Gli spot non sono tutti uguali

Per apprezzare pienamente questo spot era necessario:
sapere chi è “The Boss”,
comprendere il dialetto (ci sono comunque i sottotitoli),
conoscere Garybaldi.

Enjoy!

Pubblicato su Freak. Leave a Comment »

Lampi di Cassandra/ Lo SPID è nato morto?

Fonte: Punto Informatico del 21/03/16

di M. Calamari – I sistemi di autenticazione a due fattori gestiti tramite SMS soffrono di problemi strutturali, suggerisce una ricerca dell’Università di Amsterdam. SPID-2 si basa proprio su questo meccanismo

081210.wired.spy-cloud.large

Probabilmente persino alcuni dei 24 informatissimi lettori non conoscono SPID, acronimo di “Sistema Pubblico di Identità Digitale”, che si autodefinisce “La soluzione per accedere a tutti i servizi online della pubblica amministrazione e dei privati con un’unica Identità Digitale”. Perciò, prima di passare a fosche profezie, Cassandra è obbligata a fornire qualche informazione, peraltro facilissimamente reperibile in Rete. Dunque, SPID, noto anche a chi ha memoria lunga come “Il PIN di Renzi”, è un sistema pubblico di creazione e distribuzione di identità digitali, controllato dallo Stato Italiano e realizzato da fornitori privati da esso certificati ed iscritti un un apposito Albo.
Viene infatti gestito esattamente come è stato fatto per la Posta Elettronica Certificata con la quale, per fortuna, si sono creati sia un utile strumento per il cittadino che un onesto business per alcune aziende di servizi informatici.

I problemi che attualmente affliggono lo SPID sono di due tipi: commerciali e tecnici.
Quello commerciale, dovuto al solito bando confezionato ad arte (“solo aziende con almeno 5 milioni di euro di fatturato”) pare sia stato risolto di recente.

I problemi tecnici sono appena cominciati, ma preoccupano già molto: vediamo un attimo perché.
Chi ha bisogno di una identità digitale la compra da un fornitore a scelta: attualmente ce ne sono tre.
I fornitori, dotati di adeguata struttura amministrativa e tecnica certificata, effettuano il riconoscimento della persona, ne verificano l’identità e rilasciano le credenziali richieste. Con queste credenziali l’utente si potrà (prossimamente) autenticare a tutti i siti e servizi delle pubbliche amministrazioni, ed a tutti i siti e servizi commerciali che la vorranno adottare.
E per i primi due anni le credenziali sono anche gratuite.
“Tutti” e “Gratis”. Bello eh?
Si, ma anche no, e vediamo perché.

Esistono tre tipi di credenziali: SPID-1, SPID-2 e SPID-3.

SPID-1 è un nome utente fisso con una password modificabile dall’utente: buono per autenticarsi su un social o una mail list, ma certo non buono per una dichiarazione dei redditi, un pagamento, un voto o la presentazione di un bilancio. Secondo Cassandra non avrebbe nemmeno dovuto esistere perché implementa una cultura dell’insicurezza.

SPID-3: autenticazione con token digitale. Per ora nessuno la fornisce, quindi è difficile darne un giudizio, se non che è la triplicazione di altri due servizi che potrebbero essere usati con la stessa efficacia, cioè dispositivo di firma digitale e carta nazionale dei servizi (di solito coincide con la tessera sanitaria). Essendo non una duplicazione ma una triplicazione anche SPID-3 non dovrebbe esistere.

SPID-2 è una autenticazione a due fattori, nome utente e password, congiuntamente alle generazione di un codice temporaneo che viene inviato via SMS o con app mobile dedicata. Già diffuso ed usato soprattutto dalle banche, è realizzabile anche in una diversa, più sicura e più costosa versione, in cui il codice temporaneo viene generato ogni minuto da un piccolo token con display LCD che si tiene in casa o nel portachiavi.
SPID-2 non prevede tuttavia l’uso di un token fisico, ma solo della versione SMS. E qui vengono i dolori.

È infatti stata pubblicata un’interessantissima ricerca dell’Università di Amsterdam dal titolo “How Anywhere Computing Just Killed Your Phone-Based Two-Factor Authentication”, cioè “Come l’integrazione di smartphone e pc ha appena ucciso l’autenticazione a due fattori via SMS”. Si parla appunto delle ben note sincronizzazioni nei vari cloud e tra i vari sistemi operativi dei nostri gadget tecnologici, tanto comode ma anche tanto rischiose, e non solo per la privacy.

Le 17 lucide pagine descrivono dettagliatamente l’implementazione di attacchi mirati per violare i sistemi con codice temporaneo via SMS, sia in ambiente Android che iOS, con una prosa precisa ed implacabile, concludendo che mantenere ragionevolmente sicura l’autenticazione a due fattori via SMS sarà una sfida difficile e costosa.
Per chi non troverà il tempo di leggere il paper (e farà male) è importante sottolineare che il problema segnalato non riguarda il semplice exploit di un paio di bachi, che poi saranno corretti in modo da risolvere il problema stesso. Il problema delineato è più sistemico e più profondo, quindi anche più grave e difficilmente correggibile, visto che contrasta con l’usabilità di prodotti. È il problema di permettere a più device di sincronizzarsi automaticamente ed in vario modo tra di loro e col cloud. Meccanismi di questo tipo, che si moltiplicano continuamente perché sempre più necessari, sono violabili anche senza veri e propri bachi software, perché dovendo far parlare device diversi tra loro senza disturbare troppo l’utente (e quindi avere prodotti più “belli”) saranno sempre intrinsecamente deboli perché, per spinte commerciali, devono essere prima di tutto flessibili e facili da usare.

Così la sicurezza, da sempre Cenerentola dell’elettronica di consumo, sarà considerata ancora meno, quando invece il paper, nelle sue conclusioni, sottolinea che i problemi intrinseci di sicurezza diverranno sempre più gravi fino al limite dell’ingestibilità.

Leggetevelo, anche perché all’Agenzia per l’Italia Digitale non hanno probabilmente avuto il tempo per farlo.

Se SPID-2 fosse invece un’autenticazione a due fattori con token hardware, anche se suscettibile di attacchi tipo Man-in-the-Browser (MitB), sarebbe comunque di gran lunga più difficile da violare e soprattutto da violare su larga scala.

E quindi?
Quindi anche se SPID-2 non è nato proprio morto, è purtroppo un neonato a gravissimo rischio.
Cassandra la ritiene una soluzione decisamente sconsigliabile, come le sue due sorelle.

Nulla rimane da dire quindi sullo SPID come iniziativa digitale italiana.

Il problema più vasto di avere una identità digitale univoca merita invece qualche altra considerazione.
La violazione delle vostre (ipotetiche) credenziali SPID implica pericoli molto più gravi del semplice svuotamento del vostro conto corrente.
Le credenziali sono “voi”, dovunque. Devono essere sicure ed utilizzate con attenzione.
Essendo uniche potrebbero essere usate per impersonarvi e realizzare azioni su innumerevoli siti e servizi di cui voi nemmeno conoscete l’esistenza.

Ecco perché, secondo Cassandra, per SPID vale quanto detto a suo tempo per la CEC-PAC ed altre storie dell’orrore digitale italiane.
Neanche gratis.

Marco Calamari
Lo Slog (Static Blog) di Marco Calamari
L’archivio di Cassandra/ Scuola formazione e pensiero

Pubblicato su Informatica. 6 Comments »

Viviamo nell’era dell’intimità distante

Roberto Cotroneo

Avevano detto che era una questione di tempo, che il web avrebbe cambiato le coscienze, il modo di vivere, le abitudini. Avevano detto che i cambiamenti sarebbero entrati dentro, in profondità, fino al fondo del nostro essere. Qualcuno si era allarmato. Altri avevano sottovalutato. Ma nessuno si è accorto che bisogna salvare la memoria delle cose come l’abbiamo sempre pensata, la memoria fisica, la memoria delle immagini che non sono video, o fotografiche, ma sono quelle che arrivano direttamente alla nostra retina. Nessuno se n’è accorto ma dobbiamo salvarci dal linguaggio scritto, dalla scrittura quando è finzione, che utilizziamo ormai per qualsiasi cosa, persino per comprare un libro online. Un gesto della vita, che dovrebbe essere normale, fisico, palpabile, estetico, oggi è spesso soltanto un digitare sulla tastiera, un loggarsi, un cliccare da qualche parte.
Se andiamo avanti a vivere buona parte di quel che conta delle nostre esistenze in una forma…

View original post 498 altre parole

ostinata.mente ri.cerca

Libera.mente

In un ostinato cinguettio insiste, è il mio nuovo vicino, sul balcone ogni giorno arriva e si esibisce, davanti a me che ho sempre prediletto le ali e poi le ho riposte dietro la schiena per proteggere qualche cosa.
Lui ritorna ora con la primavera, anche se pare sia freddo, ci attendono forse brutte nuove, quindi rigido, questo sole di quasi maggio.
Il suo canto ostinato mi riporta ad un incerto ri.mettersi a cercare ago nel pagliaio

così
mi sembra impossibile andare a votare per un sindaco di democrazia dispersa
mi sembra impossibile che ci siano troppi io e pochi noi,
e così… inaudita questa violenza di aggressione imbecille carica,
e quindi zavorre. Persone multistrato pesanti nella loro leggerezza ad inseguire in retini invisibili farfalle colorate, e tutto ha vita breve.
Il ti vorrei non corrisponde al ti ho, oppure meglio ‘ho’ senza ti.ci.si.mi.
Ostinato mi ricorda di tenere a…

View original post 163 altre parole

cancella quel numero

Libera.mente

Ci lascia degli ottimi pezzetti di pane e noi ringraziamo cantandole una delle nostre canzoni preferite, come non potremmo? A lei fa piacere, si vede da come ci spia da dietro le tendine, ma noi ci alziamo in volo all’istante: siamo passerotti di primavera.

Vabbè li adesco così, a loro fa piacereper me è nuova possibilità
e penso all’ambivalenza: fotografare reti e nodi di un luogo già passeggiato nel passato dove corpi di amanti tenevano emozioni e passioni messe in freezer
e imprevisto
dopo
qualche
breve attimo,
dopo stordimento etilicoanimico,
invece arriva scenario diverso: case diroccate e bellissima natura e spettacoli di voci e storie che curano poi chiacchiere che mi salvano un gruppo dove si esprime affettività in ascolto a differenza del deserto di parole e i gesti poco di cura del tempo precedente.

Quel numero che dovrei cancellare nuovamente dalla rubrica è il numero sbagliato di questo spettacolo…

View original post 241 altre parole

L’acciuga spiaggiata

branco aggiughe

Sentiva provenire dai pescherecci i racconti dei vecchi lupi di mare sulle grandi balene che vedevano al cinema; lei così piccola e invisibile in mezzo all’immenso branco di acciughe, sue compagne, destinate a finire sul banco del pesce o peggio ancora dentro una lattina sarcofago esposta tra lo scatolame di un super mercato.
No, per se stessa desiderava una vita diversa, voleva essere una balena per compiere grandi viaggi e vedere gli immensi oceani.
Così decise di allontanarsi dal gruppo al quale sentiva di non appartenere, poiché la sua anima era precipitata dentro quel corpicino esile per un errore del programma di risurrezione.
Purtroppo, fuori dalla massa argentea dentro la quale era stata sempre trascinata per inerzia, perse l’orientamento e si trovò a languire sulla sabbia di una spiaggia deserta.
“Ecco – pensò – desideravo essere una balena per vedere il mondo e invece mi trovo qui a morire…

View original post 204 altre parole

Non è per te dominare

Gatto Atlantico

Oggi ho riflettuto a lungo su alcune cose della mia vita ma anche su quella degli altri.
Dicevo stamani che spesso il mio atteggiamento verso gli altri viene percepito in maniera anomala. Da quando sono ragazza per spiegare questo concetto ho sempre detto che è come se su una scala ci fossero gli altri (non l’universo mondo, ma il mio naturalmente) e io fossi semplicemente su un’altra scala.
Non è così che io mi sento. Non sempre ovviamente. Ognuno ha la propria esperienza di vita e la propria anima da custodire, ma fatta salva questa diversità davvero mi sento parte dello stesso mondo.
Vero è che gli altri spesso mi vedono così e deve essere necessariamente il frutto di un mio personale modo di rapportarmi e di comunicare.
O meglio, di metacomunicare come avrebbe detto in maniera più appropriata la mia psi.
Ho lavorato molto con lei sulla mia metacomunicazione. E…

View original post 417 altre parole