jump to navigation

QR Codes e cartamoneta giovedì 22 dicembre 2011

Posted by andy in tecnologia.
Tags: , , , , , , ,
add a comment

La fantasia nel trovare applicazioni sempre nuove, più interessanti ed utili per la tecnologia che di giorno in giorno ci viene messa a disposizione non ha limiti.

Proviamo ad immaginare l’applicazione dei QR Codes alla carta moneta.

Di fatto, si tratta soltanto di scrivere il numero di serie anche in una forma diversa, meglio intelleggibile ai dispositivi elettronici.

Ma il QR Code sarebbe così quasi sprecato: può contenere molta più informazione, e quindi perché non inserire anche l’importo della banconota ed il tipo di valuta, la data, il paese e la zecca di emissione?

Con tale informazione riportata sulla banconota cosa potremmo fare?

Ad esempio potremmo tracciare la circolazione della moneta, se ogni esercizio commerciale si dotasse di un lettore (di fatto, ad oggi quasi tutti sono già dotati di ‘lettori’ per verificare l’autenticità della banconota.

Tutto sommato si preserverebbe l’anonimato degli utilizzatori (in nessun modo verrebbe associata esplicitamente al QRcode della banconota un’informazione identificativa di chi la spende o la riceve; sarebbe tuttavia molto più facile tracciare il movimento della banconota nel tempo ed incrociare questo con altre informazioni, come la contemporanea presenza di telefoni cellulari.

Utilizzando uno smartphone si potrebbe in ogni momento avere il controvalore nella propria valuta (funzione molto utile per i turisti, che spesso hanno difficoltà a rapportare il valore del denaro straniero rispetto al proprio).

Sarebbe anche più facile identificare banconote contraffatte, se la lettura del codice viene segnalata in tempo reale ad un sistema centralizzato: la stessa banconota non può essere spesa contemporaneamente in due o più posti.

Per assicurare l’autenticità della banconota si potrebbe utilizzare un hash del codice con un numero casuale inserito in filigrana, generato con un certificato della zecca emittente: per contraffare le banconote occorrerebbe inserire in filigrana un codice diverso per ogni banconota, cosa che aumenterebbe a tal punto il costo di produzione da rendere meno appetibile la falsificazione del denaro.

Il valore della compromissione degli account lunedì 19 dicembre 2011

Posted by andy in Etica, Information Security, Internet e società.
Tags: , , ,
add a comment

Ho recentemente letto la notizia relativa ad un attacco al Ministero per la Pubblica Amministrazione ed Innovazione.

Su pastebin potete trovare l’elenco degli account compromessi.

Indipendentemente dalle considerazioni che si possono fare sulla competenza e sulla serietà nella gestione della sicurezza del sito (per l’attacco è stata utilizzata una semplice SQL Injection), viene comunque spontaneo chiedersi quale sia il danno conseguente.

Uno dei problemi più complessi nella valutazione dei rischi è proprio la valutazione del danno indiretto.

Ciò nondimeno, è intuitivo e certo che un danno ci sia: pur non provando a quantificarlo, possiamo come minimo considerare:

  • la perdita di immagine,
  • il costo per eliminare le vulnerabilità sfruttate,
  • il costo per ogni utente per cambiare la propria password,
  • l’eventuale sfruttamento dei profili compromessi.

Sarebbe quindi davvero interessante riuscire a fare una valutazione del danno economico (anche spannometrico) derivante dalla perdita di un account, e richiedere l’addebito sullo stipendio dei responsabili degli equivalenti importi.

Tutto sommato chi gestisce in modo incompetente la sicurezza dei sistemi della PA procura un danno economico e di immagine allo stato, e quindi ai cittadini.

Come ‘incentivo’ a gestire le cose in modo un po’ più serio potrebbe essere interessante ipotizzare anche il semplice addebitare un importo simbolico (10€  per account compromesso possono andare bene?), ciascuno moltiplicato per il suo ‘peso’ (ovverosia per il livello gerarchico nella PA – che in qualche modo rende proporzionale il rischio) ai responsabili ed agli amministratori di sistema.

 

EcoPass, Congestion Charge et similia giovedì 15 dicembre 2011

Posted by andy in vita quotidiana.
Tags: , , ,
add a comment

Si dibatte molto sul fatto che sia opportuno, appropriato, utile ed efficace applicare una qualche forma di imposizione economica ai veicoli che accedono alle aree più centrali dei centri abitati.

Non voglio qui polemizzare sul fatto che negli ultimi decenni il nostro stato ha fatto di tutto per far produrre e quindi farci comperare una (o più) auto, ma ha completamente sorvolato sul creare gli spazi ove metterle.

I problemi sono sostanzialmente due: il più importante è l’inquinamento, ed il secondo è il traffico, con il conseguente intralcio creato ai mezzi pubblici, ed in sostanza il peggioramento della qualità di vita complessiva per i cittadini.

Le azioni possono essere sostanzialmente di due tipi: penalizzazione ai veicoli inquinanti (EcoPass), o penalizzazione più in generale ai veicoli che impegnano il suolo pubblico in certe aree (Congestion Charge).

Entrambe le imposizioni hanno pro e contro, e possono essere disegnate bene o male; cerco qui di analizzare quali siano i pro ed i contro per ciascuna delle due.

EcoPass (o Pollution Charge)

Lo scopo è quello di penalizzare chi inquina di più.

In passato abbiamo visto applicare un pedaggio crescente in relazione alla classe di inquinamento del veicolo (Euro 0,1,2,3, …).

Se da una parte questo pedaggio può avere un senso (chi più inquina, più paga), d’altra parte si rivela essere discriminante verso le categorie meno abbienti, ovverosia verso quelle che non possono permettersi l’acquisto di un’auto più recente e quindi meno inquinante.

In aggiunta la categoria Euro non è proporzionale alle emissioni totali del veicolo, bensi alle emissioni percentuali.

Questo significa che due veicoli, uno con motore di 900 cc ed uno con un motore di 6000 cc possono avere entrambi la medesima certificazione Euro 5, ma risulta evidente che quella con il motore più grosso per forza di cose consuma di più e di conseguenza inquina di più.

In sostanza l’EcoPass, per essere più equo dovrebbe essere come minimo linearmente crescente in relazione alla potenza del motore, e possibilmente dovrebbe crescere anche più che linearmente, per disincentivare l’utilizzo di veicoli troppo inquinanti (e non far passare il messaggio che chi ha più soldi può permettersi di inquinare).

Congestion Charge

L’obiettivo è principalmente quello di evitare l’intasamento dei centri abitati, così riducendo l’inquinamento e favorendo la circolazione dei mezzi pubblici.

D’altra parte occorre tenere conto che una vera congestion charge penalizza anche i veicoli non inquinanti, come quelli elettrici e quelli a gas.

Il problema è che questo tipo di imposizione tende a penalizzare i più poveri a favore dei più ricchi, se l’importo è sostanzialmente indipendente dal tipo di veicolo.

Mentre 1 Euro al giorno (~220€/anno) per un operaio rappresenta una parte significativa di uno stipendio, un importo anche cinque volte superiore (~1100€/anno) può non essere particolarmente penalizzante per gli stipendi alti, soprattutto se il costo viene assorbito dall’azienda.

Una congestion charge equa dovrebbe quindi essere in qualche modo legata al reddito della persona e crescente in modo più che lineare.

L’Italia a ‘conduzione familiare’ giovedì 24 novembre 2011

Posted by andy in vita quotidiana.
Tags: , , , , , ,
add a comment

Lungi da me l’idea di occuparmi di politica in questo blog, ma negli ultimi mesi ho sentito tanti commenti sull’attuale situazione politico-economico dell’Italia che ritengo a dir poco assurdi (per la verità, la quasi totalità).

Vedo una classe politica e giornalistica vecchia, che tenta ancora di mantenere un proprio spazio e di giustificare la propria esistenza dietro a montagne di parole ed elucubrazioni di socio-economia mondiale, di poteri occulti, etc. etc. etc.

Pochi, o per la verità quasi nessuno, ha provato ad affrontare la questione in modo più semplice e realista, e con parole comprensibili ai cittadini.

Ho sentito parlare di ‘governo delle banche’, di poteri occulti, di attacchi alle economie, di fondi occulti che aggrediscono le economie nazionali attraverso attacchi speculativi …

La cosa invece è molto più semplice, e proverò qui a darne una mia interpretazione, utilizzando parallelismi tra l’Italia e la famiglia o una piccola azienda, tutte realtà la cui gestione è facilmente comprensibile ai più.

Proviamo ad immaginare l’Italia come una normale famiglia: cosa è accaduto negli ultimi decenni? È semplice: la famiglia ha iniziato a spendere più di quanto portava a casa con gli stipendi dei suoi componenti (i cittadini), ed ha quindi fatto ricorso alle banche per chiedere dei prestiti (BOT, etc.), impegnandosi a restituire il prestito con i relativi interessi.

Ma con questo la famiglia non ha utilizzato il denaro chiesto in prestito per rimettersi in sesto: ha invece continuato a sperperare (anche il denaro chiesto in prestito), per cui quanto è arrivato il momento di tornare in banca per iniziare a pagare le rate di interessi dovuti si è trovata a non avere il denaro necessario.

Allora cosa ha fatto la famiglia Italia? È andata da un’altra banca, ed ha chiesto un ulteriore prestito del denaro (altri titoli di stato) che ha utilizzato per far pagare gli interessi alla prima banca.

E così via, banca dopo banca.

Cosa è successo ora? La famiglia Italia ha fatto il giro di tutte le banche, ed è tornata dalla prima, per proseguire con questo gioco perverso del farsi prestare sempre nuovo denaro da impiegare parzialmente per rimborsare interesse, ed in buona parte per continuare a vivere sopra le proprie possibilità.

A questo punto la prima banca (quella che ci aveva prestato i soldi per prima) invece che vederci tornare con il denaro da restituire, ci vede comparire per fare ulteriori debiti, ed a questo punto si insospettisce: ‘cos’hai fatto con il mio denaro‘ – si chiede – ‘che invece che restituirmelo sei qui a chiedermene ancora?‘.

Una telefonata di qua, una telefonata di la, e la banca scopre che non solo non hai più soldi, ma che di sei impegnato anche con le altre banche.

A quel punto la banca cosa fa? Inizia ad ipotecarti tutto quello che può, per garantirsi il prestito (in pratica,stipendi, pensioni, benefit, …)

La prossima fase, se non risolviamo il problema, è il pignoramento.

Proviamo ora a vedere l’Italia come una comune azienda (meglio se una PMI: sono più vicine a noi e meno soggette a ‘logiche di business’  … poco legate al mercato reale, per così dire …).

Quando una persona vuole avviare un’attività imprenditoriale, e non ha sufficienti fondi propri o dalla propria famiglia, cosa fa?

È semplice: va in banca per chiede un finanziamento.

D’altra parte la banca non apre i cordoni della borsa se il richiedente non presenta un business plan convincente che dimostri come il finanziamento possa fruttare a sufficienza per restituire l’importo prestato, per pagare i relativi interessi accumulati, e per lasciare anche un certo margine che assicuri la vita e la crescita dell’azienda (OK, lo so: in Italia le banche ‘prestano’ soldi soltanto a chi fornisce equivalenti garanzie personali, cosa che è un assurdo, ma se la nostra economia va a rotoli, un motivo ci sarà pure, no?).

A questo punto cosa ha fatto l’azienda Italia? Si è spesa i denari ottenuti in iniziative non fruttifere (anzi, a perdere), e quando è stato il momento di restituire il denaro (vedi sopra) è tornata in banca per chiedere un nuovo prestito con cui iniziare a pagare almeno gli interessi sul finanziamento precedente.

Iterate il giochino un po’ di volte e la banca arriva al punto di dire: non ti presto più denaro se non mi dimostri che sei in grado di restituirmi tutti i prestiti precedenti e tutti gli interessi accumulati.

Se l’azienda ha esaurito gli argomenti convincenti in teoria resta soltanto il fallimento, ma come extrema ratio il giudice che dovrebbe dichiarare il fallimento dell’azienda effettua un ultimo tentativo, mettendo l’azienda in quella che si chiama ‘amministrazione controllata’.

Di fatto, il giudice sostituisce le persone amministratrici con una (o più) di propria fiducia, a cui assegna il compito di risanare l’azienda, pagando i debiti e riportandola in attivo.

Ebbene, ora l’Italia si trova in questo stato di amministrazione controllata, o meglio, come è stato detto, di ‘commissariamento’.

Il giudice si chiama Europa, ed i nuovi amministratori / controllori si chiamano Germania, Francia, Stati Uniti, etc. – di fatto, le principali banche che ci hanno prestato i soldi.

È quindi inutile che reclamiamo la nostra sovranità: abbiamo rinunciato alla nostra libertà amministrativa nel momento in cui abbiamo fatto più debiti di quelli che avremmo potuto  rifondere, passando di fatto il controllo amministrativo a coloro che ci hanno prestato i soldi.

Visto in un’ottica un po’ più cattiva, ma realistica e soprattutto chiarificatrice, se una persona va dagli strozzini a farsi prestare del denaro, non può pensare di dire poi ‘ho scherzato, non ti posso restituire il denaro’: lo strozzino prima cerca di proteggere il proprio investimento imponendo politiche tali da poter recuperare il denaro e gli interessi dovuti, e se poi il debitore allora non ce la fa, beh …. allora in questo caso si cerca di dare un esempio che sia di monito per tutti gli altri nella medesima situazione (o che ci si vogliono trovare).

Esistono poi due ulteriori aspetti nella gestione del debito: il creditore può rinunciare ad un po’ dei propri soldi, e cedere il proprio credito ad altri che sono convinti di essere meglio in grado di recuperare la somma prestata, oppure il debitore accetta di pagare ulteriori interessi per ‘comprare’ ulteriore tempo per poter restituire tutto il denaro.

La morale qual’è? quando ci si indebita, chi va a guadagnare è soltanto il creditore, e se il debito arriva a superare la capacità di guadagno per ripagare debito ed interessi ci si viene a trovare in una situazione di sudditanza economica (vedi anche carte di credito revolving, di fatto messe fuori legge).

Ulteriore opportunità per chi non riesce a ripagare i propri debiti è

Il Crowdsourcing ed il giornalismo investigativo di massa giovedì 24 novembre 2011

Posted by andy in Internet e società, privacy.
Tags: , , , , , , ,
add a comment

Sono rimasto stupefatto dalla fantasia di un giornale (il Guardian inglese) e dall’ennesima manifestazione delle incredibili opportunità della Rete.

Mi riferisco in particolare alla notizia che ho appreso qui, in merito ad un’indagine giornalistica portata avanti con e grazie al supporto della Rete.

Il tema è semplice: vi erano sospetti che alcuni parlamentari si facessero più o meno regolarmente rimborsare spese non lecite.

Il problema è che quando sono state chieste, per trasparenza, le evidenze delle spese sostenute, il governo ha reso si disponibili circa mezzo milione di documenti, tra ricevute e non, ma in forma digitalizzata invece che sintetica (immagini invece che testo), e quindi praticamente non analizzabile attraverso strumenti informatici; l’approccio del Governo è stato denominato ‘BlackoutGate’ proprio per le enormi proporzioni del tentativo di insabbiamento dell’indagine.’

L’obiettivo era evidentemente quello di far desistere chiunque dall’analisi dei contenuti, vista l’immane quantità di lavoro necessaria.

La mirabile idea del Guardian è stata quella di utilizzare la Rete ed i suoi cittadini per affrontare in modo massivo l’analisi dei documenti; ha quindi fatto ricorso a quello che viene definito come ‘crowdsourcing’, ovverosia outsourcing di massa, pubblicando online il gioco ‘Investigate Your MP’s Expenses‘, il cui obiettivo è di analizzare e catalogare tutti i documenti forniti dal Governo e segnalare tutti quelli potenzialmente anomali ed illeciti.

L’obiettivo del gioco è quello di apparire e salire nella classifica dei ‘top segnalatori’ di spese non giustificate.

Il gioco è stato definito come il primo progetto al mondo di giornalismo investigativo massively multiplayer.

Ad oggi, circa la metà dei documenti è stata analizzata da circa 30.000 persone, e di risultati sulle anomalie vengono pubblicati ed aggiornati on-line.

Grazie all’indagine, già una trentina di parlamentari ha già rassegnato le dimissioni o ha annunciato di ritirarsi a fine legislatura, ed alcuni procedimenti giudiziari sono già stati avviati dalla magistratura per i reati già accertati.

Ulteriore aspetto, particolarmente interessante dato il periodo di crisi, è il recupero del maltolto da parte della pubblica amministrazione, per un importo già accertato ad oggi di oltre un milione di sterline.

La morale? È semplice: Internet = trasparenza.

Nessuno strumento nella storia dell’uomo ha dato così tanto potere ai cittadini di controllare i propri amministratori.

La ‘potenza di calcolo’ dei cittadini in Rete è superiore a qualsiasi tentativo di ostacolamento, senza contare le grandi opportunità per la diffusione di documenti ed informazioni che si vorrebbero tenere gelosamente segrete (leggi: WikiLeaks).

Contenuti Internet ‘a due velocità’ lunedì 21 novembre 2011

Posted by andy in Internet e società, privacy.
Tags: , , , , ,
add a comment

Il W3C (il consorzio che stabilisce gli standard del World Wide Web) ha pubblicato la prima bozza di un nuovo framework per la gestione della privacy degli utenti. Anche per l’ENISA (European Network and Information Security Agency) l’eccessivo logging online fa male alla vita delle persone.

la moderna pratica di logging ubiquo dei siti e servizi web in un vero e proprio incubo da “tracciamento di vita” online.

La crescente sensibilità ed attenzione alla privacy, soprattutto in Europa, sta portando i produttori di browser ed il W3C alla definizione delle modalità per gestire la Tracking Preference Expression, ovverosia un set di standard mediante i quali esprimere le proprie preferenze in merito alle pratiche di tracciamento da parte dei siti, e la Tracking Compliance and Scope Specification per la definizione di preferenze “Do Not Track” e le relative pratiche che i siti web dovranno (o almeno dovrebbero) adottare per rispettarle.

Di fatto, il mercato sta catalizzando degli anticorpi per proteggersi da un’eccessiva contaminazione da ‘loggers’.

D’altra parte il mercato ed i produttori, utenti e servizi on-line hanno sempre vissuto di una crescente simbiosi: l’uno non ha scopo senza l’altro.

Occorre anche aggiungere che ormai la quasi totalità dei servizi online vengono fruiti gratuitamente (limitando l’accezione al solo pagamento in valuta); ovviamente i miliardi di dollari che occorrono per sostenere lo sviluppo ed i costi delle infrastrutture che supportano tali servizi provengono dai profitti derivanti dal possesso, analisi e vendita dell’unico vero bene raccolto e gestito: l’informazione sugli utenti e sulle loro preferenze ed abitudini.

Qualsiasi pratica volta quindi a limitare la raccolta di informazioni sugli utenti porterà quindi a limitare i profitti, e quindi i budget a supporto dello sviluppo dei servizi e del mantenimento delle necessarie infrastrutture.

Ma difficilmente il mercato accetterà facilmente tagli ai propri profitti, e quindi tenderà a muoversi in modo da contrastare la potenziale riduzione dei dati che potranno essere raccolti.

Come motivare gli utenti ad acconsentire la propria profilazione?

Personalmente mi immagino una possibile evoluzione simile a quella ipotizzata per la ‘Internet a due velocità‘, ovverosia la pratica di privilegiare il traffico destinato verso siti paganti e penalizzare quello verso siti comuni (non paganti), con tutte le implicazioni del caso, tra cui le notevoli possibilità per lo sviluppo di pratiche di concorrenza sleale tra provider, a tutto di scapito dell’utente.

Mutuando quindi il concetto, vaticino una Internet con contenuti a due velocità, inteso ovviamente non nel senso della banda garantita, ma della quantità di informazione e di servizi accessibili.

In pratica succederà che chi espone i contenuti lo farà in modo condizionato: più ti lasci tracciare, più contenuti ti consento di consultare.

Tutto sommato qualcosa di analogo è già stato fatto in passato con la pubblicità, e penso che verrà ripreso a causa di tutti i filtri utilizzati nei browser: contenuti in cambio di pubblicità.

Do ut des, insomma: se vuoi contenuti a valore aggiunto, quali giochi, musica, film, notizie, etc. dovrai accettare che i tuoi contenuti vengano tracciati, e possibilmente non filtrare la pubblicità che cercano di propinarti.

A Marco Simoncelli lunedì 24 ottobre 2011

Posted by andy in Uncategorized.
Tags:
add a comment

Sei salito sul podio più alto.
Là dove si corre solo per divertimento, e dove tutti vincono.

Dati persi ‘in the cloud’ … di chi è la colpa? mercoledì 7 settembre 2011

Posted by andy in Information Security, Internet e società.
Tags: , , , ,
add a comment

Facebook deletes hacked Pages, destroying years of work

Sono state perse molte pagine e contatti su Facebook.

Mi dispiaccio, ma non mi stupisco.
… come si dice … pay peanuts, get monkeys
Vogliamo risparmiare seccature, tempo e denaro?
Dobbiamo accettare che chi possiede, gestisce e controlla i nostri dati possa farne quello che vuole, volontariamente o meno.
Anche ciò che sto scrivendo in questo momento potrebbe svanire nel nulla tra un istante, ed onestamente non ne sto tenendo un backup.

Ed ovviamente tutti i servizi ‘in the cloud’ tendono in generale a ‘fidelizzare’ il cliente, impedendogli di mantenere un backup dei propri dati, o comunque complicandogli la vita.
E se anche non lo fanno, ci pensa la pigrizia dell’utente (o azienda che sia), che si fida ciecamente di queste entità astratte tra le nuvole, che funzionano, e non ci chiediamo neppure come.

Le condizioni del contratto che firmiamo per accettazione per usufruire del servizio riportano sempre e solo i nostri obblighi, i nostri doveri, le nostre responsabilità, e l’accettazione dei rischi.
Non ci sono clausole sui nostri diritti, perché vi rinunciamo in cambio della gratuità del servizio.

Se vogliamo cambiare le cose, dobbiamo abituarci all’idea di pagare, e poi di difendere i nostri diritti.
O, in alternativa, di gestirci le cose in casa, e di prendercela con noi stessi se qualcosa va storto.

Idea per un motore di ricerca Etico giovedì 25 agosto 2011

Posted by andy in Etica, Information Security, Internet e società, tecnologia.
Tags: , , , ,
1 comment so far

Leggo oggi una (nuova) notizia sul tracciamento pervasivo che i motori di ricerca fanno della nostra navigazione in Rete (Lo scandalo “supercookies”
Utenti pedinati senza saperlo).

Microsoft ha appena fatto ‘marcia indietro’, ma il problema è stato solo rimandato: saranno già alla ricerca di nuovi modi per fare la medesima cosa.

Dovrei scandalizzarmi? Assolutamente no: l’intero business dei motori di ricerca si basa proprio sulla raccolta sempre più precisa di informazioni sul profilo degli utenti da rivendere (come minimo) per scopi di advertising (non voglio addentrarmi sugli interessi che esistono per tali informazioni da parte di enti governativi e non).

Il problema è certamente sentito dai cittadini della Rete, che sono alla ricerca di motori di ricerca non traccianti (provate a fare una ricerca di ‘non tracking search engine‘ per farvi un’idea …); qui trovate una ‘Top 5′ di motori di ricerca anonimi.

Ma se leggete bene i commenti in Rete, i netizen non si fidano, ed a ragione: di fatto, cosa cambia utilizzando un motore di ricerca diverso da quelli tradizionali? Semplicemente che i propri dati finiscono in mano ad altri (ed in ogni caso sarebbe interessante scoprire chi realmente c’è dietro ad ogni motore di ricerca).

Faccio un paio di semplici considerazioni:

  1. i motori di ricerca costano, e tanto: lo storage, la banda per la connettività, la corrente, la manutenzione dei data center e lo sviluppo e la manutenzione del software hanno un costo (per non parlare del supporto da fornire agli enti governativi per l’estrazione di dati e per la rimozione di contenuti vietati);
  2. visto che i comuni motori ricerca non chiedono soldi, chi è così disinteressato da investire centinaia di milioni o addirittura miliardi senza una prospettiva di rientro (e possibilmente di utile)?

NOTA: ci tengo a fare una precisazione prima che intervenga qualche ‘misunderstanding’ (o cielo! … sto diventando anglofono? Avrei anche potuto utilizzare il termine ”incomprensione’ …!): il fatto che un motore di ricerca sia ‘anonimo’ non significa che non raccolga ed analizzi dati; l’importante è capire quali dati possono essere raccolti e quali no; sostanzialmente non devono essere raccolti dati che consentano la profilazione del singolo utente; un metro che utilizzi qualsiasi dato che consenta di capire quali siano le ricerche più ‘gettonate’ e da quale paese vengano, le fasce orarie di utilizzo, etc. può essere utilizzato senza mettere a rischio la privacy delle persone.

Ciò detto, proviamo a chiederci quali siano i requisiti minimi che un motore di ricerca deve soddisfare per poter realmente non aver bisogno di profilare gli utenti per sostentarsi:

  1. deve essere finanziariamente autonomo;
  2. deve poter dimostrare che nel proprio codice non sono implementate regole di profilazione.

Vediamo ora come sia possibile pensare di soddisfare tali requisiti:

  1. autonomia finanziaria:
    1. un contributo (simbolico) di 1 Euro all’anno, per 1 miliardo di utenti, sono 1 miliardo di Euro, che consentono il sostentamento di una struttura più che ragguardevole .. (questo implica ovviamente che gli utenti devono essere registrati);
    2. riduzione o eliminazione del contributo per coloro che non si vogliono registrare, per i quali verrà effettuata una limitata e ragionevole, e soprattutto dichiarata, profilazione; i dati così raccolti potranno essere utilizzati per finanziarsi anche con entrate per pubblicità mirata;
    3. entrate derivanti dalla rivendita di analisi dei dati raccolti (per scopi di studio o commerciali);
    4. eventuale licensing del codice del motore di ricerca, per la realizzazione di motori proprietari;
    5. probabilmente si
  2. trasparenza per dimostrare che non viene effettuata la profilazione degli utenti:
    1. apertura del codice (Open Source – che non significa necessariamente ‘gratuito e liberamente copiabile’);
    2. verifiche indipendenti di  parte terza sul rispetto della policy sulla privacy (forse potrebbe starci anche una certificazione ISO27001 …)

La sicurezza nello sviluppo SW: come incentivarla giovedì 31 marzo 2011

Posted by andy in Information Security, Miglioramento.
Tags: , , , ,
add a comment

Sempre più spesso leggo notizie in cui emergono incidenti (informatici, naturalmente!) derivanti da software sviluppato con pochi, o nulli, criteri di sicurezza.

Le lamentele vanno sempre in varie direzioni: i programmatori che pensano a tutto tranne che alla sicurezza, i project manager incapaci, le aziende che tagliano selvaggiamente su tutto, in primis sulla sicurezza …

Insomma, comanda il Time To Market ed il ribasso selvaggio …

Giusto o sbagliato che sia, il mercato attuale è così: il cliente non sa nulla di sicurezza, non è capace di valutare e confrontare le offerte, e peggio ancora non è capace di valutare i possibili danni derivanti da ‘incidenti informatici’.

E visto che ‘occhio non vede, cuore non duole’, si risparmia su tutto ciò che non si vede o non si conosce.

Ma il problema non è dei programmatori, o dei project manager.

Il problema è quello ribadito mille volte in mille articoli e blog diversi: pay peanuts, get monkeys.

Quello che manca è un ‘rating’ delle società che sviluppano software e, perché no? anche dei programmatori free lance.

Occorre introdurre nel mercato un meccanismo che dia visibilità ai clienti del fatto che lo sviluppo SW tenga conto o meno della sicurezza, e quanto.

Senza imbarcarsi in certificazioni di terza parte, che sono costose, ed in qualche misura si possono aggirare.

Varrebbe la pena predisporre una check-list dei principali aspetti della gestione della sicurezza nello sviluppo SW, di cui i clienti potrebbero richiedere la compilazione ai fornitori, che sarebbero così tenuti ad ufficializzare quali ‘controlli’ (nell’accezione inglese) implementano nel proprio processo di produzione SW.
I clienti potrebbero così confrontare i fornitori, e potrebbero paragonare i prezzi offerti in relazione alla sicurezza offerta.

Inoltre, in caso di incidente, il cliente potrebbe richiedere o meno la correzione dell’errore in relazione al fatto che il fornitore abbia o meno dichiarato i relativi controlli.

E a guardare più lontano, si potrebbe anche pensare di coinvolgere le assicurazioni, per la riduzione dei premi (ove applicabile).

Insomma, perché non puntare sullo scarico delle responsabilità? Se paghi per la sicurezza, hai diritto alla risoluzione dei problemi di sicurezza, altrimenti no.

Follow

Get every new post delivered to your Inbox.