarda l’accesso a internet attraverso una connessione minima di 30 Mpbs.

Partiamo da un dato sostanziale: l’Italia è al 25° posto nella classifica dei 28 Stati membri dell’UE, con un accesso alla rete, geograficamente, molto divaricato; ovvero c’è una grande separazione tra le grandi aree urbane dove si accede a internet con la fibra ottica e le piccole aree dove a malapena si raggiungono i 10 Mbps. Se prendiamo come esempio la maggioranza dei comuni lucani, con i loro 2 o 4 Mbps, la velocità scende ancora di più.

Dunque aumentare la velocità delle connessioni e, soprattutto, diminuire (se non annullare) il digital divide, è una priorità imprescindibile.

Anche l’attuale governo se n’è occupato ponendo al centro della proprio proposta politica un’agenda digitale come azione programmatica improcrastinabile. Peccato che in realtà è una semplice bandierina per il marketing politico di Renzi.

Perché dico questo?

Perché non riesco a capire il motivo per il quale si cambia azienda di riferimento, scegliendo una semi-pubblica come Enel, ma si approva un progetto (Enel Open Fiber) che non prevede un intervento capillare sul territorio ma solo in zone economicamente più omogenee (cioè più convenienti dal punto di vista dell’investimento) e quindi con un approccio di tipo privatistico-imprenditoriale.

Il cluster A, quello “con il migliore rapporto costi-benefici, dove è più probabile l’interesse degli operatori privati a investire”, raggruppa le 15 principali città italiane (Roma, Milano, Napoli, Torino, Palermo, Genova, Bologna, Firenze, Bari, Catania, Venezia, Verona, Messina, Padova e Trieste) e le loro aree industriali, dove risiede il 15% della popolazione  (9,4 milioni di persone).
Il cluster B, diviso ulteriormente in cluster B1  e cluster B2, è formato da 1.120 comuni nei quali risiede il 45% della popolazione (28,2 milioni di persone).
Il cluster C , 2.650 comuni con il 25% della popolazione (15,7 milioni di persone) rappresenta le aree marginali e rurali a “fallimento di mercato” , sulle quali si prevede l’intervento del privato solo a condizione di un adeguato sostegno dello Stato.
Il cluster D con i restanti 4.300 comuni (in maggioranza al Sud) e il 15% della popolazione (9,4 milioni di persone)  è l’area dove è previsto soltanto l’intervento pubblico.

In pratica il progetto prevede di portare la banda direttamente in casa del cliente finale (FTTH) ma principalmente laddove conviene di più,  e accadrà che Enel si occuperà di portare la rete nei cluster denominati A e B (ma nel frattempo soltanto a 244 comuni l’ultralarga),  mentre gli altri due (C e D) dovranno continuare ad aggrapparsi alla rete cellulare (almeno laddove arriva il 4G); infatti il programma governativo prevede la copertura del 100% entro il 2020 ma limitatamente ai 30 megabit.

Se si considera che i comuni italiani sono 8.085 la copertura in fibra, al momento, interesserà soltanto  il 3% del territorio.

In conclusione, quasi tutto il sud resterà al palo e per la Basilicata le cose non sono certo migliori.
Basta andare sul sito Infratel Italia  per scoprire che i 100 megabit sono previsti  soltanto nelle due città capoluogo, che in 64 comuni è in corso di completamento la 30 Mega e che nei restanti 65 comuni si oscillerà tra i 2 e i 20 mega.