jump to navigation

Contenuti Internet ‘a due velocità’ lunedì 21 novembre 2011

Posted by andy in Internet e società, privacy.
Tags: , , , , ,
add a comment

Il W3C (il consorzio che stabilisce gli standard del World Wide Web) ha pubblicato la prima bozza di un nuovo framework per la gestione della privacy degli utenti. Anche per l’ENISA (European Network and Information Security Agency) l’eccessivo logging online fa male alla vita delle persone.

la moderna pratica di logging ubiquo dei siti e servizi web in un vero e proprio incubo da “tracciamento di vita” online.

La crescente sensibilità ed attenzione alla privacy, soprattutto in Europa, sta portando i produttori di browser ed il W3C alla definizione delle modalità per gestire la Tracking Preference Expression, ovverosia un set di standard mediante i quali esprimere le proprie preferenze in merito alle pratiche di tracciamento da parte dei siti, e la Tracking Compliance and Scope Specification per la definizione di preferenze “Do Not Track” e le relative pratiche che i siti web dovranno (o almeno dovrebbero) adottare per rispettarle.

Di fatto, il mercato sta catalizzando degli anticorpi per proteggersi da un’eccessiva contaminazione da ‘loggers’.

D’altra parte il mercato ed i produttori, utenti e servizi on-line hanno sempre vissuto di una crescente simbiosi: l’uno non ha scopo senza l’altro.

Occorre anche aggiungere che ormai la quasi totalità dei servizi online vengono fruiti gratuitamente (limitando l’accezione al solo pagamento in valuta); ovviamente i miliardi di dollari che occorrono per sostenere lo sviluppo ed i costi delle infrastrutture che supportano tali servizi provengono dai profitti derivanti dal possesso, analisi e vendita dell’unico vero bene raccolto e gestito: l’informazione sugli utenti e sulle loro preferenze ed abitudini.

Qualsiasi pratica volta quindi a limitare la raccolta di informazioni sugli utenti porterà quindi a limitare i profitti, e quindi i budget a supporto dello sviluppo dei servizi e del mantenimento delle necessarie infrastrutture.

Ma difficilmente il mercato accetterà facilmente tagli ai propri profitti, e quindi tenderà a muoversi in modo da contrastare la potenziale riduzione dei dati che potranno essere raccolti.

Come motivare gli utenti ad acconsentire la propria profilazione?

Personalmente mi immagino una possibile evoluzione simile a quella ipotizzata per la ‘Internet a due velocità‘, ovverosia la pratica di privilegiare il traffico destinato verso siti paganti e penalizzare quello verso siti comuni (non paganti), con tutte le implicazioni del caso, tra cui le notevoli possibilità per lo sviluppo di pratiche di concorrenza sleale tra provider, a tutto di scapito dell’utente.

Mutuando quindi il concetto, vaticino una Internet con contenuti a due velocità, inteso ovviamente non nel senso della banda garantita, ma della quantità di informazione e di servizi accessibili.

In pratica succederà che chi espone i contenuti lo farà in modo condizionato: più ti lasci tracciare, più contenuti ti consento di consultare.

Tutto sommato qualcosa di analogo è già stato fatto in passato con la pubblicità, e penso che verrà ripreso a causa di tutti i filtri utilizzati nei browser: contenuti in cambio di pubblicità.

Do ut des, insomma: se vuoi contenuti a valore aggiunto, quali giochi, musica, film, notizie, etc. dovrai accettare che i tuoi contenuti vengano tracciati, e possibilmente non filtrare la pubblicità che cercano di propinarti.

Sui professionisti della gestione della sicurezza delle informazioni venerdì 18 febbraio 2011

Posted by andy in Miglioramento, pensieri.
Tags: , , , , , , ,
add a comment

Leggo sempre più spesso commenti di persone e professionisti nel settore della gestione della sicurezza delle informazioni che manifestano insoddisfazione per quanto non sia riconosciuta l’importanza del problema e dei professionisti in grado di trattarlo.

Ma qual’è, in sintesi, la situazione? Quali i problemi di fondo?

E cosa si può fare per migliorare?

Un momento di sintesi ogni tanto non fa male.
Contesto / situazione
——————————-
Direi che la discussione parte dal fatto che più o meno tutti quanti, e più o meno razionalmente, ci rendiamo conto che la sicurezza delle informazioni è sottovalutata, e così la professionalità di chi è in grado di gestirla.
Non ho informazioni dirette su quanto accade all’estero, ma dai commenti che circolano, mi pare che il problema sia più accentuato in Italia che all’estero.

Problema/i
———————————
I problemi, di fatto, son sempre i soliti: veniamo messi in competizione con il nipote dell’amico, che è capace di installare un server ‘Windows’, e che sa usare Ubuntu.
Eppoi non si può andare dal cliente a dirgli che la sua infrastruttura va bene per scolare la pasta …

Altro problema è che gli investimenti nella sicurezza delle informazioni (certificazioni personali ed aziendali) non vengono riconosciuti come tali, e quindi sono soggetti a ribasso in sede di gara; al contrario, i costi / investimenti per la sicurezza sul lavoro non possono essere soggetti a ribasso.

Dal punto di vista normativo poi la situazione è che la Telecom di turno soggiace alla medesima normativa sulla protezione delle informazioni che si applica al tornitore con due operai nel garage sottocasa (OK, dovrà forse avere qualche nulla osta, o essere presente nell’ennesimo albo che certifica ex-lege che è bravo, a prescindere da quello che accade realmente).

E sempre rimanendo in tema normativo, le leggi vengono sempre pensate per lasciare ampio spazio all’arbitrio, in modo che non sia possibile stabilire requisiti minimi, confrontare i fornitori ed il loro modo di operare, ed anche in caso di pasticci seri, una decisione definitiva la si ha dopo una quindicina d’anni, quando ormai l’appalto è concluso ed i soldi sono stati portati a casa comunque, indipendentemente dalla quantità ed entità dei guai combinati.

Cause
———————————
Penso che una delle cause di fondo del problema sia da imputare al fatto che da noi la sicurezza viene vista come un costo e non come un investimento.
Altro aspetto è che la sicurezza non si può vendere: non si può misurare in Kg, in scatole di software, in linee di codice.
In sostanza, i commerciali, che di norma sono bravi a vendere, ma non sanno cosa vendono, non sono in grado di applicare un tariffario (2 computer = 2 licenze, questo lo sanno fare, ma …)

Altro aspetto per me rilevante è che sicurezza è una seccatura: se il professionista di turno scopre qualche vulnerabilità (o più probabilmente qualche voragine) nel software o nelle infrastrutture che ho messo in piedi dal cliente, questo mette in imbarazzo me fornitore, ma anche il cliente rischia la figuraccia per avermi dato il lavoro.
In pratica alla fine è meglio nascondere la polvere sotto al tappeto, e la si chiude a tarallucci e vino.

Ed infine agli occhi del management la sicurezza esiste a priori, fino a prova contraria.
Il professionista lo pago quando ormai è troppo tardi ed è accaduto qualcosa per cui si è finiti sui giornali).
Di conseguenza la sicurezza ordinaria può essere tranquillamente gestita da chi sa amministrare un server (i.e creare utenti e fare un backup).

Ecco, qui colgo l’essenza del problema: noi italiani siamo reattivi e non proattivi; in sostanza, non guardiamo avanti.

Sulle certificazioni
—————————
C’è chi le ritiene indispensabili, chi privilegia l’esperienza e le referenze, e chi ritiene le certificazioni soltanto un minimo sindacale.
La realtà probabilmente è un insieme delle tre visioni.
Da persone, e da professionisti, tendiamo a valorizzare al massimo la persona e le sue capacità: se uno è bravo e competente, lo è anche senza un pezzo di carta appeso al muro.
Ma d’altra parte proprio noi che dobbiamo basarci su criteri oggettivi per poter fare affermazioni sullo stato della sicurezza (o non sicurezza) delle informazioni, difficilmente possiamo pretendere che i clienti ritengano qualificate le persone che gli mandiamo, ‘perché lo diciamo noi’.
La certificazione non è garanzia della validità della persona, ma garantisce un livello minimo di competenze, così come la licenza elementare garantisce che una persona sappia leggere, scrivere e far di conto, ed il liceo classico che una persona conosca latino e greco.

Associazione / lobby / cartello
——————————————–
Certamente il peso che abbiamo come singoli non è quello che potremmo avere come associazione.
Purtroppo il cartello ex-lege (leggi: l’ordine professionale che certifica per legge che siamo gli unici bravi a fare certe cose) ce lo possiamo scordare.
Si possono fare associazioni, e tante già ne esistono.
Come qualcuno ha osservato, le associazioni si riducono ad essere l’ennesima tassa da pagare, per avere un ulteriore bollino sul proprio biglietto da visita.

Il problema è che, da bravi italiani, ci aspettiamo che l’associazione faccia qualcosa per noi. Purtroppo invece la cosa deve essere vista da un altro punto di vista: cosa possiamo fare noi per l’associazione?

E in aggiunta: un’associazione si costituisce in quattro e quattr’otto: il problema non è costituirla, ma sapere il perché costituirla.
Cosa possiamo (o vogliamo) fare come associazione che non possiamo fare come singoli?
Cosa vogliamo? Sederci in modo autorevole ai tavoli di chi legifera? Stabilire i canoni per la gestione della sicurezza nelle gare e nell’esecuzione degli appalti?
O semplicemente vogliamo il nostro tariffario, come notai ed avvocati? (cosa assolutamente lecita, ma forse un po’ riduttiva della nostra professionalità).

Certamente deprime già in partenza il sapere che, anche arrivando a sedersi ai tavoli giusti, qualsiasi cosa rimane aleatoria, indefinita per anni, senza arrivare a decisioni concrete entro tempi utili, e che la politica è in grado di vanificare anche la migliore proposta tecnico-operativa.

E quindi, che fare?
—————————
C’è molto da fare.
I tavoli giusti esistono, e si può pensare di poterci arrivare presentandosi con un cappello che non sia soltanto la propria referenza personale.
Di associazioni già ne esistono (leggi: CLUSIT), per occorre chiedersi se diversificare ulteriormente o dare maggior peso ad essa.
Divide et impera, dicevano i romani; l’ennesima associazione farebbe certamente un favore agli interlocutori, che si troverebbero a doversi interfacciare con tanti attori, e a non poter/voler dire a nessuno che non è quello con cui ci si può relazionare ufficialmente.

Se abbiamo voglia di rimboccarci le maniche, di proposte concrete da fare ce ne sono.

Cloud computing e Privacy mercoledì 24 novembre 2010

Posted by andy in Information Security, Internet e società, tecnologia.
Tags: , , ,
add a comment

La tecnologia ed il mondo del business nel suo complesso si stanno muovendo verso il Cloud Computing.

Bello è bello, comodo è comodo, ma …

L’art. 37 del Codice della Privacy (D.Lgs. 196/2003) prevede che il trasferimento, anche temporaneo, di dati personali all’estero debba essere notificato al Garante, che iscrive il trattamento in un apposito registro.

L’art. 43 indica i casi di esclusione ma, in generale, questi non si applicano all’ordinaria gestione dei trattamenti aziendali.

In pratica, fornitori di servizi in modalità Cloud (ad esempio, Google Docs, ma anche tutte quelle suite di office automation disponibili on-line) non forniscono garanzie sull’ubicazione del trattamento e della conservazione dei dati che conferiamo nell’utilizzo dei servizi offerti.

Chi dovesse pensare di gestire in questo modo i propri dati del personale, la fatturazione, etc. dovrebbe verificare per tempo la conformità delle condizioni rispetto agli obblighi di legge, ricordandosi che le responsabilità sono personali e penali.

Il DARPA finanzia l’anonimato: di necessità virtù? martedì 25 maggio 2010

Posted by andy in Internet e società, tecnologia.
Tags: , , , , , ,
add a comment

Il DARPA (Defense Advanced Research Projects Agency), nota agenzia del Pentagono, vuole sviluppare nuove tecnologie in grado di bypassare le censure del Web.

Per sconfiggere la deep packet inspection è stato avviato il progetto SAFER (Safer Warfighter Communications), che si prefigge di realizzare adeguate tecnologie con caratteristiche di tipo  ‘militare’.

Ma perché andare contro i propri interessi? In fondo uno degli strumenti di cui la Difesa fa pesante uso è proprio l’intercettazione: sembrerebbe che, rendendo disponibili tecnologie di questo tipo, si possano tirare la zappa sui piedi.

Personalmente me ne sono fatto un’idea …

Che lo si voglia o no, anche la Difesa utilizza ed utilizzerà sempre di più Internet e comunque reti su cui non ha il controllo.

Questo significa che un qualunque (ISP) privato potrà filtrare anche i contenuti della Difesa (scientemente o meno).

Un altro aspetto è che se la Difesa ha la necessità di ‘colloquiare’ via Internet con i propri ‘osservatori’ (leggasi: ‘spie’) in paesi ove viene fatto un pesante controllo e filtraggio del traffico, i modi sono soltanto due: o costosi canali riservati, o Internet, utilizzando canali non filtrabili.

E per quanto riguarda l’utilizzo da parte di altri delle medesime tecnologie, la Difesa dispone di una potenza di calcolo molto maggiore degli avversari, ed inoltre è molto più semplice andarsi a prendere (intercettazioni ambientali) le informazioni alla fonte (mittente e destinatario), piuttosto che tracciare e decrittare il traffico coinvolgendo, in modo più o meno legale, tutti i provider che stanno in mezzo.

i principali problemi nel provvedimento del Garante per gli AdS lunedì 18 maggio 2009

Posted by andy in privacy, tecnologia.
Tags: , , , , , ,
add a comment

Con riferimento al provvedimento del Garante 27/11/2008 – Misure e accorgimenti relativamente alle attribuzioni delle funzioni di amministratore di sistema, mi sono trovato ad affrontare, come tanti, il problema.

Ho letto molti pareri, ma ritengo le che problematiche principali siano relativamente poche.

In sintesi, i problemi di fondo che devono, a parer mio, essere affrontati e sviscerati, sono tre:

  1. chiarire quali siano lo scopo e le modalità minime per gestire appropriatamente i log di sistema;
  2. chiarire quali siano le responsabilità ed i requisiti minimi per gli amministratori di sistema;
  3. proporzionare i requisiti alle caratteristiche de trattamenti effettuati.

Scopo e Modalità
In merito al punto 1. direi che lo scopo è evidentemente quello di impedire a chicchessia di eseguire sui dati qualsiasi tipo di operazione senza che questa possa essergli ricondotta.
In questo senso, non deve essere possibile ad alcuno accedere ai dati con credenziali non proprie, o effettuare operazioni sui profili di altri utenti per poter acquisire, anche temporaneamente, il loro profilo, per poter effettuare operazioni sui dati, senza che queste vengano registrate.
Ovviamente, l’amministratore di sistema non deve in nessun modo poter accedere e modificare i log al fine di far scomparire tracce e prove delle proprie azioni.
I meccanismi esistono, ma la loro descrizione esula dallo scopo di questa mia mail.

Altro aspetto fondamentale che dovrebbe essere sviscerato riguarda come garantire l’autenticità dei log registrati su supporto non riscrivibile.
In effetti, il fatto che un dato sia memorizzato su un supporto non riscrivibile, non ne garantisce l’originalità né l’autenticità.
A titolo di esempio, è possibile prendere un supporto su cui siano registrati i log, trasferirli su un sistema, modificarli, e memorizzarli su un nuovo supporto non riscrivibile, da sostituire al primo.

Occorre evidentemente che il contenuto del supporto sia firmato digitalmente, con data certa.

Responsabilità
L’amministratore di sistema viene caricato di pesanti responsabilità.
Mentre un ADS di grandi società è sicuramente selezionato sulla base della propria professionalità, ed è certamente conscio dell’entità dei problemi che si trova ad affrontare e gestire, la stragrande maggioranza di società non può permettersi simili professionisti: l’amministrazione di sistema è spesso un’attività fai-da-te, o viene girata a giovani inesperti, spesso con contratti temporanei.
Non è assolutamente accettabile che vengano scaricate su figure di questo tipo responsabilità che sono, di fatto, dell’azienda.

Di fatto, occorre che il Garante definisca quali sono i requisiti minimi di professionalità da richiedere all’ADS, e di come il costo di questa professionalità possa essere relazionata alle disponibilità finanziare dell’azienda.

Proporzionalità dei Requisiti
Come si diceva poc’anzi, nella stragrande maggioranza dei casi molto probabilmente l’azienda non è in grado di gestire, pur con tutta la buona volontà, il problema posto dal Garante.
In sostanza, alle aziende medio-piccole non occorrono prescrizioni teoriche, ma indicazioni pratiche.
Quello che potrebbe fare il Garante, con il CNIPA, è di predisporre le necessarie indicazioni (o meglio ancora, gli strumenti software) tali che, se appropriatamente adottati, possano mettere in condizioni le aziende di rispettare la legge senza dover dedicare una non indifferente fetta del proprio bilancio ad avvocati e consulenti esterni.

In questo senso risulta tuttavia fondamentale definire bene quali siano le discriminanti.
Un azienda, anche molto piccola in termini di persone, che tuttavia non utilizzi l’informatica come puro mezzo accessorio alle attività del proprio core business, non potrà limitarsi ad implementare criteri minimi di sicurezza.

Esistono sicuramente altri aspetti rilevanti, ma ritengo che in generale ciò che dovrebbe essere fatto da parte del Garante non sia semplicemente il fornire norme, ma indicazioni pratiche e strumenti facilmente calabili nella realtà delle aziende.
Il CNIPA potrebbe essere e fornire un valido aiuto in questo senso.

la disconnessione degli utenti: un’arma a doppio taglio giovedì 23 aprile 2009

Posted by andy in Internet e società.
Tags: , , , , , ,
add a comment

La Nuova Zelanda vuole l’implementazione della dottrina Sarkozy, ma si trova di fronte a nuovi problemi, ed ora temporeggia …

Cedere ad interessi privati una prerogativa dello stato può non pagare, alla lunga …

La disconnessione può essere un buon deterrente, ma può ritorcersi contro lo stato.

Dato il fatto che tutto lo scambio delle comunicazioni si sta convertendo dal cartaceo / televisivo all’elettronico / digitale, se lo stato consente la disconnessione di un utente, deve anche strutturarsi per dargli accesso in ogni caso a quanto gli è costituzionalmente dovuto: informazione, corrispondenza e comunicazioni.

Questo significa che sarà lo stato stesso che dovrà mantenere vivi servizi alternativi (e sempre più costosi) per assicurare al cittadino i suoi diritti.

Meditate, gente, meditate …

Fatta la legge, calato il traffico? martedì 7 aprile 2009

Posted by andy in Internet e società, privacy.
Tags: , ,
add a comment

La Svezia ha recepito fra le polemiche la direttiva europea IPRED.

Dal primo di aprile potrebbe bastare un indirizzo IP all’industria dei contenuti, potrebbe bastare una richiesta all’autorità giudiziaria per ottenere l’ordinanza con cui chiedere al provider di identificare l’abbonato. Rastrellamenti di dati nei circuiti del file sharing potrebbero sfociare in una gragnola di denunce o di richieste di risarcimento.

Sembra che il traffico rilevato dai fornitori di connettività sia sceso del 33% nel primo giorno di applicazione della legge.

Fatta la legge, calato il traffico, si potrebbe dire.

Ma la prova del nove sarà l’aumento degli incassi dell’industria dei contenuti: o aumenteranno, e questa sarà la riprova che questi galantuomini avevano ragione, oppure il loro fatturato rimarrà stazionario o in calo, con le seguenti due possibilità:
1) non dichiarano tutte le entrate, o
2) la gente comunque non avrà da spendere le montagne di soldi che questi signori hanno sempre ipotizzato esistere.

Staremo a vedere …

Esiste naturalmente la quarta delle tre possibilità, ovverosia che le cose non cambieranno, ed il P2P reagirà con appropriati anticorpi a questa intrusione privata nella privacy dei cittadini.

In ogni caso la cosa più interessante da verificare è se l’aver venduto la privacy dei cittadini all’industria dei contenuti porterà benefici o meno, e se si, a chi.

E quali danni.

Conseguenze della dottrina Sarkozy … mercoledì 25 febbraio 2009

Posted by andy in Futurologia, Internet e società, Libertà dell'informazione, privacy, tecnologia.
Tags: , , , , , ,
add a comment

Oltre alla Francia, anche altri paesi stanno prendendo seriamente in considerazione la disconnessione da Internet degli utenti che si macchiassero del gravissimo reato di mettersi contro le major dell’audio e del video.

Non intendo in questa sede fare considerazioni sul merito di come sia attualmente gestito il copyright, dell’incostituzionalità di consentire agli ISP di arrogarsi il diritto di analizzare le comunicazioni degli utenti, e dell’incostituzionalità di consentire agli ISP di privare i cittandini del diritto all’informazione ed alla corrispondenza.

Mi interessa invece esaminare come una tale scelta possa rivelarsi per gli stati un’arma a doppio taglio.

Dato il fatto che tutto lo scambio delle comunicazioni si sta convertendo sempre più, ed in modo irreversibile, dal cartaceo / televisivo all’elettronico / digitale, se lo stato consente la disconnessione da Internet di un utente, deve anche strutturarsi per fargli pervenire in ogni caso quanto gli è dovuto: informazione, corrispondenza e comunicazioni.

Ciò significa mantenere in piedi servizi di corrispondenza cartacea, raccomandate, stampa e televisione di tipo ‘tradizionale’ (non veicolata attraverso Internet), sportelli tradizionali per presentare pratiche e ritirare certificati, ed accettarne i costi e le implicazioni.

Di fatto, per quei paesi sì incoscienti da fare una scelta tanto azzardata, le controindicazioni che ne deriverebbero potrebbero portarle presto a tornare sui propri passi.

Sequestro dei siti e diffamazione martedì 8 luglio 2008

Posted by andy in Miglioramento.
Tags: , , , ,
add a comment

Mi capita di leggere (sempre più frequentemente, devo dire) di siti che vengono oscurati per sequestro preventivo da parte della Guardia di Finanza, dalla Polizia Postale, etc., sostituendo alla home page una pagina che riporta gli estremi degli articoli di legge violati.

Tutto bene se il reato è stato effettivamente commesso, ma i sequestri preventivi, soprattutto se pooi si dimostrano infondati, causano un danno all’immagine ed al business dell’azienda a cui è stato sequestrato il sito.

Mi chiedo a questo punto se non potrebbe essere molto più fair (non mi viene un appropriato termine italiano, che dovrebbe implicare i concetti di correttezza, educazione, cortesia, …), il consentire all’azienda di cui viene sottoposto a sequestro il sito di pubblicare una pagina di cortesia che riporta le tipiche diciture di sito in manutenzione, o similari?

In caso di accertamento del reato, la pagina potrebbe (dovrebbe) essere sostituita con quella di avviso già attualmente utilizzata; in caso contrario verrebbe dato il benestare alla riapertura del sito.

In questo modo il massimo danno di immagine subito dall’azienda sarebbe quello legato all’indisponibilità della propria immagine e dei propri servizi su Internet (può non essere poco, ma è sicuramente molto inferiore al danno derivante dall’essere marchiata come un’azienda sottoposta ad indagini).

È un po’ quello che accade oggi con la pubblicazione delle intercettazioni telefoniche: prima vengono divulgate, creando un’immagine negativa intorno alle persone intercettate, per non essere poi più in grado di rimediare al danno compiuto nel caso gli interessati vengano prosciolti da ogni accusa.

Si crea un danno senza essere poin in grado di rimediarvi.