jump to navigation

OneShares: la nuova trovata per raccogliere informazioni riservate giovedì 16 febbraio 2012

Posted by andy in Information Security, tecnologia.
add a comment

Ne hanno inventata un’altra: il servizio OneShare (https://oneshar.es) consente di inviare ‘messaggi che si autodistruggono dopo la prima ed unica consultazione’ .
Qui (https://oneshar.es/about) le indicazioni sulla sicurezza implementata.
Si dimenticano di dire che il messaggio a loro arriva in chiaro, prima che lo criptino (con una loro chiave, e quindi lo possono anche decrittare), e che quindi è in loro potere leggerne il contenuto.
Si dimenticano anche di dire che il browser che legge il messaggio può fare caching, e quindi l’ipotesi dell’autodistruzione del messaggio vale solo lato server.

Insomma, una nuova trovata per raccogliere informazioni dichiaratamente sensibili (altrimenti che senso avrebbe utilizzare il servizio) al popolo sprovveduto della Rete.

La notizia, con un’impostazione un po’ promozionale, la si può trovare sul Fatto Quotidiano.

Come al solito, il marketing promuove come oro un’idea, ma si dimentica di raccontare come stanno in realtà le cose.

E certamente nessuno viene a raccontare quale sia il reale scopo del nuovo business …

Annunci

Come mai l’eGovernment stenta a decollare in Italia? mercoledì 15 febbraio 2012

Posted by andy in Internet e società, vita quotidiana.
Tags: , ,
add a comment

Tra un post e l’altro, ho trovato un commento di una persona che si stupiva della fatica che l’eGovernment fa a prendere piede in Italia.

Giustamente citava un recente studio effettuato per conto della Commissione Europea che ha evidenziato che il 100% dei servizi di base della Pubblica Amministrazione italiana sono online.

E allora torniamo alla domanda: perché non si riesce a fare il salto di qualità?

Oltre a quanto riportato nell’articolo sopra citato, porto ad esempio una mia recente esperienza personale, e mi chiedo: non è forse perché per pagare le tasse scolastiche dei miei figli DEVO andare a scuola e ritirare i bollettini postali prestampati, e poi DEVO andare in posta, dove non funziona il bancomat, DEVO andare ad un bancomat ove DEVO prelevare dei contanti, per poi tornare all’ufficio postale dove DEVO pagare più di un Euro per un’operazione che a casa avrei potuto fare in pochi secondi con l’home banking (e con un costo reale di pochi centesimi) …?

ACTA, alt tedesco martedì 14 febbraio 2012

Posted by andy in Information Security, Internet e società.
Tags: , , , , ,
add a comment

Dopo Polonia e Repubblica Ceca, tocca alle autorità tedesche rimandare il sì al processo di ratificazione del trattato globale anti-contraffazione (ACTAAnti-Counterfeiting Trade Agreement).

Siglato a Tokyo dall’Unione Europea, l’accordo internazionale anti-contraffazione subirà così una nuova battuta d’arresto.

La lobby mondiale dei contenuti, unita alla volontà dei governi di controllare l’informazione e di poter mettere il bavaglio alle fonti libere dell’Informazione si sta scontrando contro delle ‘crisi di coscienza’.

È di poco tempo fa l’incredibile evento che una ventina di senatori statunitensi ha dovuto ritirare un’equivalente proposta (SOPA/PIPA) a causa di una sollevazione mondiale della Rete, che ha coinvolto i più grandi attori tra cui i più importanti motori di ricerca e perfino Wikipedia.

Un trattato che è stato predisposto segretamente in un percorso durato anni tra lobby dei contenuti e delle comunicazioni e governi, su scala mondiale, ha iniziato a mostrare le prime crepe grazie ai leaks delle prime bozze del documento.

Una volta divenuto pubblico, il documento ha sollevato l’attenzione mondiale per le sue gravissime implicazioni per la futura libertà dell’informazione, e tutto sommato ha anche messo i governi nazionali di fronte al fatto di dover (e ribadisco: dover) recepire una legge senza essere stati coinvolti nella sua preparazione e discussione (questo forse è più un atteggiamento difensivo per non entrare troppo in conflitto con i propri elettori).

Ora, in molti si chiedono perché questo trattato dovrebbe essere ‘il male’, pensando che gli unici detrattori sono coloro che vogliono poter proseguire a scaricare illegalmente contenuti protetti da diritto d’autore.

Ma in questo trattato c’è molto di più: la possibilità per chiunque, privato od organizzazione di richiedere l’oscuramento di un sito sulla semplice autocertificazione di una (presunta) violazione di un proprio diritto d’autore.

Ed il tutto senza passare attraverso la Giustizia, senza un terzo imparziale che verifica l’effettiva violazione della legge.

A peggiorare la cosa si deve aggiungere la responsabilizzazione degli intermediari: il che significa che carrier, motori di ricerca, piattaforme di blogging, siti social, etc. potrebbero essere a loro volta coinvolti ed oscurati nel caso non intervengano attivamente nella rimozione od oscuramento dei contenuti segnalati.

Questo significa che le major potrebbero richiedere l’oscuramento di Google in quanto mediatore tra l’utente ed i contenuto, o di Twitter …

L’implicazione è ovvia: chiunque voglia oscurare un sito ‘scomodo’ deve solo cercare un possibile contenuto su cui può, in qualche forma, reclamare un diritto, e richiedere l’oscuramento del sito; in caso di rifiuto, il reclamante può anche risalire ai mediatori dell’informazione (piattaforma di blogging, motore di ricerca, etc.), DNS, etc. di fatto tagliando fuori dalla rete i contenuti.

Stiamo quindi per passare da un sistema in cui si è innocenti fino a prova contraria ad uno in cui siamo colpevoli fino a prova contraria, con l’aggravante che questo ribaltamento di responsabilità mette la parte più debole nella condizione di dover affrontare costi sproporzionati per far valere i propri diritti, e senza la possibilità di poter recuperare il danno derivante dall’oscuramento dei propri contenuti.

Inoltre, per far risparmiare i soldi ed i tempi della Giustizia ai pochi detentori dei diritti, si modifica la legge in modo da non dover più neppure far intervenire la Giustizia nelle questioni di diritto.

È una follia, e sono convinto che non passerà mai (sono un inguaribile ottimista), ma anche dovesse passare, questa legge si ritorcerà immediatamente contro chi l’ha promossa: ogni frase, ogni nota, ogni immagine pubblicata in Rete (e non) dalle major, dai politici, etc. verrà immediatamente sottoposta al vaglio, ed ogni riutilizzo, anche casuale, di materiale preesistente porterà ad una (lecita) richiesta di oscuramento dei siti coinvolti, con un danno incredibile, sia economico, che di immagine, che di limitazione della libertà di espressione.

Il virus del controllo dell’informazione non metterà in ginocchio la Rete: si svilupperanno immediatamente i necessari anticorpi per eliminarlo.

A tal proposito per l’11 Febbraio è stata promossa una protesta mondiale contro ACTA.

 

Come promuovere la sicurezza nei prodotti commerciali giovedì 9 febbraio 2012

Posted by andy in Information Security.
Tags: , , ,
add a comment

Giorno dopo giorno le aziende ed i sistemi di organi istituzionali sono sempre più oggetto di attacchi da parte di malintenzionati e di attivisti politici.

Proteggersi da questi attacchi è divenuta un’attività sempre più onerosa, sia come competenze richieste, sia come costi da sostenere.

Approfondendo, ci si rende conto che i costi che l’azienda deve sostenere sono, in buona parte, alla necessità di mantenere allo stato dell’arte la configurazione dei propri sistemi e le competenze del proprio personale, oltre che alla necessità di ‘acquistare’ attacchi controllati sotto forma di assessments e penetration tests.

Un altro costo da mettere in conto, seppur difficilmente quantificabile, è il danno derivante da attacchi effettivamente riusciti e la difficoltà, se non l’impossibilità, di assicurarne il rischio, in quanto non sono disponibili sufficienti dati, e sufficientemente attendibili, perché le assicurazioni possano stabilire premi adeguati.

Se le aziende non sono di fatto in grado di proteggersi adeguatamente, e se le compagnie di assicurazione non possono essere d’aiuto in caso di incidente, esiste qualche modo per ridurre e/o trasferire il rischio, e se si, a chi?

Facendo mente locale sull’attuale ciclo di gestione della sicurezza delle informazioni, non possiamo non notare che in buona parte questa ruota intorno ad un gran numero di prodotti commerciali (i cosidetti ‘off the shelf‘: router, firewall, IDS, IPS, sistemi operativi, web server, RDBMS, …).

Di fatto, le organizzazioni spendono una notevole parte del proprio budget per la sicurezza non tanto nell’acquisto di prodotti, ma nella loro personalizzazione, aggiornamento e manutenzione.

E questo accade perché in realtà i produttori riducono i propri costi trasferendoli sul cliente.

Di fatto, distinguiamo tra prodotti consumer e professionali basandoci semplicemente sul prezzo e su qualche eventuale ‘bollino di qualità‘ eventualmente riportato sui manuali.

Come i giornali dimostrano, né il prezzo né i bollini risolvono i nostri problemi: dobbiamo per forza passare il nostro tempo ad informarci ed aggiornarci, a scaricare ed applicare patch, eventualmente fermando i sistemi e creando disservizi al nostro business, eventualmente sostenendo anche i costi per ambienti di test ove provare le patch prima dell’effettivo deployment negli ambienti di produzione.

Sarebbe quindi interessante invertire la tendenza a trasferire il rischio, riportandolo all’origine, là dove il prodotto nasce.

È vero che la perfezione non esiste, ma quante delle patch di sicurezza che applichiamo periodicamente avrebbero potuto essere implementate già durante la progettazione e realizzazione del prodotto?

L’ideale sarebbe quindi quello di innescare un circolo virtuoso, con l’obiettivo di realizzare prodotti talmente affidabili da poter tagliare drasticamente i costi di manutenzione, spostando le risorse verso la progettazione.

Ne consegue naturalmente la domanda: come incentivare l’implementazione della sicurezza già alla fonte, invece che rimandarla alle fasi post-market? Che tradotta in un’altra forma, potrebbe essere: come convincere i clienti a spendere di più al momento dell’acquisto?

Certamente qualsiasi organizzazione acquisterebbe molto volentieri, ed anche ad un prezzo superiore a quello attuale, prodotti che forniscano non solo garanzie sulla sostituzione dell’hardware guasto, ma anche sull’aggiornamento continuo a cura del fornitore, ed un’assicurazione per coprire i danni derivanti dallo sfruttamento di vulnerabilità dei propri prodotti.

All’organizzazione rimarrebbero, di fatto, soltanto i costi per la progettazione della propria sicurezza e per la personalizzazione dei prodotti acquistati.

Occorre quindi lavorare sui seguenti aspetti:

  • aiutare i clienti (e specificamente il management) a valutare i costi complessivi (TCO) della sicurezza, fornendo degli strumenti per quantificare i costi di aggiornamento e patching nel tempo (senza dimenticare almeno una quota di rischio per eventuali breaches);
  • aiutare le compagnie di assicurazione a sviluppare prodotti assicurativi specifici per i danni derivanti da violazioni dei sistemi informativi sfruttando le vulnerabilità degli apparati e del software in commercio, creando così un mercato nuovo ed aprendo grandi opportunità commerciali, considerando quanto le tecnologie dell’informazione siano diventate pervasive e fondamentali per il business;
  • aiutare i produttori a perseguire l’obiettivo commerciale del ‘prodotto più sicuro‘ (un po’ come già avviene nel settore automobilistico), sia sviluppando strumenti di verifica sempre più completi, sia promuovendo la disclosure di tutti gli incidenti dipendenti dai propri prodotti;
  • spingere i produttori a corredare i propri prodotti con polizze di assicurazione per il cliente: una maggior sicurezza del prodotto comporterà quindi premi sempre più bassi ed una maggior competitività commerciale, non solo per il brand, ma anche per i prezzi.

In qualche modo, l’Europa sta effettivamente andando nella direzione dell’obbligo della disclosure dei data breach per le aziende (cfr. proposta di revisione della normativa europea del 25 gennaio 2012); la proposta presentata in questo articolo in realtà mira a pubblicare le effettive responsabilità, almeno quando queste siano riconducibili ad apparati o a software.

In conclusione, il miglior bollino di qualità per il cliente è la fiducia che il produttore dimostra di avere nell’affidabilità dei propri prodotti, attraverso le garanzie e le responsabilità che conferma di volersi assumere.

Intorno a questa fiducia possono crearsi grandi opportunità di risparmio per i clienti, maggiori opportunità di revenue per i produttori, ed aprirsi nuovi mercati per le compagnie di assicurazione.

La metafora tra i ponti ed il software lunedì 6 febbraio 2012

Posted by andy in pensieri.
Tags: , , ,
add a comment

Ho letto un post sulle metafore per l’associazione di ponti ed edifici al software.

Il tema è quello dell’utilizzo della metafora come mezzo per facilitare la comprensione del mondo del software sfruttando analogie nel mondo fisico.

In effetti la principale differenza che il post trova tra i due mondi è la contrapposizione tra la staticità del mondo fisico (ponti, edifici, …) e la continua evoluzione del software.

Personalmente sposterei l’attenzione  su un aspetto più sostanziale: il ponte, l’edificio, la panchina e la madia sono modi per modificare la realtà.
Il software invece è uno strumento per meglio comprendere ed accedere alla sostanza della realtà.

La cosa è forse un po’ ‘tirata per i capelli’, ma credo che valga la pena di un approfondimento: i ponti (etc.) sono mezzi per facilitare la fruizione della realtà.
Il software è invece un mezzo per facilitare la modellizzazione e la comprensione della realtà.

Senza entrare nel merito delle conoscenze necessarie, la considerazione vale in entrambi i domini: se non si hanno appropriate conoscenze di fisica e di meccanica, il ponte crollerà, e se non si hanno equivalenti conoscenze nell’ambito dell’informatica, anche questa creerà più problemi e disservizi che altro, di fatto realizzando programmi e soluzioni che risulteranno inutili ed abbandonate come un ponte incompleto o crollato.

L’evoluzione dei motori di ricerca lunedì 6 febbraio 2012

Posted by andy in Internet e società, tecnologia.
Tags: , , , ,
add a comment

Oggi nasce un nuovo motore di ricerca: Volunia, dopo una ragionevole gestazione.

Parto di una mente italiana (la medesima che ha ideato il cuore di Google), il suo obiettivo è quello di stare al passo con i tempi.

E questo mi ha portato a riguardare indietro, ai primi grandi motori di ricerca su Internet, ad Altavista

E ripercorrendo con il pensiero questi ultimi anni ho razionalizzato quella che è la sostanza dell’evoluzione della tecnologia alla base dei motori di ricerca:

  • i primi motori di ricerca erano content-based: il loro scopo era quello di indicizzare i contenuti e di fornire dei rimandi a tutte le pagine che contenevano le parole chiave ricercate;
  • con il tempo si è puntato anche a migliorare la qualità della comprensione, da parte del motore, delle parole chiave, puntando anche a comprendere (per quanto possibile) anche interrogazioni in linguaggio naturale;
  • ulteriore passo: si è dato valore alle relazioni ed ai link (in sostanza, quanto i contenuti risultavano ‘gettonati’), ed i motori hanno iniziato a fare del ‘ranking‘ evoluto, e quindi non solo a dire quali pagine contengono più parole chiave, ma quali sono le pagine di qualità superiore, ovverosia quelle più visitate e quindi ritenute più autorevoli;
  • a corredo, oltre che all’indicizzazione dei contenuti, si è iniziato ad indicizzare anche le immagini ed i contenuti multimediali, offrendo anche meccanismi di base per effettuare ricerche non solo per parole chiave ma anche per analogia;
  • siamo al terzo step: il motore di ricerca diventa ‘social’, proprio come il nuovo Volunia; il web diventa social? Ed il motore di ricerca diventa user-centrico;

…e lungo tutto questo percorso si è sempre parlato del web semantico, cercando anche di farsi aiutare da una migliore strutturazione del linguaggio HTML, passato attraverso varie versioni, ed infine attraverso XML; un’utopia? Certamente no, ma prematura rispetto alle attuali potenzialità della Rete (per quanto incredibili esse già siano).

E come sarà la prossima generazione di motori di ricerca?

Nella mia visione, la prossima generazione di motori di ricerca si baserà su paradigmi distribuite, basati su tecnologie P2P.

Non sto inventando l’acqua calda, o almeno non oggi: ho iniziato a formarmi questa idea già anni fa, e forse se ne trova traccia in qualche mio vecchio post.

La cosa interessante è che tecnologie di questo tipo sono già in fase di sviluppo, ed alcune sono anche già state rilasciate.

Ma perché il futuro dei motori di ricerca dovrebbe essere basato su tecnologie di questo genere?

Ritengo principalmente per due motivi:

  1. i netizen iniziano a rendersi conto di quante informazioni su di se circolano in Rete senza il proprio controllo, e diventano sempre più attendi alla propria privacy;
  2. la quantità di informazione presente in Rete cresce ad una velocità vertiginosa, con la conseguente necessità di far crescere di pari passo la ‘dimensione’ dei motori di ricerca, con le relative implicazioni di infrastruttura, costi, consumi, impatto ambientale, rischi …

Tutto sommato un sistema di indicizzazione e di ricerca distribuito (ed in qualche modo localizzato con i dati da indicizzare) avrebbe il vantaggio di ridurre la quantità di informazione duplicata, distribuendo e delegando costi ed infrastrutture ai proprietari dei dati, e di lasciare al proprietario degli stessi (e dei relativi indici) il controllo sugli stessi.

Ubi major, minor cessat venerdì 3 febbraio 2012

Posted by andy in Internet e società.
Tags: , , , , , , , , , ,
1 comment so far

Parto da un caso attuale (la chiusura di Megaupload) per evidenziare un potenziale rischio per i propri dati.

Il caso specifico è semplice: l’FBI è riuscita ad ottenere l’isolamento e prossimamente la distruzione di tutto il contenuto dei server di MegaUpload, una piattaforma di file sharing utilizzata pesantemente (ma non esclusivamente) per la condivisione di contenuti piratati.

In pratica, anche chi avrà pubblicato contenuti leciti si trova a non poterli più raggiungere, e soprattutto a sapere che i propri contenuti verranno distrutti insieme a quelli illeciti.

Ci si può chiedere perché invece che concentrarsi sulla distruzione dei soli contenuti illeciti l’FBI intenda distruggere tutto il contenuto dei server; certamente per un fatto di semplicità e riduzione dei costi (sarebbe molto oneroso controllare i contenuti uno per uno), e molto probabilmente anche per dare un esempio (colpirne uno per educarne cento …).
Distruggere l’intera piattaforma rende molto più faticoso ed oneroso rimettere in piedi un servizio, piuttosto che fare semplicemente un po’ di pulizia dei contenuti.

Resta da chiedersi se un’autorità (per di più estera: i server non sono sotto la giurisdizione degli Stati Uniti) possa permettersi di distruggere deliberatamente dei dati personali ed il lavoro di cittadini, americani e non.
A rigor di logica no.

Ma come dicevano i latini, ubi major, minor cessat.

Ci troviamo quindi di fronte ad una guerra che si sta combattendo tra le lobby dei contenuti e la Rete, con la sua tendenza alla totale apertura e trasparenza e, in modo più occulto,, tra la volontà dei governi di controllare l’informazione e la tendenza di Internet ad essere completamente libera.

Alcuni problemi che (ri)emergono sono poi questi:

  • il rapporto tra la legislazione nazionale in rapporto alla globalizzazione, e la possibilità o meno di applicare le proprie norme nazionali anche all’estero;
  • il valore dei diritti personali rispetto a quelli commerciali: il diritto di una persona che non commette reati viene dopo quello del diritto di un soggetto commerciale.
  • la discutibilità di perseguire gli intermediari invece che coloro che commettono i reati;

In futuro questi problemi si acuiranno sempre più, sia perché le aziende tendono ad espandersi sempre più in paesi diversi grazie / a causa della globalizzazione, sia perché gli utenti saranno sempre più ubicati in parti lontane e diverse del pianeta.

Occorre sempre più la definizione di una costituzione planetaria, di una carta dei diritti del netizen, che sancisca quali sono i suoi diritti inalienabili (di fatto recependo anche la carta internazionale dei diritti dell’uomo), e di un organismo in grado di farne rispettare i principi a livello sovranazionale e planetario, indipendentemente dalle sovranità e legislazioni locali.