'Open Source On Air' è un'iniziativa di Valentino Mannara e del gruppo Facebook 'LINUX... lasciate perdere Windows!': una video chat di gruppo (tramite Hangouts) nella quale discutere temi inerenti all'Open Source.
Il seguente "rapporto" è la risultante della puntata sulla sicurezza e la privacy (... e la sicurezza della privacy :P) prendendo come spunto il decreto governativo discusso nei giorni scorsi, che toccava (anche) la possibilità per le autorità di spiare le attività informatiche dei cittadini.
Il gruppo Facebook: LINUX... lasciate perdere Windows!
Il blog aziendale di Valentino: Shadow Lionheart
Ipotesi del decreto: Repubblica.it
Stralciata la norma discussa: La Stampa
- L'antefatto
Come si può leggere nel secondo link quella parte dell'emendamento è stata stralciata, quindi fortunatamente la questione pratica non si pone più (...o sì?)
È però stata la base per un'interessante - e meritevole di approfondimento - discussione nell'evento 'Open Source On Air'.
Quello che segue vuole essere una sorta di "rapportino" della serata; non un riassunto perchè ho scarsa memoria, ma più una presa di spunti con relativo "approfondimento" (= spiegazioni generiche basilari, approfondire davvero questioni così complesse richiederebbe interi libri... che in effetti esistono :D )
Dividerò il post nei seguenti punti, presi più o meno liberamente dallo svolgimento della discussione in chat:
- La questione etica: alcune riflessioni
- La questione pratica: introduzione
- Navigare anonimi e sicuri
- Navigazione anonima: TOR
- Sicurezza in casa: antivirus, firewall, antispyware, ecc...
- L'utonto
- Possibili falle tecniche
- La domanda: cosa possono "vedere" loro?
- Conclusioni
- Questione etica: alcune riflessioni
La motivazione è semplice: la logica si basa sempre su dei presupposti; in questo caso spesso sfugge che il presupposto è proprio il concetto di "male": ok che se non faccio niente di male a me non mi verranno a "cercare" e, anche lo facessero, pazienza. Ma si pongono almeno due quesiti cruciali:
- chi giudica cosa è male o meno? Il suo metro di giudizio è uguale al mio?
- davvero se mi spiano è "pazienza"? Se mi spiano e non faccio nulla di male, non è forse una violazione "a prescindere"?
Ora, è evidente che ad oggi non ci troviamo in situazioni similari, fortunatamente: nessun conflitto mondiale in atto nè pulizia etnica o ideologica in corso. Tuttavia, a dispetto di quanto riportato nei libri di storia scolastici - o meglio, di quanto "studentisticamente" viene ricordato - i processi politico-sociali ben raramente iniziano e finiscono con date secche e precise; anche quando succede, capire dove sono piantati i paletti dei presupposti che li hanno resi possibili è arduo.
Quindi "offrire il fianco" a possibili derive è sempre sbagliato. L'accentramento del potere senza controllo (ricordiamo: sapere è potere, le informazioni sono potere) è una tale possibile deriva e quindi va evitata; anche se, nell'immediato, le sue conseguenze sembrano essere poca cosa (o addirittura positive).
La famosa poesia 'Prima vennero a prendere...'
Posso fare facilmente un esempio pratico, anche se poco attinente, per dare un'idea: I famosi 'contratti di formazione'
Durante il periodo di "formazione" (metteteci tante virgolette ;) ) il neo-assunto era tenuto a rispettare regole apparentemente lecite ed anzi basilari per un lavoratore. In soldoni: niente assenteismo, non comportarti male, dimostrati disponibile, impegnati e verrai assunto a tempo indeterminato.
Tutto giusto, ma cosa vuol dire "male"?
Quando capisci che significa un generico «fare poca malattia, se possibile niente» - ma in due anni è possibile che non ci si ammali? E se ho un incidente in auto, mi rompo una gamba e sto due mesi a letto, che colpa ne ho? - «non fare scioperi» - ma non è un diritto basilare dei lavoratori "tutti"? - «non disturbare con questioni come la sicurezza» - ma anche questo non è un diritto fondamentale? - insomma, a questo punto capisci che quando c'è una parte che ha evidentemente il "coltello dalla parte del manico" e l'altra è nettamente in inferiorità, capisci che cosa è male non corrisponde affatto ad un criterio oggettivo, nè tantomeno imparziale.
Se un domani "male" divenisse semplicemente screditare l'opera di un politico (con prove e/o opinioni provate, altrimenti giustamente è calunnia), o semplicemente parlare delle stesse intercettazioni, o, per estremizzare, il solo dire che il software closed non è sicuro perchè può contenere backdoors...
La mia conclusione è che il presupposto sul "se non hai niente da nascondere" sia troppo instabile e fragile per essere pilastro portante di un concetto così cruciale per la libertà di ognuno.
Io non ho niente da nascondere, ma tutto da proteggere.
- Questione pratica: introduzione
Vediamo una lista di punti, in ordine di priorità; non nel senso che il primo sia più importante dell'ultimo, ma nel senso che il primo è il più applicabile e gestibile (comunque ognuno verrà meglio eviscerato avanti)...
Prima di tutto una navigazione il più possibile anonima; questo è fortemente sottovalutato, ma se anche nella semplice navigazione quotidiana lasciamo tracce ovunque dei "posti" che visitiamo, di cosa (e anche del quando, tracciare i nostri orari è un modo per le aziende di profilarci) facciamo, allora è ovvio che la nostra privacy è almeno in parte compromessa.
Quindi la nostra privacy è sicuramente compromessa, perchè secondo me nemmeno l'utente più paranoico ha navigato sempre e comunque in connessione protetta ed anonima - il chè, peraltro, sarebbe solo un punto a favore della privacy, ma non un'assoluta garanzia.
Naturalmente quanto sia grave questa compromissione è dipendente da cosa si è fatto durante la navigazione ma, cosa ancora più importante ed estremamente sottovalutata, dal come si è utilizzata la propria libertà internettiana.
Arriviamo dunque al secondo punto, ovvero l'uso consapevole dei mezzi e dei servizi offertici.
La vita virtuale e sempre più strettamente attinente a quella reale. Con l;avvento dei social le due cose si fondono. Ovviamente questo non ha solo aspetti positivi, ed usare in modo intelligente e consapevole i vari servizi che troviamo sul web è fondamentale per la nostra privacy (fin dove possiamo tutelarla).
Sappiate che bene o male tutti i servizi social (FB, Instagram, G+, Pinterest, ecc...) NON sono gratuiti, ma li paghiamo quotidianamente con i nostri dati. Di conseguenza, è importante ricordare che quello che scriviamo, oltre ad essere indelebile e visibile (cosa anche questa considerata un po' troppo superficialmente), è costantemente tracciato, archiviato e in qualche modo "studiato": inserito in statistiche, usato per la profilazione, usato per metterci in collegamento con altre persone, gruppi, interessi, ecc...
Il terzo punto riguarda la tecnica di cui disponiamo. Non mi stancherò mai di ripetere che l'uso di software closed è una manna dal cielo per chi ci vuole spiare: spyware e backdoors sono ormai talmente d'uso in tutti i più comuni software "gratuiti" di Windows che ormai non vengono quasi nemmeno più considerati per quello che sono: malware, minacce.
Quelle allegre "barre aggiuntive" che spesso si installano assieme a certi software (che magari non c'entrano nemmeno nulla con la navigazione web), piuttosto che certi programmini di "aiuto alla gestione del sistema", ecc... sono intrisi di bachi a volte consapevolmente, spesso inconsapevolmente, che in ogni caso garantiscono una porta d'accesso piu che invitante per chi voglia spiarci.
Questo ovviamente riguarda in primis il browser che utilizziamo, ma nondimeno anche l'intero sistema operativo.
Il quarto punto è la segretezza dei dati. Sarebbe buona norma cifrare i dati sensibili che teniamo archiviati sul PC. Ancor di più necessario (anzi, bisognerebbe dire indispensabile) se tale archiviazione avviene su piattaforma cloud e non v'è dubbio alcuno che sia assolutamente indispensabile quando tali dati si fanno viaggiare su connessioni non protette.
Il quinto punto è la sicurezza della linea che usiamo per navigare. Questa è all'ultima posizione non per importanza, ma purtroppo per il controllo (scarso) che abbiamo su di essa.
Le cose che possiamo fare non sono poche, anche senza robe professionali gia si può intervenire molto; ma mai abbastanza.
Questo perchè insidie possono essere nascoste a nostra insaputa (ma anche se lo sappiamo, poco cambia) all'interno sia del software che dell'hardware che ci viene "fornito" per la navigazione. Il router che l'ISP ci fornisce, per esempio, può contenere backdoors già nel firmware stesso; la linea dell'ISP può essere controllata (già i blocchi DNS inflitti dagli ISP italiani sono una forma di controllo non lecito per la neutralità della rete); ed infine (solo nel nostro esempio, in realtà ce ne sarebbero decine) l'ISP può essere costretto a fornire i dati della nostra connessione - che possono sempre monitorare se passiamo dai DNS forniti.
I livelli di gestione
Inoltre le questioni sia della privacy che della sicurezza informatiche sono estremamente complesse (anche) perchè presuppongono il controllo di moltissimi livelli hw/sw. Provo a postare uno schemino descrittivo (e semplicistico) per rendere l'idea, immaginando un "percorso di salita" standard che esegue un dato quando viene in qualche modo manipolato via web:
- livello fisico 1 - storage
- sicurezza intrinseca (cifratura)
- sicurezza di deposito: OS che detiene il dato
- gestione: eventuale SW che gestisce il dato
- livello fisico 2: accesso fisico al PC
- trasmissione 1: browser
- trasmissione 2: connessione
- trasmissione 3: livello fisico 3 (router, linea, ISP, ecc...)
- livello virtuale 1: server web
- livello virtuale 2: clouding storage
Nessun commento:
Posta un commento