#DicoLaMiaSu: Ransomware WannaCry: alcune consdierazioni.

WannaCry

Oviamente fuori dal coro!!


Continuo a leggere in giro, a proposito del famigerato WannaCry, di attacchi… forse chi fa notizie dovrebbe darsi una ripassata al vocabolario; a me il vocabolario da questa definizione di attacco:


attacco s. m. (der. di attaccare) (pl. -chi). — (…) 3. Assalto con forze militari, azione offensiva svolta decisamente, con impeto e grande impiego di forze allo scopo di sopraffare e disorganizzare il nemico: preparare un a.; (…)


La chiave sta nel di sopraffare un nemico. Ora, salvo che chi abbia avviato questa campagna di infezione, non ce l’abbia con il mondo intero, allora la definizione di attacco non torna. Avrebbe avuto senso se avesse colpito un solo specifico paese, oppure un solo e specifico settore, ma così non è stato. L’infezione ha colpito di tutto e di tutti, quindi di parlare, o meglio di straparlare, di attacco direi che non sia proprio il caso.

L’unico motivo che, io, vedo in questa campagna di infezione è quello solito di chi avvia questo genere di cose: i soldi. Sebbene a giudicare dai conti fatti, dai soliti analisti, pare non gliene siano arrivati poi così tanti, almeno rispetto al numero di macchine infettate.

Poi, il fatto che questa specifica infezione, avesse due peculiarità mi fa po’ pensare:

  • un dominio che faccia da killer switch (interruttore di spegnimento);
  • che abbia usato una falla chiusa, sebbene da poco, da Microsoft con una patch addirittura estesa a sistemi non più supportati come Windows XP.

Per il primo punto, in soldoni per chi non sia del mestiere, praticamente il virus, una volta avviato, verifica la presenza di un dominio specifico attivo, per capirci qualcosa come killerswitch.com, se esiste allora si ferma e non combina danni, se non lo trova allora prosegue la sua azione iniziando a criptare tutti i file previsti.

Per il secondo punto, l’untore, ha ben pensato di usare una vulnerabilità corretta da poco, parliamo di circa metà marzo, giocando sul fatto che molte aziende ed ancora più privati, non sono avvezzi ad applicare gli aggiornamenti di sicurezza in Windows.

Questa brutta abitudine, facilmente aggirabile con, almeno, l’attivazione automatica dell’installazione degli aggiornamenti di sicurezza, è il motivo per cui questo virus si sia propagato così velocemente e così a fondo: se l’aggiornamento, proposto da Microsoft, fosse stato applicato, il virus non avrebbe potuto infettare tutti i computer in questione.

C’è da considerare, poi, come si è avviata l’infezione: chi è stato e come? Nel solito modo: un impiegato distratto, oppure troppo zelante, ha deciso di cliccare su un link, apparentemente valido, all’interno di una mail, altrettanto apparentemente valida, e voilà il danno è stato fatto.

Non è una novità: la stragrande maggioranza degli attacchi ransomware iniziano così: un utente distratto clicca qualcosa che non avrebbe dovuto.

E questo è un bel problema da risolvere. Come? L’unico modo è la formazione del personale, mi riferisco alle infezioni aziendali, comprese le strutture delle PA e settori come la sanità, vedi numero infezioni, in questo caso nel Regno Unito in solo questo comparto.

So che costa tempo, e di conseguenza denaro, ma se non si addestra l’impiegato di turno a realizzare quando una mail, o un link sono a rischio, il problema si ripeterà all’infinito.

Certo delle volte uno si domanda perché diavolo un impegnato dovrebbe aprire una mail in arrivo dal Giappone quando i clienti sono tutti solo della propria regione? Oppure il solito impiegato che non si allarma quando arriva una mail, apparentemente da una banca abituale, con un testo scritto in maniera così pedestre, che nemmeno un bimbo della quinta elementare la comporrebbe in quel modo, indice che chi ha compilato la mail si è appoggiato a sistemi di traduzione automatica, di solito.

Insomma, a volte basterebbe davvero poco per limitare i danni, eppure anche quel poco non viene fatto perché l’impiegato non è stato formato,nemmeno sulle conseguenze di un simile attacco; mi riferisco a fermi macchina per la disinfezione; quando possibile il tempo per il recupero dei dati dai backup, quando invece non possibile, perché non esiste in azienda una politica di backup, il lavoro perso da ricostruire.

Insomma, resto dell’idea che la formazione del personale in prima linea, ossia l’impiegato che apre le mail tutti i giorni alla sua postazione di lavoro, sia una spesa ben giustificata. Se un titolare di azienda la vede diversamente allora sarà causa del suo male e non potrà nemmeno prendersela con l’impiegato che ha dato il via all’infezione per essere stato troppo zelante.

Esiste poi un altro problema collegato a queste situazioni: la mancanza di copie di recupero, backup, pressoché nella maggioranza delle PMI.

Il backup per la Proprietà, sino alla prima volta che ci incappa, è solo una perdita di tempo e di conseguenza di denaro. Ora, al di la che sono obbligatori per le aziende, perché si deve arrivare al punto di perdere il lavoro di svariati giorni, prima di arrivare a capire che un backup ci salverebbe quanto meno il lavoro già fatto?

E questo non vale solo per le aziende, ma anche i privati hanno le proprie cose da non perdere: le proprie benedette collezioni di foto, i documenti prodotti per le più svariate necessità, i video importantissimi delle vacanze di 5 anni fa.

Molti pensano che avere i dati in sincronia con servizi come Dropbox, GoogleDrive, OneDrive o Mega sia una protezione sufficiente. Invece sono proprio questi servizi che possono crearvi dei grossi grattacapi.

Faccio un esempio:

  1. state scrivendo una relazione tecnica, un romanzo, un diario personale. Chiaramente creato nella maggiornaza dei casi con Word.
  2. Vi beccate il virus che infetta i vostri dati. Essendo in sincronia con uno di questi servizi il virus viene replicato anche al servizio remoto immediatamente.
  3. Formattate il computer, lo pulite per bene, reinstallate le vostre tonnellate di programmi.
  4. Ricollegate il vostro servizio di sincronia… vi ricordate che il virus aveva infettato anche quelli? Ecco appena ricollegate il vostro servizio di sincronia siete belli che infettati di nuovo !!

Vi rendete conto che se l’utente non capisce questo meccanismo, rischia di reinstallare il pc un certo numero di volte, di fila, prima di capire che stia succedendo ?

Un backup è diverso da un servizio di sincronia diretto; e va gestito in modo diverso e corretto, altrimenti e come se non lo faceste !!

Che ne pensate di questa analisi? Secondo me ha una sua logica ed per questo che non smetterò mai di ripetere queste due cose:

  1. Formazione, formazione e formazione (questo per le aziende)
  2. imparare la differenze tra servizio di sincronia (dropbox) e di backup (san google in questo può essere molto di aiuto).

Meditate gente, meditate!!

#DicoLaMiaSu: Protezione privacy.


Sicurezza ad uso personale nel settore informatico: si può!!


Leggo continuamente di gente che si lamenta del fatto che troppo spesso la propria privacy è a rischio; ma quando chiedi loro cosa fanno per proteggersi da questa situazione mi sento rispondere che non fanno nulla perché per potersi difendere bisogna spendere soldi e non credono ne valga la pena.

Niente di più errato, in entrambi i casi:

  1. Ci fosse da spenderci dei soldi, comunque se temi che la tua privacy sia lesa, varrebbe la pena spenderli;
  2. non serve spenderci nemmeno un centesimo: per uso privato, ci sono mezzi, totalmente gratuiti, per poter affrontare e risolvere il problema e proteggersi anche a discreti livelli.
  3. la pigrizia è il nemico numero uno della protezione della nostra privacy, lo dico, e lo ripeto, da sempre e non mi stuferò mai di ripeterlo!!

Ovviamente a quel punto iniziano a lamentarsi del fatto che per Windows tocca craccare, oppure per Mac tocca pagare oppure ancora che per Linux tocca essere ingeneri capi della Nasa per poterlo fare.

Nulla di più falso: propio per la questione sicurezza uso sempre attrezzi che funzionino sul maggior numero di piattaforme possibili quando devo usarli proprio perché per il mio lavoro mi trovo spesso a dover cambiare sistema operativo e quindi mi troverei nei guai se l’applicazione che uso per proteggermi funzionasse in Linux ma non in Windows oppure funzionasse in Windows ma non in Mac.

Spesso San Google risarebbe di aiuto in questo campo, ma siete così pigri che non lo invocate nemmeno 🙂 Per inciso usare google.com, come motore di ricerca, è uno dei migliori modi per esporre la nostra privacy a tutto il mondo, ma vedremo anche questo discorso più avanti.

Innanzi tutto dobbiamo decidere cosa vogliamo proteggere: perché possiamo proteggere alcune cose oppure tutte quindi uno schema buttato al volo può esserci utile per capire cosa dobbiamo proteggere e quindi dove intervenire!

Ecco una lista di base che può essere utile per iniziare:

  1. Documenti particolari;
  2. documenti in entrata;
  3. l’intero nostra area utente;
  4. l’intero disco;
  5. la posta elettronica;
  6. il nostro viaggiare in internet (inteso come leggere pagine internet)
  7. il nostro esporci in internet (fare acquisti via internet);
  8. le nostre comunicazioni immediate da pc (Whatsapp e simili);

Come potete vedere la lista può essere più o meno lunga, e questa fidatevi non è una delle più esaustive!!!)

Con calma e pazienza si può, in ogni caso, proteggere tutte le aree elencate sopra. Più in preciso vi do una lista di applicazioni che possono essere utilizzate nello specifico caso:

  1. VeraCrypt edere del forse più noto TrueCrypt. Questa applicazione vi permette di creare dei contenitori che permettono di tenere al loro interno qualsiasi tipo di documento rendendolo illeggibile e chi non avrà la password che abbiamo impostato.
  2. Come sopra: una volta creato il contenitore, sufficientemente largo, c trasferiamo le cartelle di default come Documenti, Immagini, Musica, Scaricati e così via. Questo vale in particolare per Windows. Mac e Linux hanno anche sistemi maggiormente integrati con il sistema operativo, ma andrebbero visti uno per uno. L’uso di VeraCrypt direi che è una soluzione valida per tutti e tre i sistemi operativi, quindi viene mantenuta la promessa di un programma funzionante su tutti e tre i diversi sitemi operativi.
  3. Qui, purtroppo o per fortuna, dipende da che angolazione guardiamo la faccenda, non esiste una applicazione univoca per tutti e tre i sistemi. Potreste con alcuni artifizi usare anche qui VeraCrypt, ma serve una certa conoscenza dell’ambiente operativo e diventa più tecnico.
  4. Soluzione universale: GPG + Client di posta locale, che può essere Mozilla Thunderbird se anche per leggere la posta volete un client che funzioni su tutte e tre le piattaforme. Chiaramente funzionerà solo se anche i vostri corrispondenti lo useranno, altrimenti avrebbe poco senso mandare una mail crittografata, se dall’altra parte non hanno i mezzi per poterla leggere. Un’altra soluzione, che invece non richiede alcuna installazione, e l’uso di una servizio di mail crittografia come ProtonMail. Funziona come con GPG ma solo via web, almeno per ora. E potrete mandare mail protette da password, che dovrete trovare il modo di comunicare al nostro corrispondente se volete che la legga.La differenza fondamentale tra GPG+Client di posta e servizi come ProtonMail sta nel fatto che nel primo caso potrete avere diverse firme elettroniche per lo stesso utente. Mentre con servizi tipo ProtonMail dovrete creare tante caselle quante sono le firme elettroniche che vi serviranno.
  5. Il trucco sta nell’usare, fin dove possibile, sempre e solo indirizzi che prevedano la criptazione nel trasferire dati da e verso il vostro browser. Questo si ottiene solo utilizzando servizi che supportino la chiamata via https e non http. La s finale indica che le comunicazioni tra voi ed il vostro sito di destinazione saranno crittografate e quindi non leggibili da eventuali terzi curiosi che tentino di leggere i vostri dati mentre viaggiano tra voi ed il vostro sito e viceversa.
  6. Usare solo servizi che prevedano quello che si chiamo ‘conversazioni protette’. Praticamente è un po’ come https per i browser: i dati tra voi ed il vostro corrispondente saranno crittografati e nessuno potrà leggerli, anche intercettasse le vostre trasmissioni. Esistono alcune applicazioni che prevedono questo tipo di comunicazioni tipo Telegram, WhatsAppSignal; come vedete le opzioni non mancano, basta decidere cosa usare.

Come vedete, per ogni problema di privacy e sicurezza esiste una soluzione gratuita e multi piattaforma. Quindi alla fin fine, come scrivevo all’inizio, la mancata protezione dei vostri dati è solo una vostra responsabilità.

Vincete la pigrizia e impedite a terzi di mettere il naso nelle vostre faccende private, anche se non avete nulla da nascondere, resta il fatto che è un vostro sacro santo diritto che i fatti vostri restino vostri !!

#DicoLaMiaSu: David VS Goliath

Davide-VS-Goliath

Quando l’utente si fa quello che gli serve perché chi gestisce il servizio fa finta di non sentirci!!


David VS Goliath


Leggevo questo post oggi pomeriggio, mentre aspettavo che mi terminassero la revisione dello scooter. Il post è del, sempre vulcanico, Matejaklaric.

Già in passato abbiamo avuto scambi di idee, corrispondenti per altro, sulla nuova gestione di Medium.com ed entrambi, come tanti altri, ci troviamo d’accordo sul fatto che questo sistema dei 5$ non funzionerà. In uno dei suoi post consigliava, come metodo alternativo, la possibilità di aggiungere un pulsante Donazione in coda ai post pubblicati, così che chi si sentiva portato a voler dare qualcosa a qualcuno per quello che aveva scritto, fosse libero di farlo.

Sappiamo tutti chi sia Ev Williams, credo sappiate pure tutti che molti, titolati e non, utenti storici e non, hanno provato ad intavolare un confronto con il suddetto Ev, ma non ho mai, e dico mai, visto una risposta che fosse una, a qualcuno che ha scritto un post contro, o quanto meno impostato in modo discussivo, sulla sua decisione.

Il che fa strano, visto che di Medium.com, proprio Ev disse, e ripete di continuo, che è nato come punto di confronto tra gente che scrive. Sarà, ma lui di confronti, pare, non accettarne alcuno.

Ora, salvo non abbia risposto a qualcuno sfruttando il metodo dei private messages, il soggetto va saltato via a piedi pari; ed è quello che ha fatto il nostro bravo Matejaklaric creando e, spiegando come farlo, un pulsante per permettere a chi legge di fare una offerta. Certo ci son delle limitazioni perché se non avete un account professionale di Paypal, il meccanismo non funziona, ma mi è piaciuto in particolare il metodo «tiriamoci su le maniche e facciamocelo da solo!» che Matejaklaric ha messo in pratica.

Dovremmo farlo in più persone. Chi conosce altri metodi di pagamento dovrebbe creare altri ‘pulsanti’ per poterli utilizzare mettendoli a disposizione come ha fatto Matejaklaric in prima persona. Credo anche il sistema BitCoin sarebbe ben accetto. In realtà qualunque metodo permetta di far arrivare un contributo, allo scrittore, credo sia ben accetto.

L’unica cosa che mi fa un po’ timore sarà la reazione di mister Ev: in passato, con un’altra utente, ha già dimostrato di poter essere particolarmente vendicativo; non vorrei che il nostro buon Mateja Klaric dovesse pagare un conto salato per qualcosa che sarebbe utile a tutti !!

P.S. Il post originale di Mateja Klaric è stato salvato in un posto in cui Ev Williams non potrà mai mettere mano eh eh eh.

#DicoLaMiaSu: Il potere di veto nell’ONU

Ha ancora senso il veto nelle riunioni del Consiglio di Sicurezza dell’ONU ai nostri giorni?

Dopo il veto imposto ieri sera dalla Russia, sulle azioni da intraprendere, contro chi ha usato armi chimiche, da parte del Consiglio di Sicurezza delle Nazioni Unite, mi domando se abbia ancora senso, ai nostri giorni, che esista qualcuno con questo potere in queste riunioni.

Questo potere ha virtualmente la possibilità di rendere inutile l’esistenza stessa dell’assemblea. Mi domando che gli diceva alla testa a chi ha proposto questa faccenda quando hanno costituito l’ONU quel fatidico 26 giugno 1945.

Praticamente nell’atto costitutivo hanno inserito questo paragrafo:

«Le decisioni del Consiglio di Sicurezza sono approvate se ottengono il voto favorevole della maggioranza dei componenti, compreso quello di tutti i membri permanenti. Ogni membro permanente ha il diritto di veto, cioè la possibilità di impedire l’adozione di un provvedimento, anche contro il parere degli altri 14 membri. I 5 membri permanenti hanno dunque un ruolo dominante. In caso di mancato rispetto delle deliberazioni, il Consiglio di Sicurezza può decidere di sospendere le relazioni diplomatiche, e può applicare sanzioni economiche (tra cui i cosiddetti embarghi).”

Non videro al di la del loro naso!! Non si resero conto che visto che in lista, tra i cinque membri permanenti, c’era la Russia, questa cosa del veto avrebbe creato problemi in un futuro prossimo o remoto? E si che non serviva un veggente con la sua palla di cristallo per prevedere i guai che un simile potere, dato in mano a chicchessia, avrebbe innescato prima o poi. E quest’ultima è solo una di una lunga serie di problemi che il veto ha generato negli ultimi 70 anni: basti pensare che i membri permanenti dell’assemblea, hanno fatto uso del diritto di veto per ben 279 volte dalla costituzione dell’ONU!!

L’idea del veto si deve in particolare a 4 signori, ossia: Winston Churchill, Franklin Delano Roosevelt, Harry Truman e Iosif Stalin, avendo vinto la guerra vollero quel quid in più rispetto agli altri membri, ma davvero nel 2017 si può ancora accettare che uno di questi membri possa invalidare qualunque procedura il Consiglio di Sicurezza decida di metter e in atto, per rispettare gli articoli 1 e 2 dello statuto ?

Ora mi domando: se il popolo rappresentato dall’ONU volesse proporre una modifica allo statuto stesso, a chi dovrebbe rivolgersi? E soprattutto, il diritto di veto varrebbe anche in caso di richiesta di abolizione di questo, medievale, diritto? Perché se si, allora siamo in un circuito chiuso, un cane che si morde la coda a tempo indeterminato!!

Bella fregatura !

Voi che ne pensate ?

#DicoLaMiaSu: I governi insistono a chiedere i dati codificati degli IM !!

Come sempre, quando accadono certi fatti come l’attacco di Londra, i governi tornano alla carica pretendendo l’accesso alle chat crittografate degli IM.
Non hanno ancora capito che non possono riuscirci ?

Chiavi-Assimetriche

UK torna a chiedere l’accesso ai dati protetti delle chat di applicazioni come WhatsApp, Telegram e simili.

Come era da previsioni, dopo che è girata la voce, poi nessuno, che io abbia letto, l’ha confermata, che l’attentatore di Londra abbia usato WhatsApp per organizzare l’attacco, il governo inglese torna alla carica con le richieste di poter accedere alle chat criptate dei vari programmi di IM come WhatsApp, Telegram etc etc.

In passato la scusa erano i pedofili, adesso la scusa sono i terroristi, cambia periodo, cambiano i soggetti, ma le richieste son sempre le stesse.

Ma d’altronde il Regno Unito ha una tradizione piuttosto forte sulla questione intercettazioni di massa. Sembra quasi che tra loro e gli Americani, ci sia un cordone ombelicale che li tiene congiunti, in queste faccende di intercettazioni di massa: non importa quale sia il motivo; l’importante é poter controllare tutti indiscriminatamente e con il favore , almeno apparente, della legge.

Al di la della questione tecnica, che renderebbe apparentemente accontentare le richieste del Regno Unito, non riesco a capacitarmi del fatto che una volta chiarito, a fonte di prove inoppugnabili, di vari giornalisti, sia cartacei che informatici, continuino a vuole far passare come bene per il cittadino questa mania del controllo totale. È vero, rilanciando il discorso ogni volta che accade qualcosa inerente la pedofilia o il terrorismo, giocano sui sentimenti straziati o indignati del momento, ma dovrebbero aver capito, ormai, che la gente, passata l’onda emozionale, non ci casca più in quelle motivazioni di facciata, per le quali fanno queste assurde richieste.

Sembrano poi ignorare che esiste una galassia di programmi IM corredati di cifratura, per cui come pensando di poter imporre a tutti i programmatori, di questa micro galassia, di cedere alle loro richieste??? Tra le altre cose, e per fortuna, non tutti usano lo stesso sistema per garantire la codifica delle comunicazioni, per cui non posson nemmeno sperare di trovare una soluzione comune a tutti questi programmi che, una volta applicata, risolva loro il problema.

Salvo una backdoor chiaramente, ma chiunque crei programmi di IM che pretenda di vendere, o vedere installata la propria applicazione in massa, non può correre il rischio di essere sputtanati dal primo specializzato che arriva, dimostrando che hai una backdoor attiva sul tuo programma. Proprio perché ne esistono tanti, di IM, uno ci mette meno di 30 secondi per disinstallare la tua con la backdoor ed installarsene un altro !!

Insomma i governi devono mettersi in testa che su questa cosa non la spunteranno mai. Avevano qualche chance quando WhatsApp non aveva attivo ancora la possibilità di codificare i propri dati: essendo una delle poche che ancora non aveva attivato questa particolarità gli altri programmi IM potevano correre il rischio di vedersi inibire l’accesso da questo o quel paese, con la scusa della protezione del libero cittadino; ma ora che pure WhatsApp si è unita alla comunità di coloro che proteggono la privacy dei propri utenti, i vari governi, non hanno più punti, su cui fare leva, verso produttori come Telegram, Signal o altri.

Non che WhatsApp l’abbia fatto per la tutela del loro paro clienti, l’ha fatto perché si è accorta che altri IM, che prevedevano la codifica delle conversazioni, gli stavano portando via clienti. E sappiamo tutti come ragionano le aziende quando si vedono rodere il plafond di clientela: «Risolviamo il problema in qualche modo!!» sicuramente è stato l’urlo di battaglia lanciato da qualche amministratore delegato di WhatsApp!!

E l’unico modo per poter provvedere a quell’ordine era fornire un servizio, quanto meno sicuro almeno come gli altri IM in circolazione che si stavano rodendo il loro pacchetto clienti.

E di conseguenza squillino le trombe, mandate corrieri ai quattro angoli del mondo e diffondente la notizia: «WhatsApp rende disponibile la codifica delle conversazioni da questa data!!».

E questa notizia ha tagliato definitivamente le gambe a quei governi che minacciavano il blocco dell’uso di WhatsApp in questo o quel paese. Bloccare l’accesso a questa o quella applicazione perché permetteva di rendere non leggibili le conversazioni a terzi, corrispondeva a denunciare il vero scopo dei governi interessati che aveva portato al blocco.

Se vi ricordare succedeva piuttosto spesso con Telegram quando era ancora l’unica a proporre le chat codificate e succedeva in Brasile: paese noto per la sua deriva democratica. Da quando anche WhatsApp si è aggiunta al pari delle applicazioni che permettono la codifica, guarda caso, in Brasile non sono più occorsi blocchi da parte dello stato all’accesso a Telegram o altri IM: tanto ormai offrono tutti la codifica delle conversazioni per cui quel metodo non aveva più senso.

Quello che mi lascia più perplesso, al di la dei governi che tentano di mettere il naso nelle nostre chiacchierate con gli amici, è il fatto che poi lo stesso popolo che richiede servizi di cifratura per le loro chiacchierate, non facciano assolutamente nulla per proteggere loro altre fonti di informazioni, come la posta elettronica o i propri siti, personali o aziendali che siano.

Contrariamente a quanto si pensa l’arrivo delle app di IM non ha reso l’uso della posta elettronica meno intenso, tutt’altro. Specialmente a livello di lavoro, il volume della posta elettronica non ha subito alcuna flessione. Eppure sappiamo che quasi tutti i governi accedono alle nostre email leggendosi quello che vogliono quando vogliono. Come esiste la codifica delle conversazioni esistono anche metodi per proteggere anche le nostre email. Solo che il popolo è pigro per cui continua a farsi legger le email, ma vanta di avere il sistema per chattare più sicuro che esista al momento.

Sull’onda delle richieste di governi come quello del Regno Unito, nascono poi delle aziende che offrono email sicure con codifica, a patto che l’altro utente usi lo stesso servizio, o accetti di ricevere una mail con un allegato ed una password per leggere l’allegato.

Quello che mi fa sorridere è che queste aziende, per esempio la ProtonMailnon fanno altro che fare quello che l’utente potrebbe fare da solo: ossia usare strumenti come GPG per proteggere la propria privacy anche nella corrispondenza elettronica. Ti fornisce una chiave, e tu la usi in maniera trasparente per mandare mail codificate alla tua controparte. Cosa che potresti fare da solo e con qualunque provider, per assurdo con la peggiore in assoluto, in fatto di violazione, delle tue mail: ossia il servizio posta di Google: gmail.

Però piuttosto che mettesti li a studiare 30 minuti come si genera una chiave come usarla, preferiamo dare mandato, in modo silente, a qualcun altro che lo faccia per noi. Risultato? Vuoi una casella con accesso codificato che abbia un minimo di spazio per tenere tutta la tua mail di lavoro?

PAGA. Quando potresti farlo gratuitamente se solo ti prendessi la briga di studiare 30 minuti il metodo usato dalla stessa ProtonMail.

«Chi è causa del suo mal, pianga se stesso» cita un vecchio adagio, ed in questo caso mai fu più vero!! Pagate la ProtonMail, Safe-Net od altre aziende che hanno capito che siete disposti a pagare, piuttosto che imparare a questo punto sono solo affari vostri !!

Io continuo a farlo per conto mio, ed a titolo gratuito, però mi spiace vedere buttare via i soldi, indipendentemente che siano di una azienda o di un privato.

#DicoLaMiaSu: Medium ed il giochino dei 5$

È già stato detto, quasi, tutto il dicibile, in questi pochi giorni dall’avvio delle sottoscrizioni per Medium, ed ho già ampiamente definito la mia posizione, almeno credo e spero, rispondendo e commentando post di ben più illustri e vetusti, nel senso di tempo di frequentazione di Medium non di età, dello scrivente.

Però, però, però… anch’io, a questo punto, mi permetto di dire la mia, che forse, a mente fredda, e dopo aver letto decine di post di persone pro e persone contro, credo sia un idea forse un po’ diversa da molte di quelle lette.

Vi risparmio l’ira funesta del pelide Achille, che è stata la mia prima reazione a caldo, mi ero detto: «finalmente un ambiente che nasce pro cultura, se le cose stanno così potranno solo migliorare

Era meglio se stavo zitto!!

Scherzi a parte, leggevo poc’anzi l’intestazione del profilo di mister EV, ossia

     CEO of Medium, co-founder of Twitter, father of two. I like ideas, friends, and good soup. Made in Nebr

Avete notato la parte che in grasseto? Co-founder of Twitter, ora non so quanti di voi seguano le faccende di Twitter, al di la di usarlo intendo, ma guarda caso in stessa data della questione dei 5$ qui su Medium leggasi in giro per internet questa strana, se non altro per la co-presenza in Twitter e per la stessa mossa negli stessi giorni, notizia:

     Twitter prova gli account power a pagamento.

La notizia la trovate qui oppure su una delle tante altre pagina che google prontamente vi darà se cercate con la chiave «Twitter a pagamento».

Insomma… non trovate un tantino strano che due attività on line, fino ad ora totalmente free, diventino a pagamento per chi vuole in contemporanea? Sopratutto due aziende che fanno capo allo stesso personaggio?

Se le cose stanno come sembrano, allora tanti bei discorsi fatti sino ad ora cadono: diventa lapalissiano, a chiunque, che la mossa era studiata da tempo, e fanc*** l’apparente buonismo di mr. EV che ha creato la piattaforma per fa solo incontrare gente che scrive, per il solo gusto di farlo.

Io mi rendo conto che abbia delle spese, ma come le ha sostenute sino ad ora? Continui a farlo come ha fatto sin’ora. Al momento, secondo me, l’unica cosa che rischia e una tremenda emorragia di utenti. E non creda che tornando sui suoi passi la gente poi tornerebbe indietro!!

Il grosso guaio, per noi italiani o comunque non americani, e che per gli americani questi giramenti di politica amministrativa improvvisi sono vissuti come parte facente della vita di una attività on line, per cui per la stragrande maggioranza di loro non c’è nulla di male a chiedere questo obolo così di punto in bianco.

Cosa diversa per noi dove, ante richiesta obolo, ci ha resi praticamente una cosa in più. Come? Chiudendo senza alcun preavviso Medium Italia con la scusa della riduzione dei costi per un miglioramento del servizio: e bello sto miglioramento del servizio.. proprio carino: prima ci fai diventare merce di scarto, e poi ci chiedi pure 5$ per continuare a vedere cosa poi?

È ormai lampante a tutti che l’utenza a cui si rivolge è quella degli stati uniti, i paesi piccoli come il nostro forse alla fin fine son solo un peso per lui. Quindi quello che noi non yankee vedremo sulla home page, come già succede da qualche giorno, saranno solo notizie riguardanti gli states: politica americana, società americana, economia americana ed ovviamente scrittori americani.

Chi di voi ha più visto negli ultimi giorni uno e dico un solo post in italiano? Io prima uno su 50 riuscivo a trovarcelo, da quella fatidica data zero assoluto!!

Comincio a pensare che la considerazione che facevo con un collega di Medium poco fa, sia quella più corretta, ossia ci restano due cose da fare:

  1. Si resta qui e si subisce cercando altri modi di vivere Medium;
  2. Si cerca dell’altro e si sbaracca;
  3. punto aggiuntivo, non previsto: si mettono insieme le risorse e ci si crea qualcosa di simile solo per noi (italiani o europei… non siamo mica mr .EV noi !!!)

Sinceramente penso che il tenermi copia di tutto su una serie di WP in self hosted fu, e resta, la soluzione migliore: almeno, male che vada, ho tutto già pronto li e posso tornarci quando voglio. Chiaramente prima cancellando quel poco che ho pubblicato qui; perché una cosa e certa: se trasloco di mio qui non lascio nulla. Non so voi, ma io farò così!!

Che ne pensate delle due, più una, opzioni che io vedo all’orizzonte ?

Fatemi sapere se ne avete voglia.

#DicoLaMiaSu: Gmail e il rifiuto di un giudice americano di accettare un accordo troppo paraculo.

Quando la giustizia fa il suo lavoro, in paesi come gli States, suona quasi un affronto a chi legge una simile notizia!

Stamane, durante il solito giro per la rete a caccia di novità interessanti mi sono imbattuto in questa notizia che vi consiglio di leggere per capire meglio di che tratta questo post.

Riassumendo: nel 2015 un gruppo di utenti che non usa il servizio di posta di Google, gmail.com, apre una class action verso Google perché, a loro avviso, non è corretto che, chi scrive a un utente di Google, non sia messo al corrente del fatto che Google stessa leggerà la sua mail, per poter migliorare la profilazione del suo destinatario, utente appunto del servizio di posta di Google, per rifilargli della pubblicità meglio mirata.

Google in risposta aveva offerto una soluzione, copiata ed incollata da un caso simile in cui era finita Yahoo poco tempo prima. Ossia la mail sarebbe stata letta dai loro programmi, solo al momento in cui sarebbe comparsa nell’interfaccia della mailbox del destinatario. Questo perché, almeno in America, viene definita intercettazione solo se il messaggio viene letto, come avveniva al momento dell’avvio della class action, durante il transito dall’utente scrivente, non gmail verso l’utente destinatario, ossia l’utente gmail. Quindi leggerla quando era nell’interfaccia dell’utente gmail voleva dire che la mail era già arrivata a destinazione ed il destinatario la stava leggendo.

L’accordo preliminare che aveva accontentato i legali delle parti in causa, (il perché lo capirete tra poco), ma non è piaciuto per nulla al giudice Lucy Koh che sta seguendo il caso. Anche perché la parte di rimborso economico, per il valore offerto da Google, sarebbe finito dritto nelle sole tasche degli avvocati della class action visto che il valore in dollari offerto era pari alle commissioni degli avvocati sino a quel punto della cusa.

Quindi per il giudice Koh l’offerta extragiudiziale, proposta da Google, viene respinta con la seguente motivazione, cito testualmente dal sito: «la proposta di Google non sarebbe sufficientemente comprensibile, né per la giustizia né per gli utenti, mancherebbe di spiegare nei dettagli il funzionamento dell’analisi e soprattutto lo scopo, universalmente noto, ma mai esplicitato a favore dei non utenti». Leggi «Google deve scrivere a chiare lettere il vero motivo per cui legge le mail in entrata da utenti non Google, ossia la profilazione dell’utente gmail, che ha accettato le condizioni proposte al momento della registrazione.

E visto che l’utente non Google non ha mai accettato le condizioni di accettazione di Google per il servizio di posta, il giudice Koh non vede perché debba sottostare alla prassi della profilazione e pure senza che gli venga notificato alcunché su questa pratica.

È chiaro che il giudice Koh ha due scopi ben precisi in mente:

  1. Se di soldi si parla devono essercene anche per chi ha avviato la class action, e non solo per liquidare gli avvocati.
  2. Vuole far dire in maniera esplicita a Google che il vero motivo per cui legge tutte le mail in entrata, è solo a scopo di profilazione del proprio utente per poterlo coprire di spam in maniera più mirata.

Google difficilmente ammetterà mai una cosa del genere, ma di sicuro questa volta è incappata in un giudice che sa cosa vuole e che ha i mezzi per imporglielo.

Ora, va da se, che in parte, la colpa è anche di chi scrive: se non vuoi che ti leggano l’email la cripti in qualche modo e così impedisci a Google, o meglio ai suoi programmi, di leggertela.

D’altronde se hai avviato una causa legale eri a conoscenza di questa faccenda, quindi in parte la colpa è anche tua ma direi in piccola parte, perché è anche vero che nessuno dovrebbe obbligarti a criptare il testo della tua email affinché qualcuno non te la legga. Resta il fatto, che almeno sino al momento dell’avvio della causa, Google intercettava la posta in entrata nei suoi server di posta. Il che comunque la mette in posizione di torto, legalmente parlando; al di la del perché lo facesse, comunque lo stava facendo.

Poi comunque la proposta di Google mi puzza: quanti saranno in percentuale gli utenti che leggono al posta dal servizio web di Google? Io per esempio la casella Google, che uso per le registrazioni, la leggo solo dal mio client di posta, quindi nel mio caso quando andrebbe a leggermela ? Di certo non dal mio client di posta, e nemmeno può dire che l’ha letta mentre io la stavo leggendo sul client web, visto che non lo uso.

Inoltre se leggesse la mia mail ricevuta da un utente non gmail mentre la scarico sul mio pc per leggermela con il mio client di posta, si riproporrebbe il problema dell’intercettazione, perché la starebbero leggendo mentre la mail in questione è in transito verso il mio client; e non credo minimamente che Google si faccia sfuggire le mail lette solo via client di posta in locale!!! E per gli amanti delle statistiche date una occhiata a questa pagina in cui si evidenzia che, più tempo passa e più la posta viene vista da mobilità e non da postazioni fisse quindi l’uso delle web mail è in forte calo.

L’unica soluzione, e la più corretta, sarebbe che la piantassero di leggere le mail private dei loro utenti: autorizzazione o meno accettata in fase di registrazione, dovrebbero fare una legge a livello nazionale negli States in cui sia semplicemente vietato leggere la corrispondenza degli utenti.

Ok direte voi «Si bravo e poi NSA? CIA? FBI? Come farebbero a intercettare tutte le mail dei semplici cittadini???»

Beh di quello non mi preoccuperei: quelli lo fanno indipendentemente dalle leggi, come Snowden ci ha già abbondantemente dimostrato, per cui non li tengo in considerazione nel creare una simile legge!!

Vedo di tenere d’occhio questa causa, e di farvi sapere come andrà a finire, ma non attendetevi soluzioni rapide: quando ci son di mezzo grosse aziende, negli States, i tempi possono diventare anche peggiori di quelli della giustizia Italiana!!

IR

#DicoLaMiaSu: Beppe ed il suo castello di carte.

Lo so, è brutto tornare sullo stesso argomento in così poco tempo, ma pare che non ci lasci altra scelta!!

Ne ho parlato da poco, lo so, ma qui tocca tornare sull’argomento ed aggiungo purtroppo. Io speravo di trattare altri argomenti per qualche giorno, ma pare che volenti o dolenti ci tocchi tornare di nuovo su questo spinoso argomento.


Beppe Grillo ha scelto una strada più tortuosa per ottenere lo stesso risultato. “Uno vale uno”, nella neolingua orwelliana coniata dal comico genovese, descrive perfettamente il modello Wilders: e cioè che uno soltanto conta, il Capo – o per meglio dire il Garante, che è molto più di un capo perché, come ha dimostrato la vicenda di Genova, può decidere senza spiegazioni né giustificazioni di sorta, esclusivamente in nome del suo essere, per l’appunto, Beppe Grillo: e “se qualcuno non capirà questa scelta, vi chiedo di fidarvi di me”.


«E chi non si fida si fondi un altro partito…» così ha concluso la sua esternazione il buon Grillo, quando gli hanno fatto presente che forse così non si fa !
Insomma piano, piano il vero Grillo sta venendo alla luce: dispotico, dittatoriale, quasi un emulatore del tanto denigrato Benito, ma con una accezione più moderna. Benito non poteva certo usare i social, non poteva usare i blog, non poteva fare le votazioni sul sito, ma alla fine l’importante era che chi diceva qualcosa fosse d’accordo con lui; e per fortuna, almeno ai giorni nostri, il buon Beppe non può imporre a chi non la pensa come lui il buon vecchio olio di ricino, ne può far sparire le persone come faceva il buon Benito, senza dover rendere conto di quel che faceva.


Casaleggio Associati, specchio per le allodole


L’infrastruttura digitale del partito-Grillo, gestita dalla Casaleggio Associati srl, cioè da una società privata di marketing, è in questo schema un gigantesco specchio per le allodole, uno sfogatoio per leoni da tastiera, un videogioco per menti deboli.


La discussione è ammessa, purché non si esprimano opinioni in dissenso. Le votazioni sono (relativamente) frequenti, purché non decidano diversamente da come ha già deciso Grillo. I risultati, in ogni caso, non sono certificati da nessuna autorità indipendente e dunque sono potenzialmente manipolabili.
La partecipazione è libera, purché si sia stati ammessi – i criteri non sono mai stati chiariti – nel Sacro Blog. Chi sgarra viene bannato, le sue credenziali sono annullate e non potrà mai più accedere alla piattaforma.


Insomma forse nemmeno Benito sarebbe sceso a livelli così bassi, lui dalla sua almeno, aveva parte del popolo. Beppe quel poco popolo che aveva con lui lo sta perdendo per strada con questo comportamento da Califfo di un qualche paese del terzo mondo.


Una cosa che mi ha fatto sempre sorridere, sono state le sue votazioni dal blog, qualcuno finalmente lo dice: «I risultati, in ogni caso, non sono certificati da nessuna autorità indipendente e dunque sono potenzialmente manipolabili.»


Qualcuno ha mai avuto la possibilità di verificare i dati di queste benedette votazioni on line? Perché io mi sono occupato anche di cose simili, intendo votazioni per associazione di un certo calibro, ossia con una quantità di votanti sicuramente più ampia della sua base di militanti, e so io la fatica per generare un flusso informativo chiaro, trasparente e verificabile da qualunque notaio volesse controllare. Non ho mai visto sul suo sito, dati pubblicati alla mano, di queste benedette votazioni; non ho mai visto un file di dump scaricabile da chiunque per poter analizzare i dati del voto e verificare che tutti avessero votato una sola volta, o che nessuno abbia modificato la scheda a votazione chiusa.


Insomma una votazione di un partito, come quelle di una organizzazione ONLUS con migliaia di iscritti, sono una cosa piuttosto seria. Si deve poter rendere conto in qualsiasi momento dei risultati di ogni singola votazione, sia agli iscritti, che per trasparenza sia agli avversari politici!!
Espulsioni, decisioni annullate e streaming “in soffitta”


Ma l’imbroglio non si ferma qui: i meet-up, cioè le riunioni fisiche degli attivisti, hanno valore soltanto se convalidate dal Garante; in caso contrario le decisioni sono nulle e gli attivisti sono espulsi (proprio in questi giorni è stato annunciato un non meglio precisato progetto di “razionalizzazione” dei meet-up, che dovrebbe silenziarli definitivamente).


Lo streaming sbandierato ai quattro venti è stato abrogato da anni, e nessuno ha mai saputo perché Virginia Raggi si sia scelta proprio quei collaboratori, o perché mai gli europarlamentari grillini abbiano deciso – senza riuscirci – di entrare nel gruppo liberal democratico, il più europeista di tutti, o quali infamie abbia commesso la candidata sindaca vincitrice delle “comunarie” di Genova, o perché il Direttorio sia stato sciolto. Buio fitto: impossibile conoscere le ragioni di questo o quello, le motivazioni di una decisione, l’obiettivo di una scelta.


La fuga dalle legalità e le “sorprese interessanti”


Francesco Bonifazi ha preannunciato “molte sorprese interessanti” sul “profilo fiscale” della galassia blog-Casaleggio Associati-M5s, dopo la sensazionale scoperta che Grillo non c’entra nulla con il suo blog. Che qualche “sorpresa” ci sia, lo si deduce anche dall’ostinazione con cui il Movimento 5 stelle ha sempre rifiutato di pubblicare i propri bilanci (siccome non accede ai rimborsi elettorali, legalmente non è obbligato a farlo), nascondendosi dietro la favola dell’onestà e dell’autofinanziamento. Finora la fuga dalla legalità ha avuto successo, e il gioco di specchi ha funzionato: ma le cose potrebbero cambiare rapidamente, e l’emorragia di questi giorni – è appena nata “Alternativa libera” – potrebbe farsi valanga.


Qui altre beghe mai risolte, che comunque sono spine nel fianco del buon Beppe:

    1. I famosi meet-up: dovevano risolvere tutti i problemi di contrasto interni, ed invece è finita che, chi non era d’accordo con il capo, si è visto espellere dal movimento!!
    2. Tutto doveva essere in streaming diretto: nulla doveva essere nascosto al popolo, sia quello del movimento che quello antagonista. Ha provato anche a far andare in diretta, perché faceva comodo a lui, l’incontro con l’allora primo ministro, ma per il resto: voi avete mai visto in diretta qualche riunione del direttivo, o direttorio, dipende dal periodo storico come chiamarlo, di Beppe & Co? Io no e devo dirvi che, specialmente all’inizio, li ho cercati dappertutto senza mai trovarli: ovvio, non ci ha mai pensato di farlo veramente!! Qualcuno di voi si è reso conto, nel tempo, che il famoso direttorio che doveva garantire la trasparenza delle attività del M5S è stato sciolto ? E sciolto intendo nell’acido quindi senza un direttorio nuovo si zecca che prendesse il loro posto!! Puff, fatto sparire nel nulla, senza alcun altro apparato democratico che ne prendesse il posto. Poi mi son domandato pure io, come credo abbiamo fatto in molti ma «quali infamie ha commesso la candidata sindaca vincitrice delle “comunarie” di Genova???» per essere destinataria di un ‘No non mi sta bene rifacciano le comunarie», da parte del buon Beppe? E poi, scusa, che mi rappresenta «non mi sta bene» ?? Hai fatto delle elezioni , le ha vinte quella candidata? Mo arrivi tu e siccome no TI sta bene allora tutto da rifare? Ma ti rendi conto Beppe di quanto ridicolo stai apparento agli occhi dei tuoi fedelissimi e dei tuoi oppositori 
    3. Certo che se davvero qualcuno riuscisse a far pubblicare i rendiconti finanziari del M5S sicuramente ci sarebbero quelle, che qualcuno ha definito, molte sorprese interessanti. Poi la barzelletta del blog, dai Beppe su, hai detto tu stesso qualche tempo fa che eri l’unico responsabile del blog, adesso te ne vieni fuori che tu hai solo comprato il dominio, e poi lo lasci usare a chi si occupa del sito ? Che poi non è vero nemmeno questo, perché il dominio beppegrillo.it risulta intasato a certo Emanuele Bottaro, per cui su, cerca di deciderti su sto benedetto dominio, e racconta la versione definitiva una volta per tutte!!

Insomma un pezzo alla volta il castello di carte di Beppe Grillo, nonché il M5S sta venendo giù del tutto. Mi spiace solo per chi davvero ci ha creduto in questo movimento, che adesso si trova davanti un mini duce che tenta di salvare capre e cavoli, ma chi troppo vuole, sai come finisce… che nulla stringe. Chissà che si dirà del M5S tra qualche anno, cose tipo: «M5S ?? Ahh si quella bufala in cui truffarono i poveretti che ci credettero??» E questo nei migliore dei casi!


Che dirti Beppe: il gioco è bello finché dura… e tu lo hai gestito male, per cui durerà ancora per poco. Ai giochini tipo: «io a Roma vivo con 3000 euro, quando poi in realtà son 8000» non ci crederà più nessuno.

Ed una volta di più si sentirà dire: «Che peccato!! Aveva una faccia così da onesto e personaggio serio!!» chiaramente non riferito a te, ma ai vari Di Majo, Di Battista & Co. Ed una volta di più avrete dimostrato che in politica vale sempre la stessa regola: «una volta posato il culo sulla poltrona, farvela mollare, quella poltrona, è sempre una impresa ardua!!»


Auguri a te, ed ai poveretti che in te ci hanno creduto !!

#DicoLaMiaSu: Proposta di legge sull’uso di trojan di stato per indagare specifici reati.

Anche in Italia, come era prevedibile, si è giunti ad affrontare la tematica dell’uso, di quelli che vengono chiamati trojan di stato, come mezzo ausiliario, durante le indagini per specifici reati. Per la precisione la proposta di legge lanciata da Gruppo Civici e Innovatori, per quanto mi riguarda uno dei tanti gruppi in parlamento di cui non ho mai sentito parlare prima di questa proposta.

La proposta è intitolata “Disciplina dell’uso dei captatori legali nel rispetto delle garanzie individuali». E chiariamo subito che, in tutto il testo della proposta di legge la parola captatori sta per la versione, in linguaggio legale, di trojan. Questa proposta di legge dovrebbe stabilire i limiti e condizioni con i quali le forze dell’ordine potranno utilizzare nel corso delle indagini veri e propri trojan a fini di intercettazioni.

Estratto dall’articolo di Punto Informatico su questo argomento:

Dal punto di vista legale si tratta di uno strumento di intercettazione atipico, in quanto non esplicitamente previsto dalla nostra normativa di settore: finora era stata pertanto la giurisprudenza ad intervenire piegando le leggi esistenti, come nella Sentenza n. 26889 all’interno della quale la Corte suprema di Cassazione dava sostanzialmente il via libera all’utilizzo di tale software spia quando si tratta di intercettare le comunicazioni di pericolosi criminali tecnologicamente aggiornati, “limitatamente ai procedimenti per delitti di criminalità organizzata”, autorizzando l’installazione dei captatori anche in abitazioni private senza alcuna “attività criminosa” in corso d’opera sul momento.

La nuova normativa, che rappresenta la conclusione di un confronto tra magistratura, forze dell’ordine, giuristi ed esperti tecnologici iniziato nel 2015, cerca di andare proprio in questa direzione, prevedendo tutele e garanzie per i soggetti che durante le indagini penali sono intercettate tramite trojan: innanzitutto si stabilisce che gli unici reati per cui è possibile sfruttarli sono “criminalità organizzata di stampo mafioso o con finalità di terrorismo”, quando “non è possibile distinguere un ambito di attività o di vita personale estraneo all’associazione criminale”.

Inoltre l’uso del trojan non può essere disposto solo dal pubblico ministero, ma deve essere autorizzato dal giudice per le indagini preliminari “soltanto quando risultino indispensabili, essendo inadeguato ogni altro mezzo di ricerca della prova». Disposizione che rischia invece di creare polemiche è invece quella che prevede la possibilità da parte del giudice di autorizzare, sulla base di motivazioni, l’installazione su dispositivi di “soggetti non indagati”: in questo caso il monitoraggio va notificato agli utilizzatori del dispositivo bersaglio entro 40 giorni dall’inizio dell’attività, con la possibilità di prorogare tale scadenza fino ad un massimo di 12 mesi.

Fine dell’estratto dall’articolo di Punto Informatico su questo argomento

Insomma si sta tentando di regolamentare una situazione, che sicuramente si presenterà in un prossimo futuro: basti pensare alle possibilità di comunicazione, che gli eventuali indagati possono usare per comunicare tra di loro: da WhatsApp a Telegram, a Signal e chi più che ha più ne metta; i software IM con capacita di criptazione ormai sono disponibili gratuitamente per chiunque. Quindi è logico pensare che l’accesso da remoto, e di nascosto, ai vari oggetti informatici di un indagato, che sia un pc o un cellulare o un tablet, diventeranno sempre più frequentemente una necessità investigativa. 

Quello che mi lascia perplesso è il fatto di dover usare dei trojan. Il dubbio che mi assale, e credo assalga chiunque a questo punto della discussione, sia: «e chi mi dice che non ne abusino?» La parte finale dell’articolo in riferimento concludeva appunto con: «Disposizione che rischia invece di creare polemiche è invece quella che prevede la possibilità da parte del giudice di autorizzare, sulla base di motivazioni, l’installazione su dispositivi di soggetti non indagati: in questo caso il monitoraggio va notificato agli utilizzatori del dispositivo bersaglio entro 40 giorni dall’inizio dell’attività, con la possibilità di prorogare tale scadenza fino ad un massimo di 12 mesi.»

Rendiamoci conto: se passasse così la legge, chiunque, e ripeto chiunque, potrebbe essere aggredito dal trojan di stato anche se non fosse indagato. E sarebbe avvisato solo al quarantesimo giorno di dall’installazione del trojan. Sempre che un giudice non disponesse la proroga sino a 12 mesi.

Ora: capisco l’uso del trojan su indagati per fatti di mafia o di terrorismo, ma perché autorizzare l’uso su persone che non risultano nemmeno indagate ??? Questa cosa suona un po’ come «ok facciamo una bella legge fatta bene con soggetti ben definiti, e crimini ben identificati, ma lasciamoci anche una scappatoia per usarlo su chiunque per minimo 40 giorni, e visto che ci siamo non facciamoci mancare nulla, con la possibilità di prorogare fino a 12 mesi!!»

Ma in quale paese democratico si fanno leggi per colpire chi non è nemmeno indagato di qualcosa? Che senso ha spulciare le conversazioni via chat o telefoniche di una persona qualsiasi che non ha aperto nessun procedimento penale nei propri confronti??

Tanto valeva non fare la legge con tutti i suoi bei limiti e definizioni: si disponeva solo la parte finale in cui si diceva che chiunque può essere spiato per un periodo dai 4 ai 365 gg e morta li no ?!

Come sempre, in questo paese, si deve tentare di far passare il cittadino medio per il fesso di turno: gli facciamo vedere che stiamo facendo una bella legge con tutti i suoi ammennicoli e limiti, ed infine aggiungiamo un paragrafo scritto in piccolo, un po’ come le norme nei contratti telefonici che non ti danno mai il tempo di leggere quando devi firmare per avere quello specifico contratto, e chi se ne frega se poi quel paragrafo scritto con un font di dimensione 6 in realtà rende praticamente nulla tutta la parte leggibile in chiaro a dimensione 14 punti!!!

Tanto il cittadino è fesso e ci casca sempre, ed anche non ci cascasse, mica decide lui se la legge passa o meno!!

Allora signori miei, non fatela passare come una cosa di cui chiedere il parere con tanto di forum per discuterne: basta vedere il forum che avete creato per sentire il parere dei cittadini, per capire quanto poco fesso sia il popolo italiano: il forum è stato avviato in data 1 di febbraio 2017 con tre sezioni:

  1. Aspetti Giuridici
  2. Aspetti Tecnici
  3. Altro

Nelle prima area c’è UN post soltanto datato 2 febbraio 2017, nell’area due i sono DUE post, di cui uno scritto dallo stesso autore dell’unico post nell’area uno, sempre datato 2 febbraio 2017. Nell’area tre non ci sono post di alcun genere, escluso quello di benvenuto scritto dall’autore del forum.

Il fatto che sia stato creato un forum per discutere questa proposta di legge e che sia praticamente nato morto, la dice lunga su come viene gestita questa proposta di legge; e non dico altro per non passare per il solito affetto da sindrome da complotto.

Mi piacerebbe sapere quanti sappiano di questa proposta di legge: perché a giudicare dal traffico del forum, sembrerebbe che ne siano a conoscenza solo quelli che l’hanno proposta!

Magari dopo la pubblicazione di queste mie considerazioni o personali qualcuno andrà a dare un occhiata al forum, e magari posterà pure qualche domanda in merito a questa proposta di legge… sai mai !!

#DicoLaMiaSu: FBI, TOR e Pedofili

Un amico mi aveva suggerito di leggere un post su una rivista on line di informatica, piuttosto nota, per cui di norma piuttosto affidabile.

A detta sua l’articolo era da far venire i brividi per la scioltezza con cui gli americani hanno optato tra il liberare un noto pedofilo, o il dichiarare con che mezzi sono arrivati ad carpire l’IP di detto pedofilo.

Il titolo del pezzo presente sul sito di Punto-Informatico.it è: «USA, la lotta al pedoporno vale meno di un hack di TOR?».

Per chi non fosse del settore chiariamo un paio di punti:

  1. TOR è un protocollo di anonimzzazione che da anni fornisce l’anonimato a giornalisti, rifugiati politici, perseguitati religiosi. Come sempre c’è anche chi ne abusa sfruttando il fatto che TOR rende virtualmente impossibile rintracciare gli indirizzi IP di chi utilizza questa tipologia di rete, per commettere reati di vario genere; dalla vendita di droghe, alla vendita di documenti falsi, allo scambio, e questo è il caso del soggetto in questione, di materiale pedo-pornografico, tra chi soffre di questa terribile malattia: ossia i pedofili.

  2. Le autorità americane, in realtà, da anni dicono di riuscire a de anonimizzare gli utenti che usano TOR, ma in realtà, quelle poche volte che ci sono riusciti, compresa questa, la falla usata non era della rete TOR, ma del browser su cui TOR si appoggia, ossia Mozzila Firefox. Tanto è che in questo specifico caso uno dei gruppi che più insiste per avere le specifiche su come, questa volta, ci siano riusciti, e proprio la Mozzilla Foundation: sapendo che il fatto è successo proprio a causa di un loro bug, vogliono sapere quale sia per poterlo sistemare e rendere di nuovo sicuro usare TOR.

Nella causa in corso tra Jay Michaud e l’FBI l’oggetto del contendere si è spostato dal fatto che Jay Michaud sia un pedofilo da fermare, al fatto che l’FBI deve spiegare come ha fatto ad ottenere i suoi dati.

L’FBI, dal canto suo, dice che la tecnica con cui ha ottenuto i dati è troppo importante per renderla pubblica, perché se lo facessero Mozzilla Foundation sistemerebbe il bug e l’FBI non potrebbe più usare quella falla per rintracciare gli IP di chi usa TOR.

Nel mentre «Vista la resistenza dell’FBI, giustificata con la necessità di preservare il segreto su un importante strumento di indagine, la giustizia statunitense aveva decretato che le prove raccolte per mezzo della NIT si sarebbero dovute invalidare qualora il codice impiegato dall’FBI fosse rimasto riservato»

Intanto l’FBI per far capire che non aveva nessuna intenzione di rendere pubblico il metodo usato, ha posto quest’ultimo sotto segreto di stato facendo arrivare la questione ad una fase di stallo che ha ben pensato di sciogliere chiedendo l’archiviazione del caso contro Jay Michaud, formulata proprio dal Dipartimento di Giustizia, a nome dell’FBI: “Il governo deve scegliere fra la divulgazione delle informazioni classificate come segrete e la deposizione dell’accusa” si spiega nel documento e poiché “la divulgazione non è al momento un’opzione” il caso dovrebbe essere chiuso. pur di non svelare il metodo usato per ottenere gli indirizzi IP dalla rete TOR.

«Sono oltre 135 i processi originati dall’operazione Pacifier, condotti contro altrettanti cittadini sospettati di aver partecipato al traffico pedopornografico di Playpen: nonostante le sostanziali analogie, non tutti si sono arenati sulla validità di prove raccolte con del codice riservato.»

Le parti in corsivo sono state prese direttamente dall’articolo di Gaia Bottà sul sito di Punto Informatico.

Che dire? Una agenzia governativa, che rischia di rimettere in libertà 136 pedofili beccati con le mani nel sacco, per proteggere il metodo con cui li hanno incastrati si classifica da se.

 È pur vero che dagli americani ormai non c’è da stupirsi più di nulla, ma lasciare liberi 136 pedofili, con i danni che possono fare a non so quanti bambini, in giro per il paese, per una questione di principio, la trovo davvero una cosa pietosa. Succedesse da noi probabilmente rischierebbero l’insurrezione generale del popolo italiano.

Mi domando sempre, quando leggo notizie come queste, come quelle di Snowden ed altre simili, come faccia quel popolo a permettere ai loro governanti di fare scelte simili in nome di una agenzia poi, l’FBI, nota per le porcate fatte negli anni e che, per quanto sappiamo non ha mai smesso di farle certe porcate.

Accettereste in Italia di liberare 136 pedofili per non dichiarare come li avete incastrati? Credo proprio di no. Evidentemente il peso della parola morale do noi ha un peso ben diverso che negli Stati Uniti, altrimenti non si spiega questo loro comportamento. Io, personalmente, quando ho letto di questa cosa, sono rimasto schifato a dire poco, e credo chiunque altro da noi, intendo in Europa, proverà quello che ho provato io. Almeno io me lo auguro, altrimenti vuol dire che stiamo prendendo una deriva tipo americana, e se così fosse io qui, non ci resterei a vivere, assolutamente no!!