Un blog sulle libertà digitali: software libero, diritto d’autore, peer-to-peer e wiki
Astroglide, uno dei maggiori produttori di lubrificanti ad uso sessuale, ha sofferto una massiccia perdita di dati: le informazioni personali di un quarto di milione di clienti (nomi, indirizzi, prodotti acquistati) sono statu esposti su pagine accessibili ai motori di ricerca, probabilmente per mesi. Alcune di queste pagine sono ancora accessibili dalla cache di Google. Mitici.
Via | Boing Boing
Capisco voler dare una sbirciatina alla posizione tributaria di Romano Prodi e della moglie… ma 128 accessi abusivi mi sembrano un po’ tanto. E per di più effettuati da 128 persone diverse.
Insieme alla notizia dei servizi segreti che preparavano contro-misure nei confronti di magistrati e politici presunti nemici del precedente governo e sommata a quelle dei mesi precedenti, si fa forte l’impressione che il paese faccia fatica a perdere vecchie abitudini, che i “servizi deviati” continuano a non essere solo una favola e che i veri nemici dell’Italia siano più dentro il paese che fuori.
Un motivo tutto nuovo per diffidare di RFID: la possibilità che le micro-etichette a radio-frequenza possano essere usate per propagare virus per computer.
Possibilità ipotizzata non da un paranoico con tanto di tin-foil hat ma esposta in un paper da rispettati scienzati dell’informazione, tra cui Andy Tanenbaum.
Si aprono interessanti scenari di etichette RFID “cattive” da usare, ad esempio, per infettare o mandare in buffer-overflow il lettore RFID e passare così indenni alle {casse del supermercato, controllo passaporti, ecc}.
[Via Freedom to Tinker]
Tra ieri ed oggi, la lettura dei giornali mi ha fatto montare una rabbia come non me ne capitavano da tempo.
Candidati alle elezioni che (forse! ricordiamoci la presunzione d’innocenza!) pagavano investigatori privati, servitori infedeli dello stato e dell’industria privata per violare la privacy dei concorrenti politici e boicottare in ogni modo le loro candidature.
Agenti della guardia di finanza pagati per scoprire tutto sulla situazione economica dei rivali. All’interno di un grande gestore telefonico l’interfaccia dei criminali era addirittura la stessa persona che faceva da interfaccia con la magistratura per le intercettazioni. Alla faccia del doppiolavoro!
Dal Corriere: sapere dove una persona tiene un conto bancario costa una miseria. Sapere i movimenti bancari costa 600 €. Conoscere i tabulati telefonici di una persona costa 1.500 €!
Leggi su leggi attivano mostruose memorie di elefante nello stato e nell’industria privata che assorbono e “ritengono” informazioni su tutte le nostre azioni e le nostre relazioni, su cosa spendiamo, dove lo spendiamo, dove passiamo in autostrada, quali vie delle città percorriamo. Tutto in nome di una teorica protezione da indefinite.
E un sistema di garanzie che è di fatto un colabrodo lascia l’amaro dubbio: i benefici sono del tutto ipotetici, i malanni sono un dato di fatto, fin troppo reali.
Se quanto gli investigatori hanno scoperto verrà confermato, c’è da chiedersi: se uno, quando è candidato, paga investigatori privati, finanzieri e dipendenti della TIM per cercare di scoprire e creare fango sugli avversari, cosa potrà fare quando è, per ipotesi, ministro della sanità ? Quale burocrate sarà disposto ad opporsi al suo ministro se vorrà dati sensibili su qualche avversario ? E un burocrate senza scrupoli in cerca di avanzamento, cosa sarà disposto a fare, in un ambiente morale del genere ?
Oh si, sono piuttosto stufo di questa sorveglianza a senso unico. Se ha da essere panopticon, chi è in posizioni di responsabilità deve essere nel panopticon con la platea più grande. Servitori dello stato, forze dell’ordine, deputati, ministri, presidenti, tutti dovrebbero essere tenuti ad uno standard di trasparenza molto maggiore rispetto ai privati cittadini. Forse aveva ragione David Brin: la privacy è ormai solo una pia illusione, da dimenticare, e alla “società della sorveglianza” è meglio preferire la “società trasparente”.
Se il mio tabulato telefonico costa 1.500 €, quanto deve costare quello di un ministro ? Se sull’elenco delle mie operazioni bancarie c’è una trasparenza “de facto” (ottenerlo costa 600€!), con che faccia certi “rappresentanti del popolo”, pagati profumatamente per esserlo, si oppongono a che si faccia completa trasparenza sui loro movimenti bancari ?
La Electronic Frontier Foundation sconsiglia l’uso di Google Desktop per i rischi che comporta per la privacy degli utenti:
Se un utente la abilita, la funzione “Search Across Computers” archivierà sui server di Google copie di documenti Word, PDF, fogli di calcolo e altri documenti di testo, per permettere all’utente di effettuare ricerche su questi documenti da qualsiasi PC. EFF consiglia caldamente ai consumatori di evitare questa funzione, perchè renderà i loro dati personali più vulnerabili a richieste di informazioni da parte del governo e potenzialmente da privati cittadini nel corso di cause legali.
Quando verrà offerto il tasto “purge all my data” ?
Quando guardi nell’abisso, ricorda che l’abisso guarda dentro di te - Friedrich Nietzsche
Ma forse è troppo, aspettarsi che l’attuale presidente degli Stati Uniti abbia letto Nietzsche. E’ con tristezza che assisto alla rapidità con cui gli Stati Uniti sembrano voler abbandonare i principi che ne hanno guidato la nascita e la crescita, in nome della “guerra al terrorismo”.
La tortura dei prigionieri. La detenzione indefinita senza processo. Lo spiare sui propri cittadini senza il mandato di un giudice.
Può sembrare piccola cosa in questo contesto, quella successa ad uno studente universitario, che ha preso in prestito il “libretto rosso” di Mao Tse-Tung, per completare una ricerca sul comunismo assegnatagli dal professore in un corso su “fascismo e totalitarismo”, e qualche tempo dopo ha ricevuto una visita a casa da un paio di agenti del “Dipartimento per la Sicurezza della Patria” (trad. letterale e un po’ Orwelliana di Department of Homeland Security”).
La strada verso l’inferno è lastricata di buone intenzioni. Ma anche di incompetenza e di una classe dirigente che non studia la storia e non impara da essa.
Wired fa una rassegna di chi ha paura di Google. Interessante la dichiarazione del direttore vendite di Google (”Stiamo cercando di trovare modi per non essere visti come un gorilla”) e la battutina dell’autore del pezzo (”Viste le sue ambizioni smisurate, questa è una ricerca che neanche a Google potrebbe riuscire”).
E’ interessante vedere come Google si stia trasformando rapidamente nel “lupo cattivo”, nonostante non ci sia ancora (quasi) nulla che indichi una tendenza ad abusare delle sue posizioni dominanti.
Interessanti anche le considerazioni di Ludo su come Google possa dimostrarsi un potentissimo motore per scoprire violazioni di copyright, e come, incrociando i dati del “eternal cookie” con i dati che potrebbe raccogliere da Google Analytics, Google possa saperne ancora di più sulle abitudini degli utenti Internet. E in questo caso, ancora più di abusi da parte di Google, mi preoccupa ancora di più la potenzialità che gli apparati statali hanno di abusare di questi dati: basta un mandato dal giudice, e via tutte le mail su gmail, le ricerche effettuate, il click-trail …
Senza dimenticare la possibilità di abuso da parte dei privati: già mi immagino le cause di divorzio in cui gli avvocati chiedono al giudice il mandato per ottenere da Google i dati sulle ricerche e visite XXX effettuate dal marito, accusato di infedeltà virtuale …
P.S. Per chi rimanesse perplesso dal titolo: consiglio l’ascolto dell’mp3 che trovate su questa pagina.
Eff e Stato del Texas denunciano Sony per il Rootkit. Rischio di risarcimenti milionari in caso di sconfitta. Una “cause célèbre” che potrebbe insegnare a tutti (produttori e consumatori) ad essere più diffidenti nei confronti dei consumatori ?
E chi si sarebbe mai aspettato di sentire una chicca del genere da Microsoft:
“Un personal computer si chiama personal computer perchè è vostro. E’ giusto che abbiate il controllo su tutto il software che ci gira sopra”.
Da incidere nella pietra. Sulle tavole delle “Libertà Digitali”.
Ci pensa l’autorità garante per la Privacy francese a controbilanciare i barlumi di moderazione rispetto alla pirateria che arrivavano dalla Francia.
La Commission National de l’Informatique et des Libertés ha infatti stabilito che gli editori di videogiochi possano ottenere in maniera automatica dati relativi alle persone che utilizzano un determinato indirizzo IP per commettere reati relativi alla proprietà intellettual.
Mi sembra sensato che questi dati possano essere utilizzati per mandare “avvertimenti”. La CNIL si sarebbe assicurata che i dati verranno utilizzati “solo per inviare messaggi di avvertimento” e che l’invio “non darà luogo ad alcuna conservazione di dati sugli utenti”. Le buone intenzioni ci sono. La segnalazione alle autorità è prevista solo per reati particolarmente gravi. Solo in questo caso è previsto che si possano ottenere dati anagrafici.
Trovo inopportuno, comunque, il trattamento “automatico” dei dati, soprattutto se gestito da privati. Poco è detto riguardo agli standard di prova (non ci vuole molto a creare false prove digitali sulla condivisione di file da un determinato IP), alla gestione di eventuali abusi, ecc.
Nel frattempo, il SELL (Syndicat des Editeurs de Logiciels de Loisirs) ha già inviato oltre 30.000 messaggi di avvertimento …
Può capitare che UPS perda un pacco. Se in questo pacco ci sono alcuni nastri di backup contententi i dettagli su 3,9 milioni di clienti della più grande banca Americana (Citicorp), il fatto diventa gravissimo.
Il pacchetto era destinato ad una agenzia di “credit reporting”, una di quelle agenzie che danno informazioni su quanto sia rischioso fare prestiti ad una determinata persona. I nastri contenevano i dati anagrafici degli utenti e informazioni sui loro conti correnti (trasferimenti, depositi, ecc.) e sui loro prestiti.
Magari i nastri si sono persi o distrutti in transito. Oppure, possono essere finiti nelle mani di alcuni malintenzionati. Certo, se i nastri sono stati inviati via UPS come un semplice pacco, si tratta di un atto di negligenza che mette a rischio milioni di persone (furto di identità, rapine, sequestri ….). Mi chiedo se i dati sui nastri fossero almeno criptati …
Update: No, ovviamente i dati non erano criptati. Ma Citicorp ha promesso che da Luglio in poi i backup saranno criptati e spediti elettronicamente. [Via Techdirt]
Mi stupiscono i numeri diffusi da Jupiter Research: il 58% degli utenti Internet ha cancellato almeno una volta i cookies dal proprio browser, il 39%li cancella una volta al mese.
Anzichè vederlo come un desiderio di privacy da parte degli utenti, la crescente attenzione alla “igiene dei cookies” viene visto come un attacco senza precedenti alla capacità degli advertiser di fare il loro lavoro. Quindi, piuttosto che cercare modi di fare pubblicità su Internet che non richiedano di invadere la privacy degli utenti, si cercano modi più subdoli di invaderla.
Ecco a voi, quindi, PIE (persistent identification element), un modo per sfruttare Flash Player per immagazzinare le informazioni e recuperare eventuali cookie cancellati. Notevole questa frase nell’articolo:
United Virtualities’s PIE aiuta a combattere questo comportamento dei consumatori, usando una caratteristica di Flash MX.
Breve nota a chi pensa che la pubblicità su Internet vada fatta in questa maniera (pop-up, tracking, ecc): quando il tuo modello di business richiede di “combattere i comportamenti dei consumatori”, hai un grosso problema.
Fortunatamente, Macromedia mette a disposizione una pagina che spiega in maniera esauriente come gestire i privacy settings di Flash Player.
Prestate attenzione ai tab “Impostazioni della privacy dei siti web” e “Impostazioni della memorizzazione dei siti web“.
[Via Slashdot]
Proprio quello di cui il formato PDF ha bisogno per diffondersi: il sospetto che sia possibile tracciare l’uso dei file PDF. Una azienda ha lanciato un servizio che permette di creare PDF che “chiamano a casa” per poter misurare l’audience. Giustamente, PDF Zone fa notare che la potenziale utilità di questo servizio è molto inferiore rispetto ai danni che farà all’immagine del formato PDF per quanto riguarda security/privacy.
Microsoft ha svelato AdCenter, il suo clone di Google AdWords.
Come conta di vendere pubblicità agli inserzionisti, Microsoft ? Offrendo “in-depth audience intelligence”, conoscenza approfondita della audience.
Se la domanda è “come fa MSFT a conoscere in profondità la audience ?”, la risposta è semplice: Microsoft ha tracciato le abitudini online degli utenti dei propri servizi web (MSN, Hotmail, Passport, ecc) grazie ai cookies e ad un identificatore unico globale (GUID).
In passato, i piani MSFT di usare i dati raccolti tramite l’uso del GUID non sonon mai stati portati a compimento per paura che “chi combatte per la privacy avrebbe accusato la tecnologia di usi pericolosi e invasivi di informazioni personali”. Penso che le paure fossero fondate, ma penso anche che questa volta MSFT abbia ritenuto che il piatto della pubblicità online sia troppo ricco e che Google e Yahoo! abbiano accumulato troppo vantaggio, per lasciarsi fermare da considerazioni di immagine o di rispetto della privacy degli utenti.
Triste vedere a cosa si è ridotto il termine hacker nell’uso dei media Italiani.
Una volta il significato di “hacker” era la definizione data da Wikipedia:
una persona che si impegna nell’affrontare sfide intellettuali per aggirare o superare creativamente le limitazioni che le vengono imposte, in primo luogo nei suoi ambienti di interesse, che solitamente comprendono l’informatica o l’ingegneria elettronica.
Progressivamente lo hacker è diventato quello che una volta si diceva “cracker”, ovvero chiunque usasse la propria perizia per compiere “malefatte tecnologiche”.
Ora è scomparso pure il requisito della perizia tecnologica. Si definiscono hacker gli ignoti che da una azienda della Regione Lazio sono entrati nei computer dell’anagrafe comunale di Roma per smascherare le firme false della lista Mussolini. Ma che razza di “hack” è ? Hanno usato una tessera contenente le password del database per accedervi al di fuori dei termini contrattuali e di legge. E’ un mezzuccio. Una violazione della privacy. Non è un hack. Non è neanche un “crack”. Avessero usato un “root-kit” … avessero mascherato le proprie tracce usando un Internet cafè o un proxy … Ma no, ormai, un hacker è diventato un ladro di dati di mezza tacca.
Wow. Ogni tanto mi chiedo se la mia ostilità all’attuale governo/maggioranza sia giustificata, oppure sia frutto di pregiudizi. (S)fortunatamente, le smentite arrivano sempre puntuali!
Questa volta è la nomina di Giuseppe Fortunato all’Autorità per la privacy. Chi potrebbe vigilare sulla privacy dei cittadini Italiani meglio di uno dei pochi condannati per violazione della privacy ? Fortunato è stato nominato da AN, e sul Corriere l’onorevole La Russa lo difende parla di aggressione politica, riguardo a chi si permette di questionare l’opportunità della nomina. Non so se si tratti di aggressione, ma certamente una nomina di questo tipo è un tema politico, che intacca pesantemente la (relativamente) poca autorevolezza che il garante della privacy è riuscito a costruire in passato.
Sono sicuro che la nomination di Fortunato all’Autorità da parte di AN è del tutto casuale, e che Fortunato sarà severo e imparziale, quando si tratterà di esaminare un eventuale ruolo di suoi ex compagni di Partito nell’intrusione all’anagrafe Comunale di Roma …
Prossimi passi nell’operazione Volpe nel Pollaio ? La nomina di uno dei 2-3 condannati per Insider Trading alla Consob (indisponibili perchè guadagnano troppoo proseguendo la precedente attività) ? Previti alla Corte Costituzionale ?
P.S. Il link della notizia è all’Unità, non perchè legga quel quotidiano, ma perchè è l’articolo del Corriere al riguardo non è online. Complimenti RCS.
Incredibile, dopo essersi accorti che forse i brevetti software non sono una così buona idea, a Bruxelles si sono accorti anche che le tecnologie DRM possono essere un rischio per la privacy. Chissà, magari un giorno la EU raggiungerà posizioni illuminate anche sulla questione della durata del diritto d’autore.
Si è rivelato piuttosto debole l’algoritmo criptografico dei chip RFID (identificazione in radiofrequenza) di Texas Instruments che vengono usati per gli immobilizer delle auto e per le tessere acquisto carburanti.
Un team di ricercatori dell’Università Johns Hopkins e di RSA Security ha sconfitto il sistema utilizzato nei chip RFID TI. I risultati della ricerca sono disponibili online e verranno annunciati pubblicamente sabato, ma secondo il team, tutto ciò che è necessario per rubare un auto sono alcuni secondi vicino al proprietario per estrarre i dati dalla chiave (non è necessario il contatto fisico con la chiave), meno di un ora di tempo per fare i calcoli necessari a decriptare i dati con un computer, e qualche secondo per entrare nella macchina, darle il codice e farla partire alla vecchia maniera (contatto tra i fili dell’accensione).
Ovviamente TI minimizza i risultati della ricerca pur non contestandoli.
Sta di fatto che se la vulnerabilità è comune anche ad altri chip RFID, tutta una serie di sistemi potrebbe “improvvisamente” rivelarsi insicura: immobilizer, sistemi tipo Telepass, sistemi di controllo accesso agli edifici, ecc. ecc.
Per non parlare dei balzani progetti di rendere i passaporti biometrici leggibili via radio già giustamente castigati da Bruce Schneier.
Ancora una volta, si dimostra che la cautela di coloro che vedevano nei chip RFID un potenziale strumento per violare la privacy in maniera massiccia si dimostra giustificata. Si può sperare che questa ricerca serva a migliorare la sicurezza dei sistemi RFID in futuro, e ad evitarne l’adozione laddove sono inutili o possono essere dannosi.
[Via Daily Wireless]
E’ cominciata la open beta di eXeem (Ora alla versione 0.20). Si consiglia però di passare direttamente ad eXeem Lite, ora alla versione 0.19 (un paio di giorni per la 0.20), a causa della presenza di spyware e adware in eXeem (in particolare Cydoor), come riportato da Slashdot.
Comincia ad essere dimostrato empiricamente quanto gli esperti di sicurezza predicano da tempo:
Ricapitolando: la presunta futura dominanza di Microsoft nell’elettronica di consumo si basa sull’accettazione da parte di produttori, fornitori di contenuto e utenti di uno standard come Windows Media che sta sostituendo Internet Explorer come eldorado per crackers e per chi vuole installare Spyware.
Il consiglio: trattate i file Windows Media scaricati da Internet come sospetti, al pari di programmi eseguibili scaricati da Internet.
Finalmente Microsoft si occupa attivamente del problema dello spyware per Windows: è disponibile la beta di Window AntiSpyware, il primo frutto dell’acquisizione di Giant Company Software dello scorso dicembre.
Sulla pagina di scaricamento compare anche una sezione in cui viene raccomandato di “validare” la propria installazione di Windows, per essere certi che sia legittima. Al momento questo passo è facoltativo ma raccomandato, per “avere accesso più rapidamente in futuro al Microsoft Download Center”. Ci si può aspettare che diventi obbligatorio in futuro.
Sono anche curioso di sapere se il servizio di aggiornamento di AntiSpyware rimarrà gratuito in futuro, o sarà necessario pagare un abbonamento.
