Tanto FaceApp per nulla?

Non è strano e neanche insolito che le applicazioni che fanno applicare filtri alle proprie foto sono tra le più scaricate. Poi se son fatte bene e il filtro è accattivante il successo è assicurato.

E’ proprio quello che è successo a FaceApp: invecchiarsi all’improvviso ha intrigato tutti, anche molti Vip che, come al solito, hanno tirato la volata all’app. Filtri del genere ce n’erano già ma il miglioramento software ha fatto davvero la differenza. In poco tempo i social sono stati invasi da circa 8 milioni di facce invecchiate.

Proprietaria dell’applicazione è la società russa Wireless Lab di Yaroslav Goncharov, ex manager di Yandex (il Google russo), che l’ha lanciata un paio di anni fa redendola disponibile sugli store in versione gratuita (ma bisogna passare a quella “Pro” per utilizzare tutte le funzioni disponibili).

Come tutte le app chiede l’accesso alle foto dello smartphone ma, come spiegato da Wired, non dice che i dati vengono inviati ai propri server, dove praticamente avviene la modifica, e qui conservati per un tempo non definito, prima di essere rispediti indietro allo smartphone di partenza.

Alle richieste di spiegazioni Wireless Lab ha risposto che i dati restano sui server per il tempo necessario all’elaborazione per poi essere cancellati e che nessun dato resta in territotio russo e che, in fondo, l’utente può sempre chiedere la cancellazione (anche se il procedimento è piuttosto complicato).

Alla parola “territorio russo” saltano tutti sulla sedia e si allarmano, perchè nell’immaginario collettivo (creato in anni e anni di perseveranza americana) è la terra dei cattivi per antonomasia: quella degli hacker che rubano informazioni e manipolano anche le elezioni (peccato che a beneficiarne è stato proprio il più amato degli americani)…  Tutto regolare e funzionale alla logica dell’americano medio, se non fosse per un piccolo particolare, che i server della Wireless Lab non sono in Russia ma su server in cloud di Amazon e di Google.

L’eco che arriva anche sulla stampa nostrana è lo stesso partito dalle preoccupazioni di alcuni senatori USA che hanno invitato tutti a disinstallare l’app perchè, si sa, la parola “russo” fa effetto anche da sola.   Ma non è che FaceApp sia proprio il male assoluto; in fondo tutte le applicazioni di questo tipo, alla fine, fanno più o meno le stesse cose. Anzi il diabolico trio di Zuckeberg (Facebook, Instagram e WhatsApp) fa anche peggio, per non parlare poi di quello che Google fa con i nostri dati.

C’è differenza? Non molto.  A parte il fatto che alcune app descrivono più o meno dettagliatamente dove si trovano i nostri dati e un po’ meno cosa si fa con essi, per il resto sappiamo bene che è meglio non fidarci e non usarle.

Ma è, come si dice dalle mie parti, “acqua santa persa” perchè non conosco molte persone che si preoccupano di leggersi tutto prima di installare un’app e soprattutto si rifiutino di autorizzarle a manipolare tutto sul nostro smartphone: dalla rubrica all’archivio, dalla fotocamera al microfono.

E quindi? Tanto rumore per nulla?

Per nulla proprio no, ma l’importante che un utente completamente immerso tra WhatsApp, Instagram, Facebook, Google, ecc… si preoccupi delle foto che viaggiano verso la Russia distraendosi, anche solo per poco tempo, di quello che fanno le solite multinazionali del digitale; tanto a tenere i nostri dati  al “sicuro” ci pensano proprio loro… sempre.

La super potenza del controllo di massa

La Cina è uno di qui paesi dove la sorveglianza di massa è cosa normalizzata e istituzionalizzata ed è di questi giorni la notizia, data da The Intercept, dei due colossi tecnologici americani (Google e IBM) che da un po’ di anni aiutano il governo cinese a migliorare il loro sistema di controllo totale.  Insomma se da un lato fanno finta di lamentarsi perchè sono bloccati dalla censura cinese, dall’altro collaborano al sistema di controllo e censura governativo.

La collaborazione avviene attraverso un’organizzazione non profit (la OpenPower Foundation) a cui partecipano Google, IBM, la cinese Semptian (nota alle cronache perchè un dipendente dell’azienda confessò che i prodotti tecnologici della società venivano utilizzati per monitorare l’attività in rete di 200 milioni di persone attraverso iNext, una società di facciata che oltre ad essere ubicata nella stessa sede di Semptian ne condivide anche i dipendenti) e Xilinx (produttore di chip) con l’obiettivo “ufficiale”  di aumentare e dirigere l’innovazione cinese.

Cosa si intende, in questo caso, per innovazione? Semplice: produrre e mettere a disposizione tecnologia (anche microprocessori) in grado di analizzare grandi quantità di dati in modo più veloce ed efficiente.

Semptian è un’azienda fondata nel 2003 e da anni è partner del governo cinese che gli ha assegnato lo status di azienda nazionale e le aziende che ricevono tale status sono ricompensate con un trattamento preferenziale sotto forma di agevolazioni fiscali e altro.

Nel 2011, il settimanale tedesco Der Spiegel pubblica un articolo che mette in evidenza il contributo dato da Semptian agli aspetti tecnici di quel grande sistema di censura cinese su Internet (il blocco dei siti web che il governo ritiene indesiderabili) che va sotto il nome di National Firewall.

Nel 2013 Semptian inizia a promuovere i suoi prodotti in tutto il mondo e due anni dopo, con l’adesione alla OpenPower Foundation,  comincia a utilizza la tecnologia americana per rendere più potente il suo sistema di sorveglianza.

Giusto per farci un’idea: Semptian, tramite iNext, ha messo su un sistema di sorveglianza di massa chiamato “Aegis” che analizza e archivia una quantità “illimitata” di dati, fornendo una profilazione accurata di ogni singolo cinese in rete.  Ma non solo, perchè il controllo è invasivo e pervasivo e interessa, oltre internet, anche le reti telefoniche, consentendo di raccogliere il contenuto delle telefonate, delle e-mail, dei messaggi di testo; di conoscere la posizione del cellulare, le cronologie di navigazione web, della rubrica telefonica ecc….  Di tutti questi dai non si può certo dire che poi il governo cinese non ne abbia fatto tesoro nel perseguire gli attivisti per i diritti umani e tutti coloro che a qualsiasi titolo si siano dimostrati critici verso Xi Jinping.

Sono circa 800 milioni i cinesi su Internet e quindi il potenziale numero di persone da seguire e di dati da analizzare è davvero enorme.  Al momento la tecnologia di Semptian analizza, a loro dire, migliaia di terabit al secondo e sembra che stiano analizzando “soltanto” i dati di un quarto della popolazione online.

The Intercept ha pubblicato anche un breve video dove viene mostrato il funzionamento di Aegis. E’ possibile inserire qualsiasi tipo di dato per la ricerca, anche semplicemente il numero di cellulare, per ricevere informazioni sull’attività del dispositivo: dalla mappatura degli spostamenti georeferenziati, all’app di instant messenger; dall’attività su un forum a un commentto su un blog, ecc…. Il sistema, inoltre, registra anche l’audio di una telefonata, il contenuto di un messaggio di testo o di una e-mail.

E’ già dal 2015 che Semptian è entrata a far parte di OpenPower Foundation (il cui presidente è Michelle Rankin della IBM e il direttore Chris Johnson di Google) e sul proprio sito web dichiara di  “lavorare attivamente con aziende di livello mondiale come IBM e Xilinx” e queste aziende, certo, non possono dire di ignorare di cosa si occupi specificatamente la Semptian; anzi a dicembre, quest’azienda è stata invitata ufficialmente al summit che OpenPower hanno organizzato a Pechino, e qui ha dato una dimostrazione pratica dell’utilizzo di questa sua nuova tecnologia di analisi video sviluppata per il “monitoraggio dell’opinione pubblica”.  Alle  domande specifiche fatte a un portavoce della OpenPower Foundation circa i rapporti di lavoro della non profit con Semptian, questi si è rifiutato di rispondere dicendo solo che “la tecnologia che passa attraverso la Fondazione è di uso generale, disponibile in commercio in tutto il mondo e non richiede una licenza di esportazione negli Stati Uniti“.  Questo è quanto basta?

La nostra sicurezza nelle chat

In una ricerca pubblicata qualche giorno fa, Amnesty International ha stilato una classifica di 11 aziende (Apple, Blackberry, Facebook, Google, Kakao Corporation, LINE, Microsoft, Snapchat, Telegram, Tencent e Viber Media), proprietarie di applicazioni di messaggistica istantanea, che hanno maggior rispetto per la privacy dei loro clienti.

<img class=”wp-image-4163 alignleft” src=”http://www this content.vitocola.it/wordpress/wp-content/uploads/2016/10/prism2-300×225.jpg” alt=”prism” width=”440″ height=”330″ srcset=”http://www.vitocola.it/wordpress/wp-content/uploads/2016/10/prism2-300×225.jpg 300w, http://www.vitocola.it/wordpress/wp-content/uploads/2016/10/prism2.jpg 700w” sizes=”(max-width: 440px) 100vw, 440px” />Peccato che sia in testa che in coda alla classifica ci siano gli stessi nomi che dal 2007 al 2013 erano presenti nel famoso caso PRISM.  Amnesty International non ignorava la cosa e ha chiarito di essersi interessata alle aziende “commerciali” con le applicazioni più diffuse. Ecco perché, per esempio, non c’è Signal che appartiene a un gruppo non-profit.

In sostanza Amnesty classifica quelle aziende con più attinenza e rispetto della propria policy in modo da consigliarci un male minore.

I criteri indagati sono stati 5 (1-riconoscere le minacce online alla libertà di espressione e diritto alla privacy come i rischi per i suoi utenti attraverso le sue politiche e le procedure; 2- applica la crittografia “end-to-end” di default; 3-sensibilizza gli utilizzatori sulle minacce alla loro privacy e alla libertà di espressione; 4-rivela i dettagli del richieste del governo per i dati utente; 5-pubblica i dati tecnici del suo sistema della crittografia) ma nessuna analisi tecnica è stata condotta sulla sicurezza globale del servizio di messaggistica.

Precisiamo che neanche con la crittografia “end-to-end”  si è al riparo dagli spioni, poiché sarebbe sempre possibile entrare in possesso delle chiavi crittografiche private con un po’ di “social engineering”, ad esempio, fingendosi uno dei destinatari, oppure assicurandosi il controllo di un nodo della connessione, o anche semplicemente accedendo ai dati di backup del cloud, ecc…., più o meno quello che la NSA faceva con x-keyscore.

Dunque, forse, sarebbe stato più utile considerare “se, dove e come” queste aziende conservano i dati dei clienti.

overall-ranking

Per farla breve ne viene fuori che WhatsApp (il più utilizzato sia per numero di ore che per frequenza di utilizzo e che usa lo stesso protocollo di Signal) è la chat più sicura di tutte, superando anche la concorrente Telegram che, invece, dal 2015  ha messo in palio 300mila dollari per chiunque riesce a superare il proprio sistema di sicurezza.

Ultima cosa importante del documento di Amnesty è che solo la metà delle aziende intervistate, rende pubblico un report sulla quantità di dati degli utenti che viene dato ai governi in seguito a esplicite richieste.

Ma allora, qual è l’app di messaggistica più sicura?

 

ALLO di Google neanche a parlarne. A parte la crittografia traballante c’è quel forte interesse (comune a tutte le aziende) a far soldi con i dati degli utenti che qui viene affinata ancor di più attraverso la “machine learning”. Si tratta di un servizio di profilazione avanzato degli utenti con il quale Google capisce sia il testo che le immagini contenute nei messaggi. In tal modo l’app riesce sia a suggerire frasi automatiche in risposta a delle immagini inviate che consigliare dei risultati di ricerca con una geolocalizzazione rapida su Maps in funzione del contenuto del testo digitato.  Dunque tutto il contrario della privacy dell’utente.

WhatsApp è la più popolare in assoluto, supera il miliardo di utenti e, come dice Amnesty, usa una crittografia end-to-end.  Il problema serio è rappresentato dalla raccolta di dati e metadati (la lista dei contatti, numeri di telefono e a chi si scrive) che Facebook può utilizzare per i propri fini e anche consegnarli alle autorità qualora venissero richiesti. Se poi si sceglie di salvare i contenuti delle conversazioni su cloud si completa il quadro del rischio per l’utente.

Telegram usa il protocollo MTProto definito, però, “traballante” da Thaddeus Grugq. A suo demerito va detto che salva tutti i dati sui propri server in chiaro e a suo merito i “bot” e le api libere per poterli creare, ma sopratutto i “canali” con i quali è possibile comunicare istantaneamente con un grandissimo numero di utenti.

Il migliore è sicuramente Signal e non perchè  l’abbia detto Snowden un anno fa, piuttosto per la sua filosofia di base che lo rende più sicuro.  signalIntanto è un sistema aperto e questo già basta a garantire sulla sicurezza da solo. Anche se può sembrare un ossimoro, in realtà  quando i codici sorgenti sono aperti, chiunque può migliorarli creando patch e sviluppi alternativi attraverso collaborazioni diffuse e riutilizzo del codice.

Inoltre Signal non raccoglie dati e metadati degli utenti da nessuna parte, ma annota soltanto i tempi di connessione. Anche quando chiede di condividere i contatti (in modo da trovare chi usa la stessa app) tutta l’operazione viene subito cancellata dai server.  Non essendo presente la funzione di backup della chat, nel caso si cambiasse smartphone, si dovrà spostare tutto a mano.

E’ stata creata da Open Whispers System, una società no profit che si finanzia solo con le donazioni volontarie. L’unico neo di questa app è quella di essere poco diffusa (sembra che sia stata scaricata da poco più di 1 milione di utenti contro il miliardo di utenti dichiarato da WhatsApp) e probabilmente resterà tale proprio a causa della sua filosofia sulla sicurezza che la rende poco user friendly.

A tutto Pokémon Go

Pokémon Go non è ancora ufficialmente in Italia ma molti già ci giocano avendo scaricato l’apk per Android o da un account americano per iOS.

Kotaku però si è accorto che Pokèmon Go fa più di qualsiasi altra app.

Oltre a tracciare lo smartphone anche se gli avete negato l’accesso e raccogliere dati per fornirli a società terze non dichiarate, si impossessa dell’accont Google.

Se si accede con un account Google, Niantic (la società produttrice di Pokèmon Go) diventa di fatto proprietaria dell’account e di tutto quanto è collegato ad esso. Può praticamente leggere le e-mail di Gmail, tutti i documenti di Google Drive e le foto di Google Foto.

Ovviamente, capite da voi, che il rischio è troppo alto.

La buona notizia è che Niantic lo sa e che, al momento, sta forzando l’app a non richiedere troppi permessi, ma è sempre meglio dare uno sguardo alla Google Dashboard.

Il consiglio è quello di aspettare la nuova release dell’app, ma soprattutto l’uscita italiana ufficiale.

Google hacking per ricerche avanzate

Parlando  di sicurezza off-line e on-line (per certi aspetti la differenza è un nonsense) mi sono imbattuto, con sorpresa, in quelle incancrenite definizioni del linguaggio “alla buona” alimentato  dai comunicatori all’arrembaggio. Una di queste riguarda ancora (ecco la sorpresa) l’idea che con internet siamo in guerra e il nostro nemico si chiama “hacker”.
Io non so se non riuscito a far comprendere bene la differenza che passa tra un hacker e un cracker ma ho insistito molto sul significato di hacking.
Le cose da dire erano tante e non poteva bastare quell’oretta di seminario e poi l’intento  era divulgativo e serviva a dare delle piccole informazioni di orientamento con l’unico scopo di sottolineare il senso del “buon senso” nell’affrontare le cose in digitale.
Per quelli che mi ha chiesto come “cercare la roba in internet” mi son venute in mente due semplici suggerimenti:
1) avere la pazienza di sforzarsi nell’immaginare meglio le parole da trovare e di non accontentarsi immediatamente dei primi risultati e comunque di usare un po’ di operatori in modo da migliorare la ricerca;
2) se ci si vuole sforzare un po’ di più è possibile fare hacking anche con Google usando le famose dork.
Di queste dork la definizione letterale forse vi sorprenderà, ma è stata proprio quella l’intenzione originale poiché il termine, coniato da Johnny Long, partiva proprio dal significato di “inetto o sciocco” per arrivare poi a quello di “persona che cerca informazioni riservate nella rete”.
In soldoni le dork servono a fare ricerca avanzata con Google e sono molto utilizzate dagli esperti di sicurezza informatica  per individuare le vulnerabilità dei siti web (anche uno script kiddie può utilizzare un exploit trovando la pagina che contiene la vulnerabilità proprio attraverso le dork).
Di recente Google sta limitando le ricerche con le dork (se si insite troppo in un breve lasso di tempo vi uscirà la schermata di errore), ma le potenzialità di ricerca restano comunque insuperabili.
Ecco quelle più usate:
site [ricerca solo i file nel dominio];
intitle [ricerca i documenti con quel titolo];
allintitle [trova i documenti con certe parole nel titolo];
inurl [trova pagine che hanno una certa parola nell’URL];
allinurl [trova pagine che contengono una certa parola nell’URL];
filetype [trova un file con l’estensione desiderata];
link [trova siti con un link specificato];
allintext [trova documenti che contengono una determinata parola nel testo];
“ ”   [trova frasi esatte];
inanchor [trova negli anchor i link presenti nelle pagine];
intext [trova pagine che contengono quella parola specifica];
cache [trova le pagine che Google ha indicizzato nella cache];
define [restituisce la descrizione di un termine ed i link correlato];
related [trova pagine simili a quella specificata];
info [restituisce informazioni e link di uno specifico URL].
Se volete provare a fare ricerca “avanzata” in modo facilitato provate qui, se invece volete sbizzarrirvi e rimanere aggiornati andate sul sito di exploit e non ve ne pentirete.

Quando la ricerca sparisce

Senza i motori di ricerca il web certamente non sarebbe  quello che è e la loro evoluzione ha fatto (e che ci piaccia o no,  continuano a farlo) la storia di molte delle nostre scelte al di là del web. Dunque le variazioni e gli “esperimenti” di Google non sono proprio poca cosa e le sue tendenze diventeranno le nostre, inevitabilmente, almeno per il momento.

Ma quali sono queste tendenze?

Se pensate alla ricerca siete lontani o quantomeno poco vicini, in realtà il lavoro dei search engine ha più a che fare con l’euristica. Quello che all’inizio era information retrieval (recuperare informazioni e renderle disponibili in un certo formato) diventa ben presto soltanto recupero e catalogazione. E che ne è del “ricercatore” ? Semplice, la ricerca viene trasformata in “richiesta” e a chi chiede non si offrono risultati ma si danno risposte.  La cosa mi fa venire in mente una vecchia battuta sulla differenza tra filosofia e politica: la prima è scienza delle domande e la seconda delle risposte…  Quindi Google deve risponde continuamente a delle domande e per farlo in modo efficiente ed efficace deve effettuare ancora uno spostamento di asse, su quello del riferimento, deve passare dal nostro mondo a un mondo altro attraverso un metamondo, quello proprio dell’engine. Qui il motore si personalizza e si assume in proprio il problema dell’uomo: “ottenere risposte efficienti ed efficaci”, ovvero veloci e verosimili. Come fare questo? Non certo con la scienza e neanche  con l’empirismo, le cose si farebbero troppo lunghe e l’interesse nella richiesta cadrebbe nell’oblio è molto più semplice risalire alla radice delle risposte immediate (e verosimilmente le uniche possibili)  ovvero trasportare il tutto verso il concetto di mito e di religione (terzo spostamento di asse).

E’ in questo mondo che si danno le risposte che sono le uniche possibili ed è in questo mondo che si accettano le risposte conformandole e adeguandole alle domande. Ecco l’ultimo spostamento, quello finale:  partire dalle risposte per arrivare alle domande. E’ risaputo che dopo aver scritto la nostra domanda non andiamo oltre la prima pagina delle risposte e su questo si è fondata “la vendita delle risposte” ovvero la fabbrica del “posizionamento”.

E’ ovvio a questo punto che l’unica parola-chiave dei motori sia “velocità”.  E qual è la maggiore velocità raggiungibile da un motore di ricerca?   In un certo senso quella della luce, ovvero anticipare la domanda. E’ quanto accade da un po’ di tempo con Google che velocità le risposte suggerendoti la domanda per ogni sillaba trascritta e, sempre più veloce,  anticipandoci l’idea stessa che ci saremmo formati della domanda. La visualizzazione dell’anteprima nella pagina dei risultati (la cosiddetta serp) rende sostanza, materializza il concetto di domanda: la rende visibile, reale e sostanziale alla nostra percezione, dunque reale e possibile. Avremo la sensazione che il motore abbia letto bene le nostre intenzioni e sappia esattamente cosa cercavamo (il trasferimento è completato).

Ecco il senso dell’ultima applicazione di Google (in qualche modo già sperimentata da Bing) continuare nell’espansione del dominio delle risposte restringendo sempre di più quello delle domande.

E la ricerca? No, quella… è sparita da tempo.

Google Chrome

Che il browser sia ormai il nuovo sistema operativo è un fatto su cui poco ci piove, lo si racconta da un po’ di anni e Microsoft aveva integrato l’IE già da tempo. Ma credo che la spinta maggiore l’abbia data proprio Google. In un ambiente dove c’è chi fallisce, chi emerge e chi si rinforza (con qualche accenno di novità e con nicchie piùmeno storicizzate) Google, piaccia o non piaccia,  rappresenta l’innovazione (se volete, la rivoluzione); rappresenta l’azienda che con il piede sempre schiacciato su un acceleratore “web oriented”  ha fatto scivolare il web dall’1.0 al 3.0 in un battito di ciglia.

Chrome (le ragioni) sarà un nuovo valore aggiunto del web:

Abbiamo capito che il web si è evoluto da una semplice pagina testuale ad una ricca, innovativa, applicazione ed abbiamo bisogno di ripensare completamente il browser. Ciò di cui realmente abbiamo bisogno non è solo un browser, ma anche una moderna piattaforma per pagine web e applicazioni, ed è questo ciò che stiamo per andare a costruire.

Lo si annuncia veloce, semplice, lineare e sicuro.  L’utente potrà avere difronte uno strumento di facile utilizzo, snello e veloce nelle risposte e che lo protegga dai siti pericolosi (e anche dai crash).

Un motore JavaScript tutto nuovo e luccicante sarà il trampolino di tutte le applicazioni web.

L’ispirazione a WebKit di Apple è stata dichiarata subito e tutto il resto sarà la storia che vivremo nell’immediato futuro: la prossima guerra con Microsoft e il suo nuovissimo IE8, con Firefox 4, con Safari, ecc…

Guardatevi gli screenshot di Google Blogoscoped.