privacy – vitocola

16/04/2018

L’ignavia nel web

Come nasce lo slogan “se è gratis allora il prodotto sei tu” lanciato da Time nel 2010?

Inizialmente dalla consapevolezza che se un’azienda regalava (quella che sembrava) la propria “merce/servizio” voleva dire, ovviamente, che il guadagno stava da un’altra parte.

All’inizio tutti abbiamo pensato che sorbirci la pubblicità, più o meno invadente, per usufruire di un servizio gratis, era il giusto prezzo o il male minore. Eravamo già abituati a quel modello imprenditoriale anni ‘90 proveniente dalle radio e TV private che affollavano i propri programmi di pubblicità e che su internet si traduceva in siti pieni zeppi di banner. Poi un’idea un po’ più precisa ce la siamo fatta quando quella pubblicità è diventata sempre più precisa e sempre più in linea con i nostri desideri. Insomma un sospetto che quel social, quel motore, quel sito di e-commerce ci conoscesse almeno un pochino l’abbiamo avuta. Un sospetto che si è fatto sempre più forte e preoccupante quando i siti hanno iniziato a farsi la lotta a colpi di spazio cloud di servizi on line gratuiti. Si è pure giocato sulla “minaccia del pagamento” per far accrescere i clienti. Vi ricordate le notizie che ciclicamente uscivano sul pagamento di WhatsApp (ma anche di Facebook)? Questa falsa notizia, spinta ad arte, ad ogni tornata raccoglieva qualche milione di utenti in più. Ma non solo, con il passaggio di piattaforma (dal pc allo smartphone) le aziende digitali si sono ritrovati fra le mani una miniera d’oro ricca di dati e senza alcun limite o restrizione. Una sorta di nuova corsa alla conquista del west. In un solo colpo si potevano raccogliere utenti distratti e poco preoccupati della privacy e una quantità di informazioni a cui nessuno avrebbe mai pensato di poter accedere: la rubrica telefonica, la fotocamera, il microfono e tutti i contenuti presenti sull’apparato, anche quelli che apparentemente sembravano non servire a nulla.

fonte: http://www.juliusdesign.net/28700/lo-stato-degli-utenti-attivi-e-registrati-sui-social-media-in-italia-e-mondo-2015/?update2017

Dalla tabella qui sopra possiamo comprendere l’enormità di dati di cui stiamo parlando; ma se questo numero non vi sembra abbastanza grande, provate a prendere su Facebook, anche soltanto di un mese, le vostre foto, i vostri messaggi (anche quelli privati), le news che avete linkato, i post che avete fatto e i like che avete lasciato, poi moltiplicatelo per 2 miliardi e forse vi farete un’idea approssimativa della quantità di dati che il social immagazzina in un solo mese. Pensate che solo questo semplice calcolo fa valutare 500 miliardi di dollari Facebook in borsa. Poi dovreste ancora moltiplicare per altri software installati sul PC e altrettante App, anche quelle che vi sembrano più innocenti, presenti sullo smartphone ma così, giusto per avere un ordine di grandezza e, vi assicuro, sarete ancora lontani. Questa grandezza numerica forse ci fa comprendere le motivazioni di un’ignavia strisciante che gira intorno e dentro il web e che ha fatto da ammortizzatore anche a bombe come quella di Cambridge Analytica.

Io ero convinto che sarebbero esplosi definitivamente tutti i ragionamenti intorno alla privacy, all’informazione manipolata e tossica e al controllo degli utenti e che in qualche maniera Zuckerberg ne sarebbe uscito malconcio. Ma come dimenticare che nel lontano 2003, quindi in un periodo ancora pre-social-autorappresentativo, aveva avuto problemi simili in tema di violazione della privacy con quella sorta di beta di Facebook, ma non subì alcuna conseguenza, anzi da lì comprese definitivamente qual era la sua merce principale.

La vicenda di Cambridge Analytica non è diventata poco credibile perché intricata o distopica, è solo passata indolore tra le fila degli utenti del social, per via della sua intersecazione al “normale” piano di condivisione e autorappresentazione a cui gli utenti dei social sono abituati e a cui non intendono rinunciare.

Gli utenti di Facebook non sono diminuiti quando si è scoperto che Cambridge Analytica (società vicina alla destra americana) aveva raccolto dati personali per creare profili psicologici degli utenti in modo da lanciare una campagna di marketing elettorale personalizzata a favore di Trump; anche quando si scoprì che la società aveva creato una gran quantità di account fake per diffondevano false notizie su Hillary Clinton; e nemmeno quando Facebook venne accusata di avere reso possibile e facile la raccolta di questi dati e di avere cercato di nascondere il tutto.

Possiamo sfuggire ingannando il sistema? Certo, si può fare ma partire da un account fake e non da quello reale perché se ne andrebbe a farsi benedire la “reputazione on line” e quindi il motivo stesso per il quale si è su quel social.

E comunque, anche se non aderiamo alla filosofia di massa del “non abbiamo nulla da nascondere” e facciamo attenzione alla nostra vita on-line, i social (o la loro somma) raccontano molto, anzi troppo, di noi. Bastano anche solo i like per far parlare le nostre preferenze e i nostri gusti, se poi si mettono in relazione amici, pagine, gruppi, post e condivisioni di notizie, facciamo emergere un profilo molto più preciso, pronto per chi unirà i puntini.

Che i dati siano una merce preziosa non lo dicono i fanatici della privacy ma lo dimostrano i vari attacchi tesi alla “sottrazione dei dati” come quello che è accaduto a Yahoo qualche anno fa.

Insomma i nostri gusti, le nostre ricerche, i nostri acquisti, le nostre letture sono informazioni che consapevolmente produciamo e inconsapevolmente cediamo gratis ad altri che su questo creano profitto.

Ovviamente la questione non riguarda esclusivamente i social o altri faccende legate al web che meglio conosciamo ma anche a una serie di servizi che invece non conosciamo di meno legati ai sistemi di domotica e di geolocalizzazione che vanno dall’accesso remoto alla lavatrice, all’orologio che ci mostra i chilometri e le calorie consumate, alla foto del piatto scattato nel ristorante, alla connessione wi-fi fatta in stazione.

Stiamo parlando di un centinaio di zettabyte di dati di cui non conosciamo quasi nulla, tanto meno chi, come e perchè li sta trattando. Ma tanto agli ignavi del web frega poco, l’importante è condividere l’ultima foto della pappa del bimbo.

23/10/2016

La nostra sicurezza nelle chat

In una ricerca pubblicata qualche giorno fa, Amnesty International ha stilato una classifica di 11 aziende (Apple, Blackberry, Facebook, Google, Kakao Corporation, LINE, Microsoft, Snapchat, Telegram, Tencent e Viber Media), proprietarie di applicazioni di messaggistica istantanea, che hanno maggior rispetto per la privacy dei loro clienti.

<img class=”wp-image-4163 alignleft” src=”http://www this content.vitocola.it/wordpress/wp-content/uploads/2016/10/prism2-300×225.jpg” alt=”prism” width=”440″ height=”330″ srcset=”http://www.vitocola.it/wordpress/wp-content/uploads/2016/10/prism2-300×225.jpg 300w, http://www.vitocola.it/wordpress/wp-content/uploads/2016/10/prism2.jpg 700w” sizes=”(max-width: 440px) 100vw, 440px” />Peccato che sia in testa che in coda alla classifica ci siano gli stessi nomi che dal 2007 al 2013 erano presenti nel famoso caso PRISM. Amnesty International non ignorava la cosa e ha chiarito di essersi interessata alle aziende “commerciali” con le applicazioni più diffuse. Ecco perché, per esempio, non c’è Signal che appartiene a un gruppo non-profit.

In sostanza Amnesty classifica quelle aziende con più attinenza e rispetto della propria policy in modo da consigliarci un male minore.

I criteri indagati sono stati 5 (1-riconoscere le minacce online alla libertà di espressione e diritto alla privacy come i rischi per i suoi utenti attraverso le sue politiche e le procedure; 2- applica la crittografia “end-to-end” di default; 3-sensibilizza gli utilizzatori sulle minacce alla loro privacy e alla libertà di espressione; 4-rivela i dettagli del richieste del governo per i dati utente; 5-pubblica i dati tecnici del suo sistema della crittografia) ma nessuna analisi tecnica è stata condotta sulla sicurezza globale del servizio di messaggistica.

Precisiamo che neanche con la crittografia “end-to-end” si è al riparo dagli spioni, poiché sarebbe sempre possibile entrare in possesso delle chiavi crittografiche private con un po’ di “social engineering”, ad esempio, fingendosi uno dei destinatari, oppure assicurandosi il controllo di un nodo della connessione, o anche semplicemente accedendo ai dati di backup del cloud, ecc…., più o meno quello che la NSA faceva con x-keyscore.

Dunque, forse, sarebbe stato più utile considerare “se, dove e come” queste aziende conservano i dati dei clienti.

Per farla breve ne viene fuori che WhatsApp (il più utilizzato sia per numero di ore che per frequenza di utilizzo e che usa lo stesso protocollo di Signal) è la chat più sicura di tutte, superando anche la concorrente Telegram che, invece, dal 2015 ha messo in palio 300mila dollari per chiunque riesce a superare il proprio sistema di sicurezza.

Ultima cosa importante del documento di Amnesty è che solo la metà delle aziende intervistate, rende pubblico un report sulla quantità di dati degli utenti che viene dato ai governi in seguito a esplicite richieste.

Ma allora, qual è l’app di messaggistica più sicura?

ALLO di Google neanche a parlarne. A parte la crittografia traballante c’è quel forte interesse (comune a tutte le aziende) a far soldi con i dati degli utenti che qui viene affinata ancor di più attraverso la “machine learning”. Si tratta di un servizio di profilazione avanzato degli utenti con il quale Google capisce sia il testo che le immagini contenute nei messaggi. In tal modo l’app riesce sia a suggerire frasi automatiche in risposta a delle immagini inviate che consigliare dei risultati di ricerca con una geolocalizzazione rapida su Maps in funzione del contenuto del testo digitato. Dunque tutto il contrario della privacy dell’utente.

WhatsApp è la più popolare in assoluto, supera il miliardo di utenti e, come dice Amnesty, usa una crittografia end-to-end. Il problema serio è rappresentato dalla raccolta di dati e metadati (la lista dei contatti, numeri di telefono e a chi si scrive) che Facebook può utilizzare per i propri fini e anche consegnarli alle autorità qualora venissero richiesti. Se poi si sceglie di salvare i contenuti delle conversazioni su cloud si completa il quadro del rischio per l’utente.

Telegram usa il protocollo MTProto definito, però, “traballante” da Thaddeus Grugq. A suo demerito va detto che salva tutti i dati sui propri server in chiaro e a suo merito i “bot” e le api libere per poterli creare, ma sopratutto i “canali” con i quali è possibile comunicare istantaneamente con un grandissimo numero di utenti.

Il migliore è sicuramente Signal e non perchè l’abbia detto Snowden un anno fa, piuttosto per la sua filosofia di base che lo rende più sicuro. Intanto è un sistema aperto e questo già basta a garantire sulla sicurezza da solo. Anche se può sembrare un ossimoro, in realtà quando i codici sorgenti sono aperti, chiunque può migliorarli creando patch e sviluppi alternativi attraverso collaborazioni diffuse e riutilizzo del codice.

Inoltre Signal non raccoglie dati e metadati degli utenti da nessuna parte, ma annota soltanto i tempi di connessione. Anche quando chiede di condividere i contatti (in modo da trovare chi usa la stessa app) tutta l’operazione viene subito cancellata dai server. Non essendo presente la funzione di backup della chat, nel caso si cambiasse smartphone, si dovrà spostare tutto a mano.

E’ stata creata da Open Whispers System, una società no profit che si finanzia solo con le donazioni volontarie. L’unico neo di questa app è quella di essere poco diffusa (sembra che sia stata scaricata da poco più di 1 milione di utenti contro il miliardo di utenti dichiarato da WhatsApp) e probabilmente resterà tale proprio a causa della sua filosofia sulla sicurezza che la rende poco user friendly.

04/08/2016

Una scatola nera su tutte le auto e addio alla privacy

Il disegno di legge Concorrenza, ad opera di Salvatore Tomaselli e Luigi Marino del PD, sta per essere approvato in via definitiva e, tra le tante cose (come la regolamentazione di Uber), obbligherà tutti gli automobilisti all’installazione di una “scatola nera” all’interno dei propri autoveicoli.

Queste scatole nere non sono proprio una novità. Circa il 16% degli automobilisti ne ha già installata una, grazie al fatto che le compagnie assicurative offrono uno piccolo sconto sulla polizza in cambio della spontanea georeferenziazione del veicolo. L’automobilista, a fronte di questo sconto, cede la propria privacy e la propria libertà di spostamento. Il Codacons dice però che lo sconto è poca cosa dal momento che la maggiore diffusione di questi apparati è quasi del tutto limitata a quelle province (Napoli, Caserta, Salerno, Reggio Calabria e Catania) dove il prezzo della Rc auto è la più cara d’Italia. E poi il costo dell’acquisto, del montaggio e della manutenzione del dispositivo (black box) restano a carico del cittadino.

L’obbligo partirà prima per i mezzi pubblici e, dopo un anno, si estenderà a quelli privati. Il governo dovrà ancora definire quali informazioni minime dovranno essere obbligatoriamente rilevate e quale sarà il loro trattamento, ma di certo non potranno impedire ai GPS di tracciare e registrare l’attività dell’autoveicolo e, quindi, la sorveglianza sull’attività delle persone all’interno delle automobili è già compiuta.

Qualche tempo fa Maurizio Caprino, su Il Sole 24 Ore, ha sostenuto che la compatibilità di questo dll con le norme UE è tutta da verificare, dal momento che quest’ultima è interessata più a obblighi in materia di sicurezza (come i “sistemi di frenata automatica, allarme in caso di cambio di corsie involontario, cruise control attivo e simili”) che ai sistemi di tracciamento.

Allora a chi può interessare tutto questo affaccendarsi del governo per la scatola nera?

Certamente alle compagnie assicurative che attraverso il controllo sull’uso del veicolo, hanno la possibilità di verificare la dinamica di un incidente in modo da smascherare eventuali truffe ai loro danni. E conviene anche ai produttori dei dispositivi che, manco a farlo apposta, da tempo spingono in tal senso.

Insomma questo ddl Concorrenza attuerà, di fatto, una sorveglianza massiva attraverso la raccolta indifferenziata di informazioni sensibili su tutti gli automobilisti, sottoponendoli a una restrizione della propria libertà.

Qui non c’è in ballo la sicurezza delle persone ma soltanto un incremento del campo dei sistemi di sorveglianza di massa (come il pre-screening dei passeggeri sugli aerei, le intercettazioni di massa dell’NSA, il pullulare delle telecamere di sorveglianza privata con una legislazione che ne ha mollato completamente il controllo, ecc…).

Insomma per chi non vuole essere tracciato non resteranno che due opzioni: la bicicletta o l’hackeraggio della scatola nera.

29/08/2014

Il diritto all'oblio secondo Google

Il 13 maggio di quest’anno la Corte di Giustizia dell’Unione Europea ha emesso una sentenza inappellabile nei confronti di Google che, in quanto responsabile del trattamento dei dati di tutti i suoi utenti, è obbligata a cancellare i dati personali e la loro indicizzazione a chiunque lo richieda.

Google invece, richiamandosi al “Digital Millenium Copyright Act“, ritiene di dover essere liberata da tale onere (tranne per il copyright) nel momento in cui riesce a dimostrare di aver fatto tutto il possibile.

Tralasciando il complesso tema sul delicato equilibrio tra diritto alla cronaca e privacy (e non considerando il fatto che non basta eliminare il link nelle pagina dei risultati del motore di ricerca se poi restano on-line i contenuti), c’è un problema che ha a che fare con il futuro di internet: se, come dice David Meyer, in futuro i motori di ricerca anziché essere centralizzati come Google fossero distribuiti? chi sarebbe il responsabile?

A tal proposito Google ha costituito un Comitato consultivo per il diritto all’oblio che ha avviato un tour europeo per rendere note le problematiche legate alla sentenza della Corte e la tappa italiana sarà mercoledì 10 settembre presso l’Auditorium Parco della Musica a Roma.

Qui, oltre ad ascoltare i relatori invitati, sarà possibile porre domande attraverso delle apposite cartoline che Google distribuirà al pubblico presente ma, se volete, potete farlo anche on-line.