Bravi!

Quando si dice “il diavolo è nei dettagli…”

Qualche giorno fa mi è arrivato un messaggio di posta elettronica dal mio fornitore di servizi internet (per dirla alla moderna, una email dal mio hosting provider), ovvero Aruba.

Eccolo qua

Il mittente è <comunicazioni@staff.aruba.it>, l’aspetto esteriore è quello dei messaggi che abitualmente ricevo da Aruba, e pure il numero di telefono sembra proprio quello del servizio clienti di Aruba.

Ovviamente (ma non tanto per chi tende a essere meno sospettoso di me) non si tratta di un messaggio originale di Aruba, bensì di un messaggio truffaldino creato e diffuso per carpire i dati personali, e probabilmente riservati, dell’incauto che abbocca.
Ho apposta utilizzato il verbo “abboccare” perché questo tipo di truffa informatica viene denominata “Phishing”, ls cui pronuncia in inglese è assai simili a quella di “Fishing”, che, sempre in inglese, significa  “pescare”.

Saprete di certo che l’informatica è una specie di brodo primordiale dal quale è emersa una miriade di neologismi, alcuni effimeri, altri più duri a morire, e, per i non addetti ai lavori, dal significato oscuro o almeno travisato.
“Phishing” nasce dall’unione di due termini, un bastardo gergale che i più colti (quindi non io) riconosce come un neologismo sincratico (parola macedonia).

Il primo termine è “Phreaking”, a sua volta creato unendo “Phone”, il telefono o il sistema telefonico, con “Hacking”, l’azione di intaccare (in questo caso la riservatezza dei dati). Guarda caso, la pronuncia inglese richiama il termine “Freaking”, cioè la perdita del senno, del controllo di sé, in questo caso del controllo di ciò che siamo e ciò che di noi vogliamo appaia nella rete internet.
Il secondo termine è appunto “Fishing”, pesca, che può essere a strascico, con milioni di messaggi fasulli gettati nell’Oceano Internet, da posta, più limitata nella platea di possibili vittime, e per questo motivo più curata ed efficace, e infine all’amo, mirata a far abboccare una singola preda per tramite di un’esca credibile.

Ecco, penso proprio che il mio sia stato un “incontro ravvicinato del terzo tipo” con questo imbroglio informatico. Una vera disdetta per il truffatore che io sia una sorta di Diplodocus Annularis, un piccolo pesce della famiglia dei saraghi che da noi viene chiamato “Sparo”. Questo bricconcello è capace di pulirti l’amo senza che tu te ne accorga nemmeno. Egli lavora con sospetto e pazienza, mentre tu confondi le piccole e ripetute vibrazioni del filo con quelle naturalmente causate dal moto ondoso e dalla brezza.

From Wikimedia Commons, the free media repository

Per prima cosa sono andato a controllare chi fosse il vero mittente, aprendo i dati estesi del messaggio, quelli che vengono definiti “Header”. Ciò che appare in prima battuta sul vostro schermo può essere facilmente manipolato, e il nome del mittente non fa eccezione, mentre è molto più difficile (ma non impossibile) celare i veri dati in invio nei dati estesi. Nel mio caso si trattava di un certo <zaza@gotogate.fr>, un indirizzo “mordi e fuggi”, nel senso che viene creato anonimamente per attivare la truffa e mantenuto in vita per brevissimo tempo, anche solo qualche ora, per impedire che da quello si risalga alla combriccola di imbroglioni.

Io però non posso esentarmi dal farvi notare a quale livello di finezza truffaldina siano giunti per cercare di carpire la mia (scarsa) buona fede.

In qualche modo c’è chi ha collegato il mio indirizzo di posta elettronica con quello dei clienti Aruba, il che non è operazione tanto semplice, ma neppure roba da agenti segreti, però c’è dell’altro che rende interessante questo tentativo di Phishing.

A parte la grafica simile a quella originale, facilmente ottenibile da uno “screenshot”, l’azione di copiare su un editore grafico l’immagine visualizzata sullo schermo, e trascuriamo pure il set di caratteri, detto “Font”, perfettamente identico a quello utilizzato da Aruba, dato che in rete esistono numerossime librerie sulle quali reperire il tipo di carattere adatto all’uopo, ciò che rende particolarmente “apprezzabile” il tentativo è la cura dei dettagli, nei quali appunto si nasconde il diabolico.

Il tenore del messaggio in primis, niente di allarmante, urgente, imperativo, ma un semplice, oserei definire cortese, avvertimento di un possibile contrattempo, una bazzecola alla quale sarebbe però consigliabile dar seguito.

Il numero del Servizio Clienti di Auba è quasi esatto, nel senso che quello vero finisce con lo 0505. Chiamando quello indicato nel messaggio non riponde nessuno ovviamente, e in questo modo l’utente è spinto a utilizzare il link indicato nel messaggio, che poi all’apparenza è quello vero, https://managehosting.aruba.it/. Un vero peccato che cliccando su quel link si venga rimandati, nel migliore dei casi, a una pagina web, sempre simile a quella originale, nella quale si devono digitare i codici di accesso per procedere alla gestione del proprio spazio web, fatturazione compresa, codici che ovviamente vengono rubati dal pescatore di frodo.
Invece nel peggiore dei casi viene scaricato e installato a nostra insaputa un programma maligno detto “Malware” in grado di assumere il controllo del computer, col quale i malintenzionati possono farci quello che vogliono, bloccarlo e chiederci un riscatto, rubarci l’identità, usarlo come zombie per altri attacchi informatici, rubare i nostri dati sensibili, come password, codici di accesso, indirizzi, o addirittura spiare tutte le nostre attività, non solamente in rete, ma anche quelle fisiche, attivando da remoto (persino da computer spento se avete un portatile) la webcam e il microfono.

In tutta onestà, non riesco a immaginare cosa potrebbero combinare se voi aveste ceduto alle sirene della domotica, ennesimo neologismo sincratico che definisce le tecnologie che dovrebbe rendere “intelligenti” le cose di casa, casa compresa, il tutto tramite il vostro telefono “intelligente” (Smartphone) e la rete, una sconfinata struttura immateriale la cui intelligenza è limitata solamente da quella di chi la usa, e questi truffatori di sicuro stupidi non sono. Se mai vi capitasse di avere a che fare con “Internet delle cose”, agite con prudenza, in quanto tutto ciò che si apre alla rete, un frigorifero, un impianto di riscaldamento, un antifurto, un’automobile, è dotato di una porta bidirezionale la cui serratura è tutt’altro che irresistibile.

Paura eh?

Il bello viene ora.

Tutto il messaggio fa riferimento a un ipotetico problema di fatturazione, magari sorto da un dettaglio marginale, una banale dimenticanza, proprio come quella di aggiornare i dati della carta di credito dopo la scadenza di quella precedentemente registrata.
Ebbene, il messaggio è pervenuto alla fine di ottobre, e indovinate un po’ quando scade la mia carta di credito? Tombola! Proprio in ottobre.
Badate bene, non è che per procacciarsi quei dati servano particolari abilità spionistiche; a volte bastano un lettore POS di un supermercato non attento alla sicurezza, oppure un cassiere infedele, una transazione in chiaro, e altro ancora. Il bello è che qualcuno si è preso la briga di collegare tutti quei dati per confezionare una mela avvelenata dall’aspetto più innocente che mai.

Che volete che vi dica, gli è andata male, però dovete ammettere che sono stati bravi.

.

 

Cassandra Crossing / Biometria o PIN?

Fonte: Punto Informatico del 19/09/17

di M. Calamari – L’iPhone X introduce il riconoscimento facciale e riapre il dibattito sull’uso dei sistemi biometrici nei dispositivi consumer. Servono davvero o questa estenuante corsa all’ultima funzione ci metterà tutti a rischio?

Immagine da: mrrobot.it

Una delle novità tecnologiche dell’ultimo smartphone di “firma” (il cui prezzo parte da 900 euro) è l’uso del rilevamento biometrico 3D del volto per sbloccarlo, o più precisamente come credenziale di identificazione del proprietario. Sorridere al telefonino eviterà di battere il noioso PIN un sacco di volte al giorno, ma soprattutto farà rosicare tutti quelli attorno.
L’annuncio sdogana definitivamente una tecnologia già da molto tempo sugli scaffali dei negozi, ma finora accolta tiepidamente dal mercato, senza grandi clamori o reazioni degli addetti ai lavori.
Al di là della fascinazione, dell’eleganza e della moda, occorre chiedersi seriamente: “Cosa significa per gli utenti normali utilizzare il riconoscimento facciale per sbloccare il telefonino?”. Anzi, più in generale: “Cosa significa usare una qualsiasi credenziale di tipo biometrico, come l’impronta digitale, il volto o l’iride, in una data situazione?”.

Prima di rispondere, partiamo dalle origini.

Avete davvero bisogno di bloccare il telefonino con una qualsiasi credenziale (dal classico PIN in su)?

Ovviamente la risposta dipende dal tipo di informazioni che avete archiviato sul telefonino; se lo usate per eseguire pagamenti, per collegarvi alla banca o custodire informazioni personali e sensibili (pessima idea!) certamente sì. In questo caso però la domanda seguente sarebbe “Cosa fate per proteggere tali informazioni dal telefonino stesso e dalla pletora di app di dubbia provenienza che ci girano sopra?”.

La soluzione che Cassandra, dopo la sua personale adozione di un telefono “furbo” (“smart” per i millennials) dovuta alla necessità di un minimo di interazione con la “Internet degli Idioti“, è stata quella di minimizzare la quantità di informazioni personali presenti sul telefono e di azzerare quelle riservate o sensibili. Così facendo, a parere di Cassandra, anche la necessità stessa di bloccare il telefono praticamente si azzera, e una semplice gesture di sblocco per evitare che il dispositivo “faccia cose” mentre lo mettete o lo togliete dalla tasca può essere assolutamente sufficiente.

Si potrebbe aprire un dibattito infinito sul concetto di “minimizzare le informazioni personali” e sull’efficacia reale di una sua applicazione, ma richiederebbe un articolo dedicato; quindi, per adesso passiamo oltre.

Cosa significa invece l’adozione della biometria (qualsiasi biometria) non per l’identificazione delle persone, cosa che si fa da più di un secolo, ma come credenziali di identificazione?

Non è la stessa cosa? No! Se lo pensate vuol dire che non vi siete mai posti il problema. Smettete un attimo di leggere e fatelo. Gli altri proseguano pure.
No, perché le necessità e l’ambito di utilizzo sono completamente diversi, come pure gli scopi, anche se le tecnologie, dal tampone inchiostrato alla telecamera 3D a infrarossi, sono le stesse.

Quando la biometria viene usata per identificare fisicamente una persona (posto che questo sia fatto da chi ha motivi democratici per farlo) ci si trova in un ambito “statico”. La biometria è esattamente ciò che serve; infatti non è previsto (né desiderato) che si debba cambiare identità fisica.
Ma una credenziale di identificazione ad un computer (cosa del tutto diversa) deve invece soddisfare due requisiti fon-da-men-tal-men-te diversi: deve essere utilizzabile solo dall’interessato e deve poter essere cambiata se compromessa.
La biometria non soddisfa nessuno di questi due requisiti, e quindi semplicemente non può essere impiegata come credenziale. Punto!

Per chiarezza, facciamo qualche esempio.

Possono usare le vostre impronte digitali al posto vostro?

Certamente sì, perché le lasciate in giro continuamente. Da un paio di decenni sono disponibili (e utilizzati) semplici metodi per farlo; dal truce (ma efficace) tagliare il dito e portarselo via, alla più gentile creazione di un simulacro dell’agognata estremità raccogliendo l’impronta da un bicchiere e usando gelatina alimentare.

È possibile cambiare le credenziali biometriche se “compromesse”?

Questa è semplice; no!

Potreste trovarvi nella situazione di essere costretti (anche con la forza) a fornire le credenziali per sbloccare il vostro telefonino?

Sì, ed è immensamente più facile farvelo fare che con un normale PIN di 4 cifre. Vi minacciano e vi fanno passare il dito sul lettore, o meglio ancora vi prendono il telefonino e vi inquadrano la faccia.

Ma vogliamo scherzare!? Se avete bisogno di credenziali usate PIN o password, funzionano molto meglio, stanno nella vostra testa e solo lì, e avete sempre il rischio o l’opportunità di dimenticarvele.

.

.

 

Cassandra Crossing / Non dimenticate la Data Retention

Fonte:  Punto Informatico del 30/08/17

di M. Calamari – Prima delle vacanze è passata alla Camera una proposta di legge liberticida; l’atto finale avverrà al Senato fra qualche settimana, ma occorre chiarezza e assunzione di responsabilità  

Chi non ha avuto la memoria cancellata dalle vacanze, ricorderà certamente lo scherzetto che i Deputati della Camera, a maggioranza bulgara, hanno ritenuto di fare agli italiani.
In estrema sintesi, un emendamento di portata devastante è stato inserito in una proposta di legge che tratta di sicurezza degli ascensori.

L’emendamento è stato discusso e approvato durante l’ultima seduta della Camera prima delle ferie, ben nascosto tra ascensori, tartufi ed energie rinnovabili, ed è stato regolarmente approvato anche a causa della distrazione di alcuni Deputati, che avrebbero invece dovuto, per i loro trascorsi, levare ben alta la voce.
L’emendamento prevede due modifiche devastanti per la privacy, ma gustosissime per gli amanti del tecnocontrollo sociale.
Il primo è la triplicazione da 2 a 6 anni della conservazione dei dati telefonici. Nessun paese civile ha periodi superiori a due anni, come richiesto anche dall’UE.
Il secondo, molto più grave perché più insidioso, è l’equiparazione dei dati Internet a quelli telefonici, cosa che farebbe automaticamente scattare una serie di adempimenti legislativi già in essere da tempo, tra l’altro molto onerosi anche per i provider.
In un solo colpo verrebbe attuata una data retention pesantissima nei confronti del Popolo della Rete, cioè della maggioranza degli innocenti cittadini italiani.
L’approvazione del decreto legge nella sua stesura attuale anche al Senato, che riprenderà i suoi lavori il 12 Settembre, farebbe scattare automaticamente l’estensione della data retention; dovrebbe poi essere seguito da un’ulteriore modifica dell’art. 132 della Legge 196/2003 (Testo Unico sulla Privacy), che definisce la data retention attualmente permessa in Italia.

Secondo Cassandra è vitale che questo secondo round avvenga con la massima chiarezza, trasparenza e pubblicità, in modo tale che chi vi parteciperà si prenda le sue responsabilità nei confronti dei cittadini e degli elettori. In questo modo coloro che, con il loro silenzio o con la loro esplicita approvazione, permetteranno questo abominio, almeno non potranno poi negare le loro responsabilità.
Sono, tra l’altro, le stesse persone che hanno permesso che l’infrastruttura tecnica della Rete italiana venisse stravolta e asservita alla censura come solo in Paesi “diversamente democratici” è fino ad oggi accaduto.

Cittadino avvisato…

Marco Calamari
Lo Slog (Static Blog) di Marco Calamari
L’archivio di Cassandra/ Scuola formazione e pensiero

Lazzaro

Immagine tratta da Wikipedia

C’era una volta un vecchio computer portatile. Parecchi problemi ne avevano afflitto l’esistenza, la ventola era rumorosa, la batteria non si ricaricava, WindowsXP e gli applicativi ogni tanto davano problemi, e talvolta il computer “moriva” di botto, lasciando l’utente basito davanti allo schermo nero. Per tutti questi motivi alla fine venne esiliato, e si ritrovò tra i materiali obsoleti prossimi alla rottamazione.
Per sua fortuna un giorno venne notato da un cacciatore di relitti, un avventuriero che non temeva le sfide perse in partenza, anche perché, mettendo egli le mani su dei residuati senza più padrone e senza più speranze, non aveva niente da perdere.
Per prima cosa bisognò capire come smontare il computer, operazione resa inutilmente difficoltosa da una miriade di piccolissime viti, subdolamente poste negli angoli più improbabili e nascosti.
Aperto finalmente il plastico bivalve, venne smontata la ventola originale, la quale oltre a generare un rumore pari a quello di un motorino smarmittato, nemmeno faceva bene il suo lavoro, causando un riscaldamento eccessivo del vorace Pentium4.
Primo giro su internet e prima pescata su ebay di una ventola usata, non originale ma compatibile. Comprata, pagata, aspettata, arrivata, montata, provata… funziona!
Siccome l’appetito vien mangiando, e siccome il paziente era già a cuore aperto, si pensò bene di recuperare, sempre nella stessa maniera, una memoria RAM aggiuntiva, così, tanto per dare un po’ di Gerovital alla macchina.
Richiuso il bivalve, miracolosamente senza danneggiare quei capelli che qualche spiritoso chiama fili, e senza sbagliare neanche una vite (differenze di mezzo millimetro), durante il test saltò fuori che il tasto P non funzionava bene.  azienza, forse è  ossibile fare a meno di un tasto, magari si  uò evitare di scrivere le  arole che contengono la  ,  enso che non saranno  oi così tante. No, così non va.
Altro giretto in rete, altra pescata, e finalmente ecco arrivare una vecchia tastiera recuperata da un rottame cannibalizzato.
Ovviamente per montare la tastiera fu necessario riaprire il riottoso bivalve, e durate le delicate manipolazioni cosa ti vado a scoprire? Toh, guarda un po’ quel filo vicino allo snodo del monitor, sembra staccato. Non avevo idea di cosa comportasse quella interruzione, apparentemente nulla, però si trattava sempre di un filo staccato, mi dava fastidio, eticamente ed esteticamente Voi magari vi immaginate un filo come quelli che avete a casa per accendere la luce, per far funzionare il frullatore, per collegare un telefono. E invece no. Si trattava di esile peluzzo, posto vicinissimo a suoi pari, che solamente a guardarli già si danneggiano. Va bene, o la va o la spacca, abbiamo fatto trenta, facciamo trentunmila.
Presi il mio saldatore, posai una singola goccia di stagno, la più piccola che si può, chiusi gli occhi e puntai nella zona dove supponevo fosse stata interrotta la connessione. Non c’era nemmeno lo spazio per tenere il filo con una pinzetta, era come inchiodare verticalmente un ago utilizzando una mazzetta da 2.5kg, e senza poter mantenerlo in posizione.
Incredibilmente la goccia di stagno prese solamente quel filo senza toccare quelli adiacenti, roba da circo equestre, e durante il test tutto non funzionò come prima. Ho scritto “non” perché era proprio quel contatto aleatorio vicino alla tastiera a spegnere il computer ogni tanto, erano le occasionali deformazioni dovute a una digitazione più energica del solito alla base dei misteriosi KO. Ma evidentemente quel filo era diabolico, in quanto anche i problemi di ricarica dell’accumulatore dipendevano da quell’infido contatto ballerino.
Poteva bastare? Ovviamente no.
Tutti quei crash improvvisi avevano pure danneggiato alcuni settori del disco fisso, anche qualcuno di quelli dove normalmente sta il sistema operativo, ed ecco la causa dei variegati e incomprensibili problemi di funzionamento del software.
Eradicato WindowsXP, venne allora installato Lubuntu, un sistema operativo molto più leggero da sopportare per un computer “non giovanissimo” (pietoso eufemismo).
Il risultato di questa avventura a lieto fine sta proprio qui, in questo post scritto e pubblicato mediante un “vecchio” computer riportato a una vita dignitosa (e con una risoluzione di 1400×1050 punti, roba che tanti portatili di adesso se la sognano).
Che ci volete fare, sono come George Romero, appena vedo un oggetto dichiarato “morto” mi affanno per riportarlo allo stato di “non-morto”, uno zombie magari non perfetto, ma che sarà comunque in grado di dare segni di vita, quella che gli è stata negata dall’implacabile sistema consumistico “usa e getta”. Del resto già lo sapete, se un giorno qualcuno dovesse spararmi, sarà sicuramente un esponente della categoria che la mia attività resuscitante disturba e minaccia di rovina, quella dei commercianti.

Ahoj

Lampi di Cassandra / SPID o non SPID?

Fonte: Punto Informatico del 7/11/16

di M. Calamari – “Essere o non essere digitali” è il grande quesito al quale noi italiani dobbiamo rispondere. Il rischio di furti di identità c’è ma fino a quando SPID non sarà realmente sicuro è meglio attendere

081210.wired.spy-cloud.large

Oggi l’amletico dubbio contenuto nel titolo, particolarmente evidente per i lettori che già conoscono le precedenti esternazioni di Cassandra in tema (questa e quest’altra), sarà sciolto razionalmente senza ricorrere alla divinazione, non dubitate.

Riassunto delle puntate precedenti: a parere di Cassandra solo la SPID di livello 2 con token OLTP o la SPID di livello 3 con token crittografico possono essere considerate affidabili.
Visto che a tutt’oggi nessuno ancora le fornisce, non bisogna (almeno per ora) usare o richiedere la SPID perché troppo insicura dal punto di vista informatico: rappresenta un rischio elevato (una grande superfice di attacco) alla propria “identità digitale” intesa in senso esteso.

Sul Fatto Quotidiano online è stato pubblicato di recente un video molto ben realizzato, che spiega come utilizzare mezzi illegali ma semplici, anzi banali, per ottenere l’identità digitale di un altra persona. È bene ripeterlo: per ottenere l’identità digitale di un’altra persona. Il video in questione, oltre che agghiacciante, è pure divertente, e Cassandra ne consiglia fortemente la visione prima di proseguire.

Riassunto del video: Il giornalista si è procurato i dati personali pubblici di una persona, ha rozzamente e velocemente falsificato due documenti di identità, e li ha usati per ottenere la SPID, ingannando l’operatore del fornitore di SPID che li esamina e li autentica utilizzando la webcam del portatile.

Bene, sorvoliamo sul fatto che durante la realizzazione del video, così ad occhio (Cassandra fa la profetessa e talvolta l’ingegnere, non l’avvocato), sono stati compiuti almeno tre reati tutt’altro che lievi. Tralasciando come detto queste “pinzillacchere”, citando il grande Totò, analizziamo direttamente la “procedura” seguita.
Quello che è stato violato non è il meccanismo informatico della SPID in quanto tale, ma uno degli svariati metodi per ottenerla da un fornitore certificato (attualmente ce ne sono 4), metodi che sono in parte lasciati all’arbitrio del singolo fornitore di SPID.

Il nocciolo del problema è che se falsificare documenti di identità che debbano essere “utilizzati” nella maniera tradizionale è operazione molto difficile, falsificarli per usarli davanti a una webcam è ridicolmente facile. Non è un caso che per facilitare la diffusione della SPID, tra le varie modalità di rilascio siano previste non solo la tradizionale visita di un apposito ufficio o l’utilizzo di una firma digitale (equivalente all’ancora inesistente SPID livello 3), ma anche modalità online molto semplici e “amichevoli” (ma certo non sicure) come la webcam. E non è nemmeno un caso che di solito le operazioni tradizionali e scomode siano gratuite mentre quelle online, semplici e comode, siano a pagamento. Non dimentichiamo che i fornitori di SPID sono aziende, e che come qualsiasi azienda devono, dopo essersi certificate e operando in base a regole tecniche precise, generare profitto.

Ma basta ripetere concetti già noti, che rischiano di diventare noiosi. Se avete preso in considerazione la possibilità di aggiungere la SPID alle altre identità digitali di cui siete probabilmente già in possesso (Tessera Sanitaria, Carta di Identità Elettronica, Carta Nazionale dei Servizi, Firma Digitale) e non lo avete fatto perché negativamente influenzati da Cassandra, adesso dovreste porvi un quesito e trovare la relativa risposta: “Io la SPID non la vorrei avere, ma visto che è possibile che altri la ottengano fraudolentemente al mio posto, forse è meglio che la chieda prima io e poi magari non la utilizzi, tanto è anche gratis.”
Domanda sensatissima, tanto più che avendo la SPID potreste chiedere in ogni momento l’elenco degli accessi effettuati e accorgervi se qualcuno la sta usando al vostro posto.
Come aiuto per trovare una risposta, e anche per rendersi conto di quanto siano complesse le problematiche da affrontare, Cassandra consiglia la lettura della pagina FAQ nel sito dell’Agenzia per l’Italia Digitale. Basta consultarla e magari scartabellare anche un po’ tra gli altri regolamenti della SPID, per darsi la risposta. La risposta è “NO”.

La SPID appartiene infatti a quella classe di identità digitali che possono essere multiple; insomma voi (e in maniera truffaldina altri) potete ottenerne più di una.
Non potete ottenere due carte di identità digitali, come non potete chiedere due tessere sanitarie, ma dovete denunciare la perdita, furto o distruzione della prima e farvene rilasciare una seconda.
È invece possibile, ragionevole e in certi casi necessario avere più di una firma digitale, come succede da sempre anche per la firma autografa, ad esempio l’amministratore di un’azienda che firma in un modo per gli atti aziendali e in modo diverso per quelli personali.
E poiché il fatto di aver richiesto la SPID non impedisce che altri ne chiedano una seconda, utilizzando metodi fantasiosi come quello illustrato sopra, potete continuare tranquillamente (mica tanto) a farne a meno.

Potete quindi continuare pazientemente ad attendere una SPID di livello 2 con token OLTP o di livello 3, sicure e rilasciate con metodi altrettanto affidabili, almeno fino a quando avere la SPID non diverrà obbligatorio.
Obbligatorio?!? Cassandra non vuole azzardare oggi altre profezie di sventura, ma solo far notare che, almeno a sentire i media, lo è già adesso in casi particolari, ad esempio per ottenere il “Bonus 18 anni” di 500 euro, che può essere richiesto solo ottenendo prima la SPID.

L’amletico dubbio se “Essere o non essere digitali” insomma, ha in questo caso una facile risposta.

Marco Calamari
Lo Slog (Static Blog) di Marco Calamari
L’archivio di Cassandra/ Scuola formazione e pensiero

Lampi di Cassandra / SPID2, l’opinione del NIST

Fonte: Punto Informatico del 28/07/16

di M. Calamari – Negli USA l’autenticazione a due fattori a mezzo SMS viene bocciata e sparirà presto dalla circolazione. E non è solo questione di malware

081210.wired.spy-cloud.large

SPID2 è già stato oggetto di esternazioni di Cassandra: la nostra amica sosteneva che l’attuale offerta di SPID, limitata alla SPID2 con SMS, era insicura e controproducente ai fini della sicurezza, particolarmente per la possibilità di infezioni dello smartphone da parte di malware avanzati.

Agenda Digitale, quotidiano telematico di informazione, pubblicava un articolo nel quale, in buona sostanza, si sosteneva che se un device è infetto, e un attacco Man-in-the-browser o Man-in-the-middle è in corso, non c’è doppio fattore che tenga.

Anche se è senz’altro vero che non avere malware sul proprio smartphone sia cosa buona e giusta, nel contesto SPID si tratta di un’affermazione semplicistica, fuorviante e tecnicamente sbagliata, perché non tratta il nocciolo del problema.

In queste ore, il NIST (National Institute of Standards and Technology), ente statunitense che cura le standardizzazioni tecnologiche e che non è proprio l’ultimo arrivato nel settore, ha pubblicato il final draft del documento “Digital Authentication Guideline – Authentication and Lifecycle Management”. La parte B del documento (Cassandra si scusa della pedanteria) pianta gli ultimi chiodi sulla bara della autenticazione a due fattori con SMS (2FA-SMS). Un sintetico riassunto della questione si trova su Slashdot.

Ma citiamo direttamente la raccomandazione contenuta in questa imminente normativa. Il NIST raccomanda che le applicazioni utilizzino token fisici e crittografici. Il documento prevede, quasi a “malincuore”, che essi possano attualmente assumere anche la forma di app per cellulari, quindi di dispositivi che possono essere rubati o “temporaneamente presi in prestito”.

NIST sottolinea poi il fatto che la 2FA-SMS ha un altro punto debole che ha eroso la sua affidabilità, quello dei servizi VoIP: “Se la verifica fuori banda deve essere effettuata tramite un messaggio SMS su una rete pubblica di telefonia mobile, il gestore del processo deve assolutamente controllare che il numero di telefono pre-registrato in uso sia veramente associato con una rete mobile e non con un VoIP (o altro sistema telefonico basato su software)”. Aggiunge inoltre che “la modifica del numero di telefono pre-registrato non deve essere possibile senza una vera autenticazione a due fattori, da utilizzare al momento del cambio numero. Il cambio del numero tramite SMS è deprecato, e non sarà più consentito nelle versioni future di questa guida.”

In buona sostanza, oltre ai problemi legati ai malware avanzati che possono infettare uno smartphone (e certamente lo faranno) rendendo l’autenticazione a due fattori via SMS insicura, NIST individua altri due vettori di attacco: le reti VoIP e le problematiche legate al cambio del numero telefonico su cui ricevere l’SMS, che impediscono di usare la 2FA-SMS come metodo di autenticazione sicuro.

Ricordiamo la definizione di base della 2FA: “Qualcosa che sai, più qualcosa che hai”.
Gli smartphone e le reti GSM non sono sotto il controllo dell’utente ma di terzi, legittimamente o illegittimamente, quindi non rappresentano un “qualcosa che hai”. E questa è un’ulteriore conferma che la SPID2, realizzata con SMS e non con token hardware, non dovrebbe proprio esistere.

Ma in Italia ci vorrebbe una catastrofe affinché la convenienza della 2FA-SMS, scelta per facilitare il “decollo” del PIN di Renzi della SPID, venisse messa in discussione.

Marco Calamari
Lo Slog (Static Blog) di Marco Calamari
L’archivio di Cassandra/ Scuola formazione e pensiero

Lampi di Cassandra/ Lo SPID è nato morto?

Fonte: Punto Informatico del 21/03/16

di M. Calamari – I sistemi di autenticazione a due fattori gestiti tramite SMS soffrono di problemi strutturali, suggerisce una ricerca dell’Università di Amsterdam. SPID-2 si basa proprio su questo meccanismo

081210.wired.spy-cloud.large

Probabilmente persino alcuni dei 24 informatissimi lettori non conoscono SPID, acronimo di “Sistema Pubblico di Identità Digitale”, che si autodefinisce “La soluzione per accedere a tutti i servizi online della pubblica amministrazione e dei privati con un’unica Identità Digitale”. Perciò, prima di passare a fosche profezie, Cassandra è obbligata a fornire qualche informazione, peraltro facilissimamente reperibile in Rete. Dunque, SPID, noto anche a chi ha memoria lunga come “Il PIN di Renzi”, è un sistema pubblico di creazione e distribuzione di identità digitali, controllato dallo Stato Italiano e realizzato da fornitori privati da esso certificati ed iscritti un un apposito Albo.
Viene infatti gestito esattamente come è stato fatto per la Posta Elettronica Certificata con la quale, per fortuna, si sono creati sia un utile strumento per il cittadino che un onesto business per alcune aziende di servizi informatici.

I problemi che attualmente affliggono lo SPID sono di due tipi: commerciali e tecnici.
Quello commerciale, dovuto al solito bando confezionato ad arte (“solo aziende con almeno 5 milioni di euro di fatturato”) pare sia stato risolto di recente.

I problemi tecnici sono appena cominciati, ma preoccupano già molto: vediamo un attimo perché.
Chi ha bisogno di una identità digitale la compra da un fornitore a scelta: attualmente ce ne sono tre.
I fornitori, dotati di adeguata struttura amministrativa e tecnica certificata, effettuano il riconoscimento della persona, ne verificano l’identità e rilasciano le credenziali richieste. Con queste credenziali l’utente si potrà (prossimamente) autenticare a tutti i siti e servizi delle pubbliche amministrazioni, ed a tutti i siti e servizi commerciali che la vorranno adottare.
E per i primi due anni le credenziali sono anche gratuite.
“Tutti” e “Gratis”. Bello eh?
Si, ma anche no, e vediamo perché.

Esistono tre tipi di credenziali: SPID-1, SPID-2 e SPID-3.

SPID-1 è un nome utente fisso con una password modificabile dall’utente: buono per autenticarsi su un social o una mail list, ma certo non buono per una dichiarazione dei redditi, un pagamento, un voto o la presentazione di un bilancio. Secondo Cassandra non avrebbe nemmeno dovuto esistere perché implementa una cultura dell’insicurezza.

SPID-3: autenticazione con token digitale. Per ora nessuno la fornisce, quindi è difficile darne un giudizio, se non che è la triplicazione di altri due servizi che potrebbero essere usati con la stessa efficacia, cioè dispositivo di firma digitale e carta nazionale dei servizi (di solito coincide con la tessera sanitaria). Essendo non una duplicazione ma una triplicazione anche SPID-3 non dovrebbe esistere.

SPID-2 è una autenticazione a due fattori, nome utente e password, congiuntamente alle generazione di un codice temporaneo che viene inviato via SMS o con app mobile dedicata. Già diffuso ed usato soprattutto dalle banche, è realizzabile anche in una diversa, più sicura e più costosa versione, in cui il codice temporaneo viene generato ogni minuto da un piccolo token con display LCD che si tiene in casa o nel portachiavi.
SPID-2 non prevede tuttavia l’uso di un token fisico, ma solo della versione SMS. E qui vengono i dolori.

È infatti stata pubblicata un’interessantissima ricerca dell’Università di Amsterdam dal titolo “How Anywhere Computing Just Killed Your Phone-Based Two-Factor Authentication”, cioè “Come l’integrazione di smartphone e pc ha appena ucciso l’autenticazione a due fattori via SMS”. Si parla appunto delle ben note sincronizzazioni nei vari cloud e tra i vari sistemi operativi dei nostri gadget tecnologici, tanto comode ma anche tanto rischiose, e non solo per la privacy.

Le 17 lucide pagine descrivono dettagliatamente l’implementazione di attacchi mirati per violare i sistemi con codice temporaneo via SMS, sia in ambiente Android che iOS, con una prosa precisa ed implacabile, concludendo che mantenere ragionevolmente sicura l’autenticazione a due fattori via SMS sarà una sfida difficile e costosa.
Per chi non troverà il tempo di leggere il paper (e farà male) è importante sottolineare che il problema segnalato non riguarda il semplice exploit di un paio di bachi, che poi saranno corretti in modo da risolvere il problema stesso. Il problema delineato è più sistemico e più profondo, quindi anche più grave e difficilmente correggibile, visto che contrasta con l’usabilità di prodotti. È il problema di permettere a più device di sincronizzarsi automaticamente ed in vario modo tra di loro e col cloud. Meccanismi di questo tipo, che si moltiplicano continuamente perché sempre più necessari, sono violabili anche senza veri e propri bachi software, perché dovendo far parlare device diversi tra loro senza disturbare troppo l’utente (e quindi avere prodotti più “belli”) saranno sempre intrinsecamente deboli perché, per spinte commerciali, devono essere prima di tutto flessibili e facili da usare.

Così la sicurezza, da sempre Cenerentola dell’elettronica di consumo, sarà considerata ancora meno, quando invece il paper, nelle sue conclusioni, sottolinea che i problemi intrinseci di sicurezza diverranno sempre più gravi fino al limite dell’ingestibilità.

Leggetevelo, anche perché all’Agenzia per l’Italia Digitale non hanno probabilmente avuto il tempo per farlo.

Se SPID-2 fosse invece un’autenticazione a due fattori con token hardware, anche se suscettibile di attacchi tipo Man-in-the-Browser (MitB), sarebbe comunque di gran lunga più difficile da violare e soprattutto da violare su larga scala.

E quindi?
Quindi anche se SPID-2 non è nato proprio morto, è purtroppo un neonato a gravissimo rischio.
Cassandra la ritiene una soluzione decisamente sconsigliabile, come le sue due sorelle.

Nulla rimane da dire quindi sullo SPID come iniziativa digitale italiana.

Il problema più vasto di avere una identità digitale univoca merita invece qualche altra considerazione.
La violazione delle vostre (ipotetiche) credenziali SPID implica pericoli molto più gravi del semplice svuotamento del vostro conto corrente.
Le credenziali sono “voi”, dovunque. Devono essere sicure ed utilizzate con attenzione.
Essendo uniche potrebbero essere usate per impersonarvi e realizzare azioni su innumerevoli siti e servizi di cui voi nemmeno conoscete l’esistenza.

Ecco perché, secondo Cassandra, per SPID vale quanto detto a suo tempo per la CEC-PAC ed altre storie dell’orrore digitale italiane.
Neanche gratis.

Marco Calamari
Lo Slog (Static Blog) di Marco Calamari
L’archivio di Cassandra/ Scuola formazione e pensiero

Cassandra Crossing / L’informatica secondo Marchionne

Da: Punto Informatico del 31/07/15

Scalectrix

di M. Calamari – Nel 2004, l’auto dotata di porta USB era la frontiera tecnologica per FIAT, che meditava di impiegarla come supporto all’intrattenimento. Ora serve per distribuire patch

I profeti sono costretti ad avere la memoria lunga, e se i neuroni superstiti di Cassandra funzionano bene si ricordano che non tanti anni or sono le capitò di ascoltare una dichiarazione del fresco AD dell’allora esistente Fiat Auto. L’annuncio, fatto in un telegiornale nazionale, comunicava che la Nuova Punto, entro un anno, avrebbe avuto a bordo il connettore USB (presumibilmente per uso musicale).
Il bookmark mentale rimasto da allora tra i neuroni di Cassandra era dovuto al fatto che la competenza informatica dell’AD e/o del suo staff gli faceva annunciare come radioso futuro dell’industria automobilistica italiana una semplice feature già presente nella concorrenza orientale.
Ma dal 2004 anni ed anni sono passati, ed ora è interessante reinterpretare l’annuncio, ridefinendolo totalmente come il primo modello informaticamente insicuro di Punto.

L’USB nell’auto, qualsiasi auto, è stato l’inizio della fine, il cavallo di Troia (io lo conosco bene), il punto debole dell’industria dell’auto di oggi. Connettere un’auto a qualcos’altro per via informatica senza una accurata pianificazione e del software di qualità è un rischio enorme, Connetterlo direttamente alla Rete, pura follia (Tesla Motors, are you online?)

Dopo 13 anni infatti ci ritroviamo con auto prodotte dallo stesso gruppo (Fiat si è dissolta nel frattempo, ma questa è un’altra storia), diretto dallo stesso AD (per carità, non certo responsabilità sua, semmai di alcune prime e seconde sue linee di comando) con decine di milioni di linee di software installato, e tutti i componenti principali dotati di “intelligenza” propria e/o manovrati da attuatori controllati via software.
O magari qualcuno dei 24 imperturbabili lettori è ancora convinto che nella auto moderne l’acceleratore sia attaccato al carburatore, e che il pedale del freno sia attaccato ai freni?

In questa situazione, mentre il mondo dell’Information Tecnology è continuamente squassato da terremoti dovuti ai continui exploit di difetti del software, non solo l’AD di cui si parla ma l’intera industria dell’auto è convinta di poter liberamente e giocosamente connettere alla Rete veicoli controllati da software sviluppato con vecchio paradigma SCADA dell’Air Gapped, senza doversi minimamente preoccupare? Caspiteronzola!

Ma in effetti hanno ragione, non sono loro a doversi preoccupare: sono i possessori delle loro autovetture.

I fortunati acquirenti delle nuove Jeep possono essere grati a Charlie Miller e Chris Valasek che, con la passione di veri hacker, hanno scovato punti deboli del software di alcuni modelli Jeep Chrysler, e poi hanno reso pubblico l’exploit, convincendo genialmente un giornalista di Wired a fare da cavia.
A quest’ultimo, tanto di cappello per la fiducia ed il coraggio dimostrato, visto che ha accettato di perdere il controllo del suo autoveicolo mentre guidava su una superstrada.

Ovviamente Chrysler ha dapprima risposto in modo vago e strisciante, informando sul suo sito alcuni acquirenti della necessità di applicare per ragioni non specificate una patch al software del proprio autoveicolo, ma si è poi dovuta rassegnare ad annunciare uno dei più grandi recall della storia dell’automobile, 1,4 milioni di auto.

Per fortuna degli azionisti Chrysler-Fiat il richiamo sarà probabilmente abbastanza economico rispetto ad altri del passato, perché fatto “virtualmente”, spedendo a casa una chiavetta USB da infilare, ovviamente, nel connettore USB del cruscotto.
Tutto questo con la massima fiducia che sia quello mandato dal fabbricante, e non da qualcun altro.

Meditate gente, meditate.

Marco Calamari
Lo Slog (Static Blog) di Marco Calamari
L’archivio di Cassandra/ Scuola formazione e pensiero

Smart TV, cimici in salotto?

Fonte: Punto informatico del 9/2/14 – articolo di Gaia Bottà

samsung_1984

I televisori Samsung ascoltano le conversazioni che si intessono presso il focolare domestico e le trasmettono a terze parti perché vengano analizzate e trasformate in comandi. La privacy non è a rischio, assicura l’azienda

L’informativa relativa alla privacy lo illustra a chiare lettere: le Smart TV Samsung dotate di sistemi di riconoscimento vocale ascoltano tutto ciò che percepiscono, e lo trasmettono a terze parti affinché il parlato venga tramutato in comandi impartiti al dispositivo. Il televisore non fa eccezione per le conversazioni private, le informazioni sensibili e i dati personali.

L’indignazione per un fenomeno già ampiamente diffuso è tornata a montare su Reddit, con la segnalazione di uno stralcio della policy relativa alla privacy dedicata alle Smart TV di Samsung, che recita: “Attenzione: se le parole che pronunciate includono informazioni personali o sensibili, siate consapevoli del fatto che queste informazioni saranno fra i dati raccolti e trasmessi a terze parti attraverso il nostro sistema di riconoscimento vocale”.

L’avvertenza di Samsung, in cui in molti riconoscono un sentore spiccatamente orwelliano, non è che un trasparente esempio dei risvolti delle sempre più diffuse tecnologie di cui sono dotate le Smart TV: dal monitoraggio delle abitudini dei telespettatori alle interfacce di controllo, i sistemi votati all’intrattenimento domestico raccolgono informazioni e le trasmettono affinché possano essere elaborate e trasformate in funzioni al servizio del consumatore. A differenza di un ordinario sistema informatico, fucina di dati e veicolo di numerosissime attività tracciabili, il televisore troneggia nel focolare domestico, dove anche i fruitori più consapevoli rischiano di chiudere un occhio sulla tutela della propria riservatezza.

Più che gridare allo scandalo per un dispositivo dedicato allo spionaggio e al controllo delle platee, gli osservatori sottolineano ora la mancanza di trasparenza da parte di Samsung: “se io fossi l’utente – chiosa Corynne McSherry di Electronic Frontier Foundation – vorrei probabilmente sapere chi si occupa di gestire il servizio e vorrei decisamente sapere se le mie parole sono state trasmesse in forma sicura”. Se è inevitabile che i sistemi di controllo vocale “ascoltino” le parole dei propri utenti, di determinante importanza sono le modalità con cui questi sistemi trasmettono e gestiscono queste informazioni: negli anni scorsi era stata LG ad essere colta in fallo con anomali trasferimenti di dati non cifrati relativi alle abitudini dei consumatori.

Samsung è intervenuta con prontezza per rassicurare gli utenti: “Per tutte le nostre Smart TV adottiamo standard e pratiche di sicurezza, fra cui la cifratura dei dati, per garantire la tutela delle informazioni personali dei consumatori e per prevenire la raccolta e gli usi non autorizzati di questi dati”.
Per gli utenti che diffidassero, Samsung ricorda: “la funzione di riconoscimento vocale può essere attivata o disattivata” e “il proprietario può scegliere di disconnettere il televisore dalla Rete WiFi”.

.

 

E già che ci siete, andate a dare un’occhiata qui e riflettete su quanto scriveva quella Cassandra di Marco Calamari più di due anni fa.

Toh, guarda caso, anche il vostro computer ha un microfono. Siete avvertiti…

.

.

Smart card vs carte magnetiche

Perchè le smart card sono più sicure delle carte magnetiche?

Oggigiorno, le carte con banda magnetica sono considerate datate e superate (in effetti sono in circolazione dagli anni ’60) e la loro progressiva sostituzione con le smart card, più moderne, sicure e performanti, è già in atto.

Immagine dal sito http://www.artbusiness.com

Immagine dal sito http://www.artbusiness.com

Di che cosa si tratta?
Le smart card o carte con chip sono normali carte plastificate, non diverse esteticamente dalle vecchie carte magnetiche, che contengono al loro interno un processore (il microchip appunto), capace di elaborare e memorizzare una serie infinita di dati che successivamente è possibile leggere tramite un apposito lettore o terminale.

Soprattutto quando si parla di pagamenti, le attuali smart card, rispetto alle tradizionali card magnetiche che le hanno precedute, rappresentano uno strumento molto più sicuro perché più difficile da contraffare e appositamente sviluppato per prevenire transazioni di denaro fraudolente che, invece, possono avere luogo quando la carte vengono inserite in un terminale.

In particolare, nel caso delle vecchie schede magnetiche, quando queste vengono passate in un lettore per effettuare un pagamento, il lettore legge la banda magnetica e tutte le informazioni in essa contenute che vengono passate alla banca: in questo caso, i dati sono statici, cioè la banda magnetica trasmette al lettore sempre le medesime informazioni, permettendo ai malintenzionati di entrare in possesso di quelle informazioni riservate, trasferendole a una nuova carta.

Al contrario, i dati in una smart card variano di continuo perché, a ogni transazione, vengono creati dei dati specifici, legati a quell’operazione. Per la transazione successiva saranno generati nuovi dati. Si parla, in questo caso, di autenticazione dinamica, una modalità che rende molto complicato isolare ed estrarre le informazioni sensibili. Inoltre, gli strumenti necessari per farlo sono altamente tecnologici e quindi hanno un costo così elevato da scoraggiare eventuali frodatori e criminali.
Non finisce qui.

Le carte con chip utilizzano sofisticati sistemi di criptaggio integrati all’interno dello stesso microprocessore e, per dialogare con il terminale per il pagamento, si servono di linguaggi segreti codificati che risultano estremamente difficili da interpretare.

È evidente che nei prossimi anni il passaggio alla carte con tecnologia RFID (l’identificazione a radio frequenza senza fili) andrà progressivamente a sostituire le consuete carte a banda magnetica non solo per quanto riguarda i pagamenti, ma anche in molti altri ambiti e settori del mercato: dalla bigliettazione elettronica (è di questi giorni la notizia che a Londra si sta promuovendo proprio l’uso di carte di credito contactless per accedere al trasporto pubblico) alla gestione degli accessi o delle presenze, dalla identificazione di persone, prodotti e/o animali alla logistica nei magazzini.

Il futuro, in altre parole, è contactless!

Contrappunti / Italia, paese di luddisti

Fonte: Punto Informatico

CivitanovaMarchedi M. Mantellini – Il principio di precauzione consiglia di staccare la spina a un hotspot marchigiano in una scuola. Ma sottende una strisciante cultura antiscientifica, cavalcata per meri interessi elettorali

C’è una foto nella rassegna stampa di questi giorni. Quella dell’assessore di un comune marchigiano che in cima ad una scala smonta l’hotspot WiFi di una scuola. È una foto molto attuale. Tutta la piccola storia provinciale che sta dietro quella foto lo è, una storia molto italiana che è presto detta: i genitori degli alunni di una scuola elementare di Civitanova, preoccupati per il possibili effetti sulla salute delle onde radio della connessione WiFi chiedono ed ottengono che il sistema venga smantellato.

Se vi attira il pensiero laterale come prima cosa ci si dovrebbe chiedere come mai in cima alla scale c’è l’assessore e non un bidello. Ovvio che la risposta è scontata: l’assessore è il timbro. La vidimazione dell’amministrazione al volere popolare. E già questo è un dato interessante.

Tornando ai fatti l’unica possibilità che abbiamo per valutare la scelta della scuola che spegne il wireless è quella di affidarci al principio di precauzione, un principio di cui questo Paese è stracolmo.

Il principio di precauzione protegge i nostri figli: lo fa nella maniera più ampia fra quelle possibili perché, come è evidente, i giovani sono il nostro bene più prezioso e come tali vanno considerati. Seguendo simili cautele nessuno dei ragazzi della scuola in questione dovrà in futuro avvicinarsi ad un telefono cellulare (che emette onde radio in maniera assai più consistente di un hotspot WiFi) né, per estrema sicurezza, utilizzerà un forno a microonde o affronterà voli intercontinentali durante i quali sarà inevitabilmente sottoposto al bombardamento della radiazione cosmica. Non si sottoporrà ad una Risonanza Magnetica visto che gli effetti dei campi magnetici nel lungo periodo non sono stati ancora del tutto studiati (e i campi magnetici come tali, esattamente come le onde radio usate nelle telecomunicazioni, creano danni accertati sulle strutture biologiche). Per estrema precauzione infine i giovani ragazzi marchigiani saranno dai loro genitori opportunamente tenuti lontani anche dalle antenne televisive e dalle radio FM che generano inquinamento elettromagnetico molto modesto ma comunque superiore a quello di un router wireless e cosi via.

Se l’OMS o l’Istituto Superiore di Sanità dicono che il WiFi ragionevolmente non fa male, il principio di precauzione semplicemente ci suggerisce di non crederci, evoca l’anemia anaplastica di Marie Curie e fa sollevare il sopracciglio dei genitori e dell’assessore. I quali magari avranno letto qualche articolo su Internet (ce ne sono migliaia) in cui uno studioso russo o cambogiano avverte della indubbia pericolosità del wireless. Quell’articolo e quel professore reietto alla comunità scientifica internazionale li aveva convinti, anche se su Internet è possibile trovare autorevoli sostenitori di qualsiasi tesi su qualsiasi argomento che sono lì in attesa di incontrare qualcuno sufficientemente attrezzato per crederci.

Del resto, cosa ne sappiamo noi di come si comportano i professori dell’OMS con il WiFi dei loro figli? Chissà se li hanno i figli. E chissà se li amano come li amiamo noi.

Il discredito generale e la dietrologia complottista che la società italiana riserva oggi ad ogni forma di casta non risparmia la ricerca scientifica ed ha sicuramente un ruolo in simili decisioni e come tale è una delle recenti chiavi di lettura di simili scelte, anche se non l’unica. Poiché esiste una morale per ogni cosa ed è abbastanza scontato che nessuno dei genitori di quella scuola spegnerà le TV, i cancelli automatici ed i cellulari in nome del diritto alla salute dei loro discendenti, è evidente che i danni italiani causati dal sistema di precauzione (che ha una sua versione complementare ed opposta in scelte di campo come quelle del recente caso Stamina) valgono a giorni alterni, a scuole alterne e ad assessori alterni e si disinteressano del contesto generale mondiale.

Così la gravità di quella foto non è tanto nel racconto di un paese arretrato e guardingo, nel quale le scelte sull’interesse della comunità possono uscire travolte dai se e dai ma di chiunque ma nella vidimazione di un simile metodo da parte degli amministratori. Che sia per incapacità o per compiacenza se il macellaio, il geometra e il giornalaio dicono che forse il WiFi fa male ai loro figli e che desiderano che sia tolto dalla scuola, sempre più spesso in questo Paese ci sarà un assessore che acconsentirà e che troverà utile, magari semplicemente per ragioni sue, salire in cima alla scaletta col cacciavite in mano fra i genitori plaudenti. A noi non la si fa, sembra dirci quella foto. Invece, per somma ironia della sorte, è vero l’esatto contrario.

P.S.: ovviamente il Comune di Civitanova Marche offre ai cittadini una rete wireless gratuita in alcune aree della città.

Massimo Mantellini
Manteblog

Cassandra Crossing / Zombie Computing

Fonte: Punto Informatico

pc_z

di M. Calamari – Cosa si nasconde nel BIOS di numerosissimi computer? Perché certe funzioni sono presenti su tutte le macchine ad eccezione di quelle destinate ai militari? Il Trusted Computing non è affatto morto

C’era una volta il Grande Fratello tecnologico: faceva tanta paura a tutti e si chiamava Palladium, poi Trusted Computing, poi TC, poi…
Poi, proprio come la “Total Information Awareness” di Bush, apparentemente è sparito. Nessuna delle due iniziative in realtà è sparita: la TIA è diventata quello che il Datagate ha svelato, il TC è stato implementato ma viene usato poco: in compenso ha prodotto “figli” nuovi ed interessanti, più semplici e più pericolosi.
Nemmeno Cassandra ha più parlato di Trusted Computing, ed il motivo è semplice: per quanto detto sopra non è più un grosso pericolo. Non è che il Trusted Computing sia diminuito di importanza, ma piuttosto che alcuni suoi figli spirituali sono diventati molto più pericolosi del loro “babbo”, e contemporaneamente la maggior parte del Popolo della Rete ha cominciato a comportarsi in maniera totalmente idiota come Pinocchio nel Paese dei Balocchi, dedicando ore ed ore al giorno a far del male a sé ed agli altri via comunità sociali.
Questi signori inoltre spendono molti soldi per comprarsi device permanentemente connessi alla Rete, che finiscono in ogni tasca ed in ogni casa (una volta si chiamavano oggetti con canale di ritorno connessi a formare l’Internet degli Oggetti).
Ma la storia che Cassandra oggi vi vuole parlare è perversa, semplice, economica, e giace appena appena nascosta sotto il pelo della Rete.
Per raccontarla purtroppo, Cassandra necessita di una lunga (ma comunque utile) lezioncina tecnica.
I computer sono da sempre dotati (beh, diciamo negli ultimi 30 anni sicuramente, l’ENIAC o lo Z4 non l’avevano) di un software (o meglio, di un firmware) chiamato BIOS, che si preoccupa di diverse cose che avvengono appena si accende il computer, tipo fare la diagnostica della scheda, permettere alcune regolazioni all’utente, e caricare ed eseguire il boot block per eseguire il boot del sistema operativo.
20 anni fa i BIOS del pc erano semplici, stavano in 256 Kb, ora ci sono delle schede madri (e dei laptop) che hanno chip da 4 GB. Cosa c’è in questo spazio?
Sicuramente BIOS più complessi e performanti, che permettono di aggiornare il BIOS stesso senza dover cambiare fisicamente il chip. Esiste addirittura una motherboard di una famosa azienda che contiene nel BIOS una versione ridotta di una nota distribuzione GNU/Linux, permettendo all’utente di collegarsi ad internet con un browser anche con disco collassato e senza usare alcun cd o chiavetta USB.
Ma, come si dice, “il demonio sta nei dettagli”, e nella nostra storia il nodo viene al pettine per quel fatto di poter aggiornare il BIOS.
Cosa succede se va via la corrente mentre si effettua l’aggiornamento? Beh, una volta bisognava reinviare la scheda od il laptop in fabbrica.
Poi le azienda hanno creato nel chip del BIOS una zona che l’utente non può riscrivere, la quale contiene il programma per effettuare l’aggiornamento del BIOS. In questo modo un aggiornamento fallito non distrugge il programma stesso e si può ritentare. Buona idea!
Peccato che la si possa estendere inserendo in questa zona del BIOS a sola lettura qualsiasi software il costruttore desideri, che l’utente è costretto a tenersi, e che non necessariamente è una sana distribuzione GNU/Linux, ma in linea di principio qualsiasi software: anche qualche malware, virus o trojan.
Cassandra chiede scusa di questa lunga digressione, ma siamo arrivati al punto.
Esistono ormai da anni software dedicati esclusivamente al recupero di computer e smartphone rubati che, valendosi delle gagliarde capacità della moderna ferraglia, gridano appena il ladro si connette e ce lo segnalano con tanto di coordinate GPS o foto scattate con la telecamera. Storie vere, funzionalità in effetti potenzialmente utili, specie quando si è distratti o non si utilizza un buon cavo d’acciaio.
Ma una nota azienda che produce software di sicurezza da tempo pubblicizza un prodotto che, oltre ad agire come rintraccia-ladri, ha l’interessante proprietà di non poter essere disinstallato nemmeno formattando il disco od addirittura sostituendolo.
Viene appunto scritto nella zona a sola lettura del BIOS con la complicità in accordo con un sorprendente numero di costruttori di pc.
Ora andrebbe ancora tutto bene, ognuno sul computer che fabbrica ci mette quello che gli pare, tanto l’utonto utente medio può già farsi tutti i danni che ritiene in tanti altri modi, perché normalmente non si interessa a cosa c’è già dentro al computer, al sistema operativo ed alle applicazioni che acquista.
Cassandra è invece sanamente paranoica, e per questo si è informata sulle modalità di funzionamento dell’oggetto di cui sopra, scoprendo cose decisamente preoccupanti.
Nel caso di cui parliamo, la suddetta azienda di sicurezza ha appunto inserito nel BIOS il suo software di tracciamento del computer, che si trova in una modalità disattiva per default. Sta lì perché la suddetta azienda ha stretto accordi commerciali con un numero impressionante di costruttori, e la lista dei laptop attualmente in vendita, contagiati dotati di questo software è impressionantemente lunga.
Quello di Cassandra per fortuna no!
Cosa avviene in pratica?
Chi vuole attivare questa feature di tracciamento del laptop, compra (e paga) un client software che attiva la parte esistente (e non modificabile) nel BIOS.
Da questo momento essa prende il controllo del sistema, ed è in grado di reinstallare il client stesso anche se viene reso inattivo o cancellato, se il disco viene formattato o addirittura sostituito.
Non è chiaro se questo avvenga perché il client è contenuto nel firmware stesso o perché il firmware riesca addirittura a connettersi ad Internet e scaricarlo dal sito del produttore. Ambedue le ipotesi fanno paura, e vediamo perché.
In questa situazione il PC è zombificato, perché le utili funzioni di tracciamento antiladro non possono essere disattivate dal ladro, ma nemmeno dall’utente.
Eventuali funzioni nascoste del software, ovviamente rigorosamente proprietario, possono in linea di principio fare qualsiasi cosa e sono altrettanto inamovibili.
L’azienda di sicurezza fornisce ovviamente il servizio di disattivazione del software, che riporta il pc nella situazione in cui si trovava al momento dell’acquisto, cioè di firmware “dormiente”. Anche i vampiri di giorno dormono…
Fin qui, si fa per dire, ancora tutto bene.
Ora poniamo alcune considerazioni, anzi domande la cui risposta è lasciata al lettore.
Perché questa iniziativa poco nota al pubblico, guardando la lunghezza della lista dei laptop supportati, ha avuto così tanto successo presso i costruttori?
Chi garantisce che il client fornito faccia solo quello che viene dichiarato nella scheda tecnica?
Chi garantisce che questo firmware non possa essere attivato automaticamente da software malevoli, siti web compromessi, terze parti o tecnocontrollori vari all’insaputa dell’utente, potendo in questo caso ovviamente svolgere anche funzioni ben diverse dal tracciamento antiladro?
E, “dulcis in fundo” (“in fundo” alla lista dei device supportati) perché c’è scritto “All models are supported except XXXXXX Military version“. Forse che i militari sono più furbi e non vogliono zombie in mano ai loro soldati? Caro Giulio, non sarà che la tua vecchia massima sul diffidare è più che mai applicabile in questa situazione?
Rimane solo da decidere come chiamare questo tipo di hardware/firmware.
Trovato! il Trusted Computing ha anche utilizzi positivi, questo merita senz’altro il nome di “Untrusted Computing“.

Stateve accuorti.

Marco Calamari

Lo Slog (Static Blog) di Marco Calamari

Cassandra Crossing/ Scuola formazione e pensiero

Internet cost to cost

sorpresaC’è fra voi chi fa acquisti su internet? E se sì, ha mai avuto delle sorprese?
Per quanto mi riguarda la mia risposta è “sì”, a tutte e due le domande.
Su internet ho comprato un po’ di tutto: macchine fotografiche, libri, ciabatte, stampanti e relative cartucce, aspirapolvere, fili, ricambi, software, accendigas, accumulatori, stoffe, camcoder, tutori medicali, ecc.
Si badi bene che il prezzo conveniente non è sempre la motivazione che mi porta a preferire internet al punto vendita tradizionale (anche se nel caso di un centro commerciale dubito che si possa ancora parlare di tradizione), bensì è la disponibilità in rete di oggetti che difficilmente troverei in loco. Capita infatti che una veloce escursione su ebay (tanto per fare dei nomi) mi eviti estenuanti e spesso infruttuose ricerche in negozi che tutto sembrano avere tranne quell’unico oggetto che mi serve.
Pare talvolta che io provenga da un universo parallelo nel quale esistono costanti fisiche diverse e una chimica aliena, fattori che hanno portato a un’evoluzione diversa del mio pianeta e conseguentemente alla nascita di oggetti mai concepiti sulla Terra.
Le risposte alle mie richieste variano da “dovrei ordinarlo” a “mai visto, non esiste”. Allora torno a casa, accendo il computer, e su internet vedo cose che voi umani… eccetera.
Finora di sorprese non ne ho mai avute, ma siccome c’è una prima volta per tutto, ora anche a me capita di riportare un’esperienza, diciamo, inconsueta.
L’oggetto del desiderio era stavolta del velcro, per la precisione velcro largo cinque centimetri di colore sabbia. A detta di tutti i negozi che ho visitato in città, pare che in questo quadrante dell’universo venga prodotto solamente del velcro largo due centimetri e mezzo, nei seguenti colori: bianco, nero o beige. Un tale chiamato Isaac Asimov ha ipotizzato che in un lontano futuro, oltre all’esplorazione di altre galassie, lo sviluppo della robotica e i viaggi nel tempo, potrà apparire del velcro diverso da quello attuale.
Ok, messaggio ricevuto, passiamo alla solita procedura.
Torno a casa, accendo il computer, vado su ebay, e tempo un quarto d’ora trovo, ordino, e pago (velcro e trasporto), nove metri di velcro da cinque centimetri color sabbia, East Sussex la provenienza, sette giorni il tempo di consegna previsto.
Sembrava tutto banalmente normale.
Sembrava.
Fino a ieri.
Accedo alla mia casella di posta elettronica e, tra un’offerta perfettamente dimenticabile di un soggiorno a Milano, la proposta di uno smartphone quasi gratis, e una trita pubblicità automobilistica, ecco un messaggio ebay dal venditore inglese del velcro.
Che mai vorrà da me?
Leggo e, mentre traduco a fatica il testo, stento a credere al contenuto del messaggio.
Lo riporto fedelmente (se non lo vedi non ci credi).
Hi There. Thank you for buying from us, I refund £12.50 as the postage you paid was too high.”
In buona sostanza, il tipo aveva calcolato sul suo sito ebay un costo di spedizione standard, costo che io avevo accettato e pagato, trovando comunque conveniente l’acquisto. Quando è andato alla posta (inglese) si è sentito chiedere molto meno di quanto aveva preventivato e, con una correttezza che finora immaginavo esistesse solamente nelle leggende metropolitane, mi ha restituito la differenza.
In mezzo a tanti solidissimi e tangibilissimi commercianti, chiamiamoli tradizionali, sempre pronti a spennare il pollo di passaggio salvo poi dichiarare redditi da clochard, questo venditore, chiamiamolo virtuale, ha dimostrato che il web non è il Far West, non è l’Inferno, non è un covo di pirati e truffatori, è un posto come un altro, un posto dove c’è chi vuol fare il furbo comprando a dieci ciò che vale cento, lamentandosi e gridando all’imbroglio quando poi (giustamente) riceve un “pacco”, un posto dove il passaparola, altrimenti noto come “feedback”, vale più di pubblicità strombazzate, di insegne rutilanti e marchi di grido, un posto dove (finalmente) la correttezza paga.
Thanks Mr Jose, see you again.

Cassandra Crossing / Software assassino

Fonte: Punto-Informatico del 08/11/13

shining1

Di M. Calamari – Il codice deputato a regolare una banale funzione di un’automobile ha delle falle. E ci scappa il morto. Ma è l’inerte consumatore il principale responsabile.

Niente di emozionante o fantascientifico, l’assassino in oggetto non è un drone armato di missili o un cannone robotizzato, sui cui Cassandra ha già edotto i suoi 24 instancabili lettori, ma un semplice software commerciale scritto da normali (o forse subnormali?) programmatori.

La cosa interessante è invece che la definizione di “assassino” non è dovuta all’opinione di Cassandra ed alle sue categorie morali, ma ad una sentenza definitiva emessa da una Corte degli Stati Uniti, brevemente riportata su Slashdot, e che è stata praticamente ignorata dai media. Succede, particolarmente quanto grandi aziende sono coinvolte.

Navigando i link inclusi nell’articolo di Slashdot qualcuno potrebbe notare che, a parte quelli ad altri articoli, i documenti ed i post sui blog non sono più disponibili. Anche questo talvolta succede, come altre cose sono successe nel corso di questa pluriennale vicenda.

Grazie alla Rete però non è difficile ritrovare la cosa più interessante, cioè la trascrizione della testimonianza del perito tecnico che descrive il “carattere” del nostro assassino.

Cassandra non è interessata al caso particolare, e per togliere ogni attesa di emozioni vi racconta il finale: tre milioni di dollari hanno chiuso la questione.

Ma il nostro protagonista? Il software “omicida”? Cosa faceva?
Beh, aveva il banale incarico di decidere quanta benzina far arrivare al motore di un’auto di marca ben nota.
La sentenza dice che ad un certo punto, per motivi dimostrati oltre ogni dubbio, ha preso una cantonata nel calcolare quell’unico numero, la macchina ha accelerato da sola a tutto gas, si è schiantata ed una donna è morta.

Di questi casi pendenti nelle corti americane ve ne sono altri, ma questo è il primo che arriva a conclusione, ed è destinato a far storia e precedente. Merita di essere studiato e seguito come Cassandra ha fatto, prima per curiosità e poi per reale interesse per anni.

“Ci ha già raccontato il finale, quindi cosa resta da dire?” penseranno alcuni dei 24.

No, anche se per cinismo, al di là dell’umana comprensione, in un mondo come questo una vita che si spegne ed un prodotto difettoso non interessano più di tanto. Ma interessa capire il perché di vicende come questa. Ed il perché deve essere ricercato nei metodi con cui sono fatti i prodotti ripieni di software invisibile, e nella qualità percepita o propagandata di questi prodotti rispetto a quella reale.

Come succede spesso nei software chiusi e proprietari, il software viene scritto in fretta, modificando software preesistenti e non documentati, già modificati molte volte; il lavoro viene svolto da programmatori in un altro continente, usualmente pagati poco e stressati molto. Poi di test se ne fanno, anche tanti, ma sempre partendo da un software di bassa qualità: in questo modo l’imprevisto spesso passa ogni filtro ed ogni test e rimane sempre in agguato fino al momento di funzionare in maniera scorretta o, come in questo caso, di uccidere.

Tante responsabilità potrebbero essere individuate, ma nel disinteresse di chi paga per i prodotti e potrebbe ben farsi sentire con la voce assordante dei propri soldi è da cercare la responsabilità maggiore.

Cari consumatori che ascoltate, se cercate il colpevole ultimo, non quello occasionale, non andate a caccia di multinazionali “cattive” che fanno solo il loro mestiere. Lo trovate facilmente in una splendida citazione: “Com’è accaduto? Di chi è la colpa? Sicuramente ci sono alcuni più responsabili di altri che dovranno rispondere di tutto ciò; ma ancora una volta, a dire la verità, se cercate il colpevole… non c’è che da guardarsi allo specchio.”

Marco Calamari
Lo Slog (Static Blog) di Marco Calamari
Cassandra Crossing/ Scuola formazione e pensiero

Contrappunti / Abbiamo bisogno di Edward Snowden

Fonte: Punto-Informatico del 09/09/13

il_nemico_ti_ascolta

di M. Mantellini – Il contributo dell’ex-NSA è stato fondamentale per svelare la reale situazione in cui versa la privacy online. Ora c’è bisogno che chi altri sa, parli. E che noi altri si faccia la nostra parte

Se credi, come io credo, che Internet abbia fatto molto per te, allora forse questo è il momento di pensare a cosa tu puoi fare per Internet. Perché al di fuori di isterismi e oggettive complessità non ci sono molti dubbi che, dopo le rivelazioni di Edward Snowden, l’intera reputazione della rete Internet, la sua capacità di essere luogo contemporaneamente pubblico e privato della nostra vita, siano state messe a dura prova, quando non del tutto scardinante.

I cinici vi racconteranno che si sapeva già da prima, citeranno una vecchia abusatissima frase del capo di una grande azienda tecnologica americana che oltre un decennio fa diceva che la privacy su Internet è pari a zero (aveva torto allora, continua ad averlo oggi, ma pazienza) mentre gli sciocchi vi racconteranno che se uno non ha nulla da nascondere non ha nemmeno nulla di cui preoccuparsi. Una certa stampa (la grande maggioranza della stampa) proverà a comporre articoli con la storia del poliziotto buono, elencherà innumerevoli casi nei quali il controllo e il data mining hanno evitato sfracelli mentre il politico imbelle, come è accaduto in molti Paesi europei, specie in Italia, di fronte alla gigantesca invasione della privacy dei propri cittadini da parte di uno stato straniero semplicemente se ne resterà in silenzio.

E invece noi? Cosa possiamo fare noi, concretamente, per contrastare il sistema di sorveglianza globale che NSA ed altri soggetti hanno negli anni messo in piedi?

Possiamo fare piccoli gesti molto importanti, postarli su Facebook o sui nostri blog, estenderli ai nostri amici, scriverli sui giornali, raccontarli negli eventi pubblici se e quando sarà possibile. Questi piccoli mattoni sono accomunati dall’essere piccole schegge di resistenza, minuscoli atti di contrapposizione ideologica e etica.

Scegliere di chi fidarsi intanto. Le piattaforme di Rete sono uscite distrutte dalla tempesta NSA ed hanno gravi oggettive responsabilità nei confronti del loro utenti. Dobbiamo immaginare con loro una nuova relazione, basata sulla terzietà della piattaforma rispetto al poliziotto, un intermediazione che si presumeva esistente e che invece nei fatti non c’era. Vedremo nei prossimi mesi se Facebook o Google, se Twitter o il nuovo prossimo servizio che tutti utilizzeremo domani, saranno in grado di schierarsi nettamente, con atti concreti, contro il controllo governativo o se invece accetteranno di esserne parte attiva. Se innalzeranno opportune barriere elettroniche all’occhio invadente del controllore oppure no. Se nulla cambierà, se i nuovi imprenditori si uniranno (come hanno fatto fino ad oggi) al vecchio gendarme, allora sarà tempo di abbandonarli per andare altrove. In questo contesto occorre ammettere che alcuni soggetti non meritano nemmeno questa tardiva ipotesi di redenzione: le aziende del software che secondo i report di Snowden sono più pesantemente compromesse con NSA, alcune delle maggiori aziende software mondiali, dovrebbero essere semplicemente rifiutate per manifesto tradimento.

Dobbiamo condividere informazioni. Bruce Schneiner che in questi mesi si è distinto per essere la mente più lucida nell’analisi politica del disastro mondiale della privacy – lui che è invece un tecnologo a tutto tondo – dice da settimane una cosa molto semplice: abbiamo bisogno di nuovi Edward Snowden. Chi sa parli, chi ha visto cose le racconti, chi ha documenti li renda pubblici. La maggior paranoia di NSA e di Barack Obama (il Presidente USA che a margine della vicenda NSA meriterebbe un biasimo tanto ampio quanto circostanziato) delle ultime settimane è stata capire quante e quali informazioni Snowden abbia portato fuori dal sancta sanctorum degli spioni planetari. Per tentare di arginare questo l’intelligence USA ha accettato di compromettere ulteriormente la propria già modestissima reputazione bloccando spazi aerei, fermando giornalisti dentro aeroporti, martellando computer e sequestrandone altri a cittadini che certo era difficile immaginare come pericolosi terroristi. Ma se la battaglia per la privacy in Rete è oggi una battaglia difficile anche quella del controllo sulla diffusione dei documenti si dimostra esserlo altrettanto e questa certamente è una buona notizia.

Educare alla riservatezza. La cultura della sicurezza ha bisogno di nuove semplificazioni nelle piattaforme. I sistemi di cifratura, che a differenza di quanto sostiene una certa vulgata giornalistica non sono stati craccati da NSA ma, nella maggioranza dei casi, semplicemente aggirati, hanno bisogno di essere implementati dentro la macchina. Tor o SSL sono comunque utili (o oggi ormai quasi necessari) ma non possono rimanere nelle competenze e negli utilizzi dei soli esperti. Se il gendarme ha grandi microfoni per ascoltare le nostre voci noi dovremo iniziare a parlare sottovoce o accendere la radio o utilizzare frasi in codice, come in certi vecchi film sulla DDR degli anni ’60.

Pratiche di massa contro l’osservazione di massa. Perturbazioni software, forma di resistenza elettronica a patto che siano disponibili per tutti. Ma educare alla riservatezza non è soltanto l’abilità nell’utilizzo di uno strumento, è anche e soprattutto un processo culturale: TOR è il risultato, ma il pensiero che lo sorregge è perfino più importante. Ognuno di noi ha il diritto di non essere spiato.

Intorno a questa idea dovrà crescere la Internet dei prossimi anni: se lo sapremo fare, se saremo in grado di raccontarla bene, se non ci adatteremo ad essere i cari cari polli di allevamento, allora Internet continuerà ad avere un senso come lo hanno le piazze delle nostre città. Se tutto questo non sarà possibile allora avremo semplicemente perso tutti e non solo Barack Obama.

Massimo Mantellini
Manteblog

Tutti gli editoriali di M.M. sono disponibili a questo indirizzo

Un primo passo

Qualche mese fa recuperai su ebay una camcorder usata, niente di speciale s’intende; era piccola, maneggevole, costava poco e mi sembrava tenuta bene, e così…
Ho cominciato a giochicchiarci un po’, tanto per capire i suoi limiti (e i miei), filmando le solite cose (la cucina, il gatto, il giardino, ecc.). Mi parve che, pur non essendo ad alta definizione (HD), fosse in grado di registrare in maniera più che accettabile. A Kranj, all’inizio dell’estate, ebbi la prima occasione di usarla seriamente, così “girai” un filmatino di una mostra patchwork.
Tornato a casa mi trovai con una ventina di spezzoni troppo lunghi o troppo corti, rumorosi e incerti, in poche parole, impresentabili.
I miei tentativi di trovare in rete dei programmi di editazione video gratuiti (freeware) si infransero davanti agli ambigui propositi degli stessi di impestarmi il computer di pubblicità invasiva (adware) e potenzialmente malevola (malware). Altri software invece si dimostrarono rudimentali e scarni.
Risultato: altra ricerca su ebay.
Finalmente, dopo un mesetto o poco più, trovai un vecchio software che faceva al caso mio (dato che c’ho pure un vecchio computer). Ordinato, pagato, arrivato, installato. Ottimo.
E invece no.
Sarà perché il mondo del videoediting mi era assolutamente alieno, sarà perché si tratta di un software tedesco (e quindi con una ferrea logica tutta sua), sarà perché i traduttori di menù e di istruzioni fanno del loro peggio per inventarsi costruzioni grammaticali involute, anfibologie da punteggiatura a casaccio e neologismi un tanto al chilo, mi ci è voluto un po’ per districarmi tra le cento opzioni inutili e trovare quei quattro semplici comandi che mi servivano.
Il risultato è questo video che ho postato su youtube, e del quale, pur ammettendone il livello da principiante imbranato, vado comunque orgoglioso, se non altro per la vittoria che ho conseguito nei confronti di un manuale criptico e dispersivo.
Siate clementi.

Contrappunti / Benaltristi benpensanti

Fonte Punto-Informatico del 05/08/13

di M. Mantellini – L’opinione pubblica, intesa come la maggioranza della popolazione, di Datagate, Wikileaks e Aaron Swartz se ne infischia. Giornali e cittadini, tutti sulla stessa barca

Accidenti che tempi tristi. Sapete chi sono, per molti americani, Edward Snowden, Bradley Manning e Aaron Swartz? Sono abitanti di una terra di mezzo che potremo chiamare noncuranza. Non sono i delinquenti che il Governo USA insegue e condanna e non sono gli eroi delle libertà civili, pagate sulla loro personalissima pelle, che molti di noi pensano che siano.

Sono esibizionisti forse, perché oggi ormai la leva della visibilià mediatica ha avvelenato qualsiasi capacità di giudizio e spento ogni morale: sei arrivato in TV, la tua foto è nelle prime pagine dei giornali di tutto il mondo? Allora di sicuro c’è qualcosa che non va, sei un narciso in cerca di pubblica conferma, l’ospite insistente di un talk show televisivo al quale nessuno ti aveva invitato. Esibizionisti, oppure sposatori di cause perse o irrilevanti, questo pensano in moltissimi.

Sono tempi tristi, non solo per questi ragazzi, quasi sempre giovani e in buona fede, che vorrebbero cambiare il mondo e ai quali il mondo risponde tranquillamente che no, non vuole essere cambiato, grazie, ripassi magari un’altra volta. Ma lo sono, tristissimi perfino, per la stampa che ha perso anch’essa buona parte del suo afflato etico (non a caso il New York Times sulla vicenda Snowden ha dato spesso il peggio di sé) e perfino per le università, altro luogo dove storicamente il mondo veniva in passato cambiato, in meglio o in peggio non so, ma comunque cambiato, spesso con commoventi legami fra studenti e professori sognanti.

Dal maggio francese a Berkeley, perché solo l’incoscienza dei vent’anni è capace di spostare i mobili pesanti e togliere la polvere da dietro, anche questo sembra essere ormai il retaggio di un passato che non esiste più. Il MIT di Boston ha pubblicato una lunga personale difesa nel caso doloroso e tristissimo di Aaron Swartz, il giovane attivista suicidatosi dopo che tutti intorno a lui avevano alzato il bavero della noncuranza e lasciato mano libera al solito usuale inquisitore americano. Ora il MIT dichiara sottovoce di non aver fatto abbastanza per difendere lo studente che dalla rete del campus scaricava documenti da Jstor per renderli pubblici, ma di non aver avuto alcuna colpa diretta, di non averlo accusato e di non aver chiesto al magistrato di perseguitarlo.

Così anche la prestigiosa università accondiscende alla noncuranza del “fate voi”, accusate pure, minacciate pure, mandate in galera se volete, magari per 30 anni, ma non dite che siamo stati noi a chiederlo, perché a noi, nella sostanza non ce ne importa nulla. E a nulla vale sottolineare che le azioni di Swartz si inserivano con precisione millimetrica nella mission di quella stessa università, le solite belle e inutili parole sulla condivisione del sapere e sulla sua necessaria libertà. Poi quando un ragazzo di vent’anni si uccide la prestigiosa università annuncia con sollievo la propria neutralità che è, guarda caso, la medesima dell’americano medio e forse dell’europeo medio quando si parla di Assange o di Snowden, di Manning o appunto di Swartz. Vittime? Forse no. Eroi? Men che meno.

Dietro l’enorme chissenefrega che sintetizza tutte queste differenti vicende è possibile quasi sempre ricostruire posizioni e scelte di campo, per esempio quella chiarissima della stampa USA, quella che al tempo dei Pentagon Papers era sulle barricate a raccontare il Vietnam mai visto ora è nello studio di Obama a chiedere il permesso di pubblicare questo o quel pizzino, o a maledire per piccoli sottintesi il quotidiano britannico che prova a prenderne il posto nell’immaginario sognante dei lettori.

Anche questi ultimi sembrano del resto ampiamente decaduti nel loro ruolo di spina dorsale della morale pubblica, tanto che forse lo sport di minimizzare Snowden o compatire Manning o ironizzare su Assange più che una reazione automatica da bimbi dell’asilo è la razionale analisi dell’esistente. Non esiste più alcun giornalismo da barricata in Occidente, perché per qualche ragione, sono proprio finite le barricate. I pochi eroi che continuano ad infischiarsene del senso comune, della melma ideologica nella quale sono immersi e dalla quale vogliono uscire, muoiono o vengono incarcerati nella diffusa noncuranza di tutti.

Nel caso di Swartz questo cortocircuito non è ancora del tutto compiuto solo perché, per paradosso, basta una sola delle tante bellissime foto del giovane hacker sorridente per cancellare qualsiasi dubbio. Ognuna di quelle immagini racconta con grande chiarezza quanto siamo poveri e tristi e miseri, tutti quanti noi, dentro i nostri distinguo da quattro soldi.

Massimo Mantellini
Manteblog

Tutti gli editoriali di M.M. sono disponibili a questo indirizzo

Cassandra Crossing / La vita dopo l’Apocalisse

Fonte: Punto-Informatico del 31/07/13

urlo-munch_01

di M. Calamari – Il Datagate ci ha rivelato un mondo sconquassato dal tecnocontrollo, con tutte le potenze solidali nello spiare il cittadino. Ora è il momento di prenderne atto.

La sequenza di avvenimenti ormai nota come Datagate (grazie Edward) ha chiuso il circolo e detto la parola “fine” a due decenni di tecnoattivismo in Rete.

“La Paranoia è una virtù” non è più un’ opinione, ma un fatto storico dimostrato. V affermava, citando John Basil Barnhill che “I popoli non dovrebbero temere i propri governi: sono i governi che dovrebbero temere i propri popoli”.
La seconda parte di questa affermazione è oggi vera, e dimostrata.

Che siano i governi (tutti d’accordo) a temere i popoli (persino più dei nemici “tradizionali”) è anche questo un fatto dimostrato dal Datagate: i libri di storia, o qualsiasi aggeggio tecnologico che li rimpiazzerà, racconteranno prima poi i dettagli e riempiranno gli angoli ancora oscuri, che non sono comunque importanti, e forse qualche emulo di Ken Follet o Patrick Robinson rinverdirà nel frattempo il filone di romanzi di tecnospionaggio, che per ora sono stati generalmente illeggibili.

Ma il fatto principale rimane: viviamo nel dopo Apocalisse.
Come Noè appena uscito dall’arca, Cassandra ha finalmente potuto gettare una lunga occhiata al panorama lasciato dal diluvio. E come lei, hanno potuto farlo la maggior parte degli abitanti di questo Pianeta che non desiderino restare ciechi.
Non ha sentito nessun compiacimento nell’averlo in buona parte immaginato, solo tristezza per non aver potuto contribuire ad impedirlo.

Come il panorama dopo il Diluvio, tutto è stato spazzato via: la speranza di un poco di privacy, di governi almeno in parte benevoli e democratici, almeno in parte disposti a rispettare regole e diritti civili anche quando farlo diventa oggettivamente difficile.

I Governi e gli Stati del Pianeta si sono rivelati molto più simili tra loro di quanto le loro opposte propagande hanno da sempre fatto credere, ed anche questo non è più materia di opinioni ma fatto storicamente dimostrato.

Cosa resta da dire?
Che la maggioranza delle persone, dai cittadini della Rete ai professionisti dell’informatica e dei media questo non l’hanno capito, perché distratti o increduli o disinteressati?

I tecnoattivisti, gli hacker e coloro che hanno a cuore i destini della società dell’informazione e della società civile *devono* finalmente aprire gli occhi, vedere il panorama del dopo apocalisse, riconoscerlo e decidere cosa fare ora che la privacy, come la intendevamo noi, è ufficialmente negata come diritto civile ed annullata nei fatti.

Marco Calamari
Lo Slog (Static Blog) di Marco Calamari
Cassandra Crossing/ Scuola formazione e pensiero
Tutte le release di Cassandra Crossing sono disponibili a questo indirizzo

Contrappunti / Italia, paese di analfabeti digitali

Da Punto-Informatico del 3/6/13

 troppotardi_02

di M. Mantellini – I nativi digitali non sono tecnologicamente alfabetizzati più dei loro genitori. Una bella cura di educazione civica 2.0 servirebbe a tutti

Alcuni anni fa, quando frequentavo le scuole elementari, esisteva nell’elenco delle materie di insegnamento l’Educazione Civica. Si parlava di etica, di Costituzione, di educazione stradale, delle regole della civile convivenza e cose del genere. Tutti noi, con la stoltezza tipica degli adolescenti, la ricordiamo come una materia noiosa ed inutile.

Istituita da Aldo Moro nel 1958, l’Educazione Civica fu improvvisamente eliminata dai programmi didattici nel 1990. In tempi di iniziali ristrettezze dei fondi per la scuola pubblica fu forse il primo ramo sacrificabile in una società che si riteneva ormai civilmente evoluta. Eppure noi, oggi, di un paio d’ore settimanali dedicate all’Educazione Civica ne avremmo molto bisogno. E in una accezione attuale di questi spazi didattici, durante quelle due ore sarebbe necessario insegnare ai più giovani di noi ad utilizzare anche la rete Internet.

Partire dalle basi è ormai la nostra unica possibile riscossa. Immaginare un programma di alfabetizzazione che riguardi tutti i cicli scolastici, dalle elementari all’Università, e che sia in grado di imporre al Paese una nuova comprensione dell’orizzonte contemporaneo. Che è, inevitabilmente e con buona pace di tutti, un orizzonte digitale.

La retorica dei nativi digitali è stata in questi anni tanto effimera quanto ingannatrice. Perché da un lato è vero che i nostri figli nascono e crescono avvolti dai terminali elettronici, imparano prestissimo ad utilizzare gli schermi touch o le tastiere, si collegano alla Rete con una facilità inusitata, così come è vero che, al loro cospetto, molti di noi vengono assaliti da quel senso di inferiorità tecnologica che tratteggia la distanza fra chi sa e chi non sa. Ma, di nuovo, anche questa identificazione di competenze è una falsa sirena. I nativi digitali, anche quando lo sono (e non lo sono sempre) non sono “competenti digitali”: utilizzano strumenti con grande velocità e abilità ma lo fanno, nella maggioranza dei casi, dentro un loro sostanziale analfabetismo che riguarda le prassi e l’etica digitale. Far crescere un bambino dentro una biblioteca non farà di lui necessariamente un adulto colto e informato. Avvolgere i nostri figli dentro reti informative potentissime non li renderà automaticamente migliori di noi che siamo cresciuti dentro l’orizzonte minimo del libro di testo e della Divina Commedia.

La mia idea è che per vasti strati della popolazione italiana non ci siano grandi possibilità di evoluzione digitale. Si potrà e si dovrà fare tutto il possibile per alfabetizzare gli adulti e gli anziani, ma per quanto riguarda le generazioni adulte siamo mediamente spacciati. Solo così si spiega il gigantesco digital divide culturale che avvolge il Paese. C’è una lingua che richiede di essere adottata ma nessuno ne vuol sentir parlare.

Il nostro Paese è allergico alla tecnologia per ragioni complesse e molto radicate, tutto ciò che richiede nuove forme mentali è osservato con sospetto, non solo fra gli strati meno colti e meno giovani della popolazione, ma anche, spessissimo, dentro le elite culturali della nazione dove sovente un misto di pigrizia, superbia o semplice timore di perdere una centralità faticosamente acquisita, riempiono le cronache dei giornali e i talk show televisivi di punti di vista dubitativi e speciosi su quelle tecnologie che altrove tutti adottano. Ovviamente, in quanto italiani, ci sentiamo più intelligenti e più colti degli altri. Salite su una carrozza della metropolitana a Londra e vedrete persone anziane che leggono un libro sul loro ebook reader, accendete un televisore in Italia ed ascolterete un anziano cattedratico ammonire pensosamente sui rischi della digitalizzazione dei rotoli del Mar Morto.

L’unica cosa che possiamo fare è cominciare dai più piccoli e dalla scuola. Trovare un Aldo Moro che comprenda lucidamente la gravità della situazione, la nostra incomparabile arretratezza digitale e la necessità di fare qualcosa fin da subito. Partendo dalle scuole, due ore di Educazione Civica per tutti, per scoprire l’etica e la complessità di un mondo che cambia. Uno dei pochi investimenti culturali possibili per i prossimi anni.

Massimo Mantellini

Manteblog

I cattivi maestri e i primi della classe

Manette_01

Perché ricorrere alla censura quando si può eliminare il problema alla fonte?
Con evidente buon senso, un vecchio proverbio afferma che “è meglio prevenire che curare”, e proprio a questo hanno sicuramente pensato i mandarini della nostra squalificata casta politica.
Si sa che le critiche danno sempre fastidio, a prescindere dalla loro fondatezza. Alle critiche è possibile rispondere in molte maniere: col silenzio, con i fatti, con la dialettica, con le urla, con la fuga, con la violenza, ma qualsiasi decisione si prenda la critica rimane come un difetto in grado di offuscare l’immagine o incrinare l’autostima.
Il guazzabuglio, l’accozzaglia, la congerie, la babilonia, il campionario, l’inciucio, insomma quella specie di maggioranza numerica che sostiene un governo virtuale, per sopravvivere mediaticamente ha un estremo bisogno di approvazioni, acclamazioni, consensi, lodi, avalli, apologie, applausi, panegirici e inni, quindi ogni critica è veleno mortale, virus esiziale, vulnus insanabile, e pertanto agli untori deve essere impedito con ogni mezzo di insistere nel loro sordido servizio.
Dato che in questa incontestabile compagnia di primi della classe ci sta anche uno che è stato ed è ancora buon amico di campioni della libera informazione come Putin, Lukašenko, Orbán, Ben Alì, Nazarbayev, (non dimenticare Gheddafi e l’ex Rais Mubarak del quale è quasi un parente), è probabile che abbiano chiesto lumi al personaggio in questione su come evitare ogni possibile imbarazzo.
La soluzione che hanno trovato ha un suono ferale, è quella terribile frase coniata da Mao Zedong che ritrovò grave notorietà negli anni 70: colpirne uno per educarne cento.
Da quei cattivi maestri, gli attuali primi della classe hanno capito come applicare quel principio, e ne stanno facendo buon uso per sopire, abbassare i toni, confidando che tutti cooperino a favorire il massimo di distensione piuttosto che rinfocolare vecchie tensioni.
Percepisco la vostra incredulità, eppure i segnali li avete sotto gli occhi, basta guardare per capire in che direzione stiamo pericolosamente procedendo.
Un blogger che denunciava il malaffare delle affissioni abusive e il degrado sistematico dell’ambiente urbano, è stato denunciato per istigazione a delinquere. È chiaro come il sole che è andato a toccare degli interessi forti, in quanto i politici (e i loro sponsor) non si fanno scrupolo di inondare le nostre vie di orridi manifesti con altrettanto orride facce sorridenti.
Una blogger che teneva un forum letterario è stata condannata perché nel suo blog sono apparsi alcuni commenti poco lusinghieri sulla dubbia politica editoriale di una casa editrice.
Anche diffondere una notizia vera ma non “fresca di giornata” potrebbe essere pericoloso, in quanto una testata web è stata condannata per aver mantenuto nei suoi archivi liberamente consultabili una notizia del 2008, notizia che, pur essendo vera e corretta, dava fastidio a qualcuno che nulla voleva che si sapesse del suo passato, almeno nulla di sconveniente s’intende. Sono ormai innumerevoli i politici corrotti e voltagabbana che dopo altrettanti giri di valzer avranno bisogno di rifarsi una verginità, e queste sentenze cadono proprio a fagiolo…
La polizia postale a cavallo è indaffaratissima a monitorare la rete a caccia di fotomontaggi della Boldrini, e una volta individuati interviene con una celerità invidiabile e soprattutto sconosciuta ai comuni mortali.
Anche il blog del Grillo non sfugge all’occhiuto sguardo dei neomoralisti, i quali hanno il compito di difendere a spada tratta l’icona di San Napolitano. Infatti la polizia va cercando i nomi di 22 commentatori che, indifferenti alla Sua Viva e Vibrante Soddisfazione, si sono permessi di criticarLo con toni meno che commendevoli, e pertanto sono ricercati per il reato di “lesa Maestà”.
A destra e a manca (anche nel senso che manca proprio) dell’emiciclo parlamentare si torna alla carica con le vecchie parole d’ordine contro internet: regolamentare il Far West, limitare l’anarchia, vietare l’anonimato, cancellare la memoria di fatti scomodi (oblio informatico), obbligare alla rettifica immediata senza se e senza ma, attribuzione di nuovi poteri speciali di controllo, leggi bavaglio, ecc.
Ormai per zittire un blog “scomodo” basterà assoldare un provocatore e fargli scrivere un paio di commenti al vetriolo su un politico qualsiasi. L’infiltrato non verrà mai individuato (è ovvio, cane non mangia cane), ma per buona misura il blog verrà oscurato.
Di conseguenza tutti gli altri blogger si guarderanno bene dall’affrontare argomenti spinosi, timorosi di attirare le attenzioni della Santa Inquisizione Postale e dei suoi mandanti poco occulti; in pratica si tratta di una forma di terrorismo. – Colpirne uno per educarne cento – disse il Grande Timoniere, e ormai anche questo principio stiamo importando dalla Cina.

“La legge è uguale per tutti, ma per alcuni è più uguale di altri.” G. Orwell – La fattoria degli animali

.