Sotto l’ombra degli olmi

Domani avrò forse un po di tempo da dedicare all’aggiornamento di wordpress.

Devo anche trovare il modo di gestire il problema dei commenti spam, ne ho più di 5000 da cancellare e non ce la posso fare… Il sistema del captcha non funziona più, avranno trovato un diavolo di modo di aggirarlo, maledetti!

Qualcuno ha un’idea di come fare per togliermeli dalle palle?

Il caso a volte assume strane forme, ma in fondo forse non è per caso se ieri sono venuto in possesso di un token sia per il mio conto Bancaintesa che per quello IWBank.

Entrambi sono stati emessi gratuitamente, Bancaintesa mi ha invitato in filiale a ritirarlo, mentre IWBank me lo ha spedito per posta, e questo secondo, per puro caso,  è arrivato proprio il giorno in cui sono andato a ritirare il primo.

Se vi state chiedendo cosa diavolo sia un token vi dirò che si tratta di un apparecchietto elettronico, con dimensioni simili a quelle di un telecomando per auto o per cancelli, e leggermente più grande di una chiavetta USB, che ha l’unico scopo di generare password.

In pratica premendo un bottoncino presente sul token appare nel piccolo display dell’oggettino una password da poter utilizzare per accedere al servizio associato a quel token, in questo caso il conto corrente online. L’aggeggio è fatto in modo da generare codici non in maniera casuale, ma secondo una regola che è conosciuta solo dal server del servizio associato, legata al momento in cui generate la password. In questo modo vengono utilizzate ogni volta password diverse che garantiscono l’utente contro eventuali intercettazioni della password da parte di spyware o trojan.

Se anche la password fosse intercettata non sarebbe utilizzabile. Questo tipo di password viene chiamato OTP (One Time Password) proprio per sottolineare il fatto che ogni password generata viene utilizzata una sola volta e poi perde di validità.

Per accedere al conto online non basta comunque la OTP, ma è necessario anche conoscere ed utilizzare la classica coppia user / pin che normalmente sarebbe sufficiente per la verifica di sicurezza.

In questo modo chi dovesse intercettare e tracciare la vostra sessione internet non potrebbe comunque violare il vostro conto (perché non ha l’apparato per generare una nuova OTP), mentre se vi rubassero o se smarriste il token con il quale vengono generate le OTP, questo non sarebbe da solo sufficiente ad accedere al conto, perché manca la conoscenza della coppia user / pin.

In sintesi, la protezione del conto corrente utilizzando questo piccolo apparato elettronico diventa molto più forte e difficilmente violabile.

La mole di attacchi phishing, la quantità di spyware e trojan diffusa ogni giorno e il buon senso, stanno spingendo le banche a prendere provvedimenti, e l’introduzione del token è senz’altro una buona notizia per noi utenti.

Questo rende ancora più assurda la posizione di Fineco che continua ad ignorare totalmente il problema e rischia in breve di diventare l’unica banca che affida la sicurezza delle sue applicazioni ad uno strumento arcaico come l’accesso controllato da user e password.

E per quella che altrimenti sarebbe la miglior banca online d’Italia si tratta di una grave mancanza.

PS Il token che mi ha inviato IWBank non è quello dell’immagine, ma un altro privo di porta USB e comunque perfettamente funzionante.

PPS Esisto comunque una serie di tecniche con le quali è possibile violare un accesso protetto da token, ma la sicurezza di un conto che lo utilizza è decisamente più alta di uno che basa il controllo solo sull’uso di user e password per l’accesso.

Questo breve articolo sulla difficoltà di cancellare i propri dati dai tanti luoghi della rete dove ci si è registrati mi ha fatto riflettere.

Io appartengo in effetti alla categoria degli early adopters, sono registrato a qualsiasi cosa vi venga in mente, e normalmente lo faccio utilizzando i miei dati reali e la mia mail personale. Ma in effetti non è una buona abitudine.

Come fare allora? Stante che nel mio caso ormai i miei dati sono sparsi in ogni dove nella rete, ipotizzando invece di partire da zero, cosa si può fare per evitare di distribuire i propri dati a destra e a manca senza però diventare scemi a ricordare mille informazioni diverse?

Credo che un buon approccio potrebbe essere quello di utilizzare i nostri dati reali con quei servizi e quei siti che siamo certi di voler utilizzare in maniera continua, e limitarci ad una falsa identità virtuale, magari sempre la stessa, per tutti quei casi in cui la nostra registrazione è finalizzata solo ad un breve giro per esplorare un servizio, o è obbligatoria per ottenere un risultato a breve termine.

In fondo siamo sempre in tempo a cambiare i nostri dati successivamente, o a fare una nuova registrazione.

Il punto di partenza per la nostra identità virtuale potrebbe essere uno dei tanti servizi di posta elettronica che consentono una registrazione online senza troppi controlli sui nostri dati. Personalmente utilizzerò gmail, ma se volete potete utilizzare anche altri fornitori simili.

Appuntatevi i dati personali che inserite nell’account gmail, saranno quelli che fornirete sempre quando vorrete  utilizzare la vostra identità virtuale. Per evitare un domani di essere accusati di aver impersonato qualcuno, evitate nomi noti, magari utilizzate una storpiatura dei vostri dati, in fondo non è l’anonimato che stiamo cercando di ottenere ma semplicemente un minimo di privacy.

Una volta creato l’account di posta su gmail e memorizzati i dati del nostro alias virtuale tutte le altre registrazioni a servizi e siti vari potranno utilizzare questo framework. I vantaggi sono parecchi, non dovremo neanche starci troppo a preoccupare di cancellare le nostre registrazioni dai vari servizi.

L’importante è ricordarci sempre, quando decidiamo che un certo servizio ci interessa davvero, di cambiare i dati della registrazione con quelli veri, oppure di effettuare una nuova registrazione “pulita”.

Un caso un pochino più complicato è quando abbiamo ormai i nostri dati reali inseriti in un sito che ci interessava, ma da cui vogliamo cancellarci. In questo caso l’account virtuale può a volte comunque essere utilizzato. Spesso infatti è possibile modificare i propri dati personali, indirizzo di email compreso. Quindi possiamo procedere a cambiare tutti i nostri dati (o almeno quelli che ci viene consentito di cambiare) con i dati del nostro alias virtuale, e solo successivamente a questo effettuare l’eventuale procedura di cancellazione della nostra iscrizione.

In questo modo anche se conservassero i dati post-cancellazione, sarebbero comunque quelli relativi al nostro alias.

È tutto per ora, se vi vengono in mente altre buone idee sul tema lasciate pure un commento.

Sotto le feste i messaggi di auguri sono all’ordine del giorno, ma il servizio creato all’uopo da Officemax ha una marcia in più.

I quattro elfi ballerini possono avere la vostra faccia, con pochi semplici passi è possibile creare un simpatico balletto che divertirà familiari e amici.

Se invece siete soli potete utilizzare il bellissimo scrooge.

Datemi retta, provateli e fatevi due belle risate in compagnia….

La notizia l’ha fatta la Cassazione condannando una persona che aveva creato un indirizzo email utilizzando il nome di un’altra persona e creando poi disagio e danno a quest’ultima.

I commenti letti in questi giorni sono vari, ma tendono ad approvare e festeggiare questa presa di posizione.

Personalmente non mi stupisco della sentenza. Mi sembra del tutto ovvio e giusto che chi impersona qualcun altro, specialmente quando lo fa allo scopo di procurargli un danno, sia punito.

Va però posta la massima attenzione affinché quella che è una buona sentenza non diventi per qualche furbacchione  un modo facile per censurare l’incensurabile internet, o peggio, per intentare cause stupide, inutili ed ingiuste verso chi, del tutto involontariamente, o comunque senza malafede, si ritrovi ad utilizzare un nickname, un nome di fantasia o, casualmente il nome di qualcun altro.

Leggo che alcuni ritengono sia doveroso impedire alle persone l’uso di pseudonimi o nickname, ma su questo mi trovo in completo disaccordo. Pur utilizzando regolarmente per le mie email il mio nome e cognome reali, capisco, comprendo e supporto chi non voglia fare questa scelta.

Per me la privacy rimane importante ed è necessario conciliare l’esigenza di difendere il diritto delle persone a non vedere la propria identità abusata con l’altrettanto sacrosanta esigenza di mantenere anonimato e privacy personali.

Senza scordare che sono ben diversi i casi in cui qualcuno impersoni in malafede un’altra identità da quelli in cui, apertamente e chiaramente, si impersoni qualcuno per satira o umorismo. Forse che gli imitatori vengono arrestati ?

Insomma una sentenza dolce, purché non venga utilizzata dai soliti noti per un finale amaro.

Prendo spunto da un articolo del Corriere per dire la mia sul tema degli SMS.

La prima cosa che mi diverte è la contrapposizione tra eMail ed SMS. Non c’è conflitto tra questi due strumenti, come non c’è conflitto tra telefono e SMS, tra email e telefono, tra telegramma e posta ordinaria.

Quello che fai con una email non puoi farlo con un SMS, quando potrai sarà in realtà l’SMS che è diventato email, utilizzando semplicemente un mezzo trasmissivo diverso. Non c’è grafica, non ci sono allegati, non c’è spessore in un SMS.

D’altra parte le email hanno tempi di scrittura e di trasmissione diversi, necessitano generalmente di un apparto differente da quello molto semplice necessario per scrivere un SMS. Sono insomma cose diverse.

Secondo l’articolo sembra quasi che gli SMS siano gli eredi dell’email, destinati a sostituirla.

In realtà penso che esista una generazione, o meglio, una fetta di generazione, che non utilizza la email, così come non utilizza internet ed altra tecnologia avanzata.

Gli SMS sono in realtà un po il simbolo della poca alfabetizzazione di molti nostri giovani. Non sanno scrivere, parlano male, sono apparentemente padroni della tecnologia ma in realtà la conoscono meno di molti dei loro genitori.

Gli SMS sono utili, usare solo quelli però mi puzza di cavernicolo.

La divisione culturale tra fasce di popolazione è per me evidente. Ci sono gli “operai”, poco istruiti, senza grandi competenze, pronti a seguire mode e pettegolare, parco buoi da spremere, grandi utilizzatori di cellulari, cosmetici, paccottiglie e perline. Il popolo dell’SMS e basta.

Divertente la parte dell’articolo che parla della privacy. Non c’è nulla di meno privato di un SMS, credetemi.

Va bene, l’articolo fa riferimento alla Corea, che è davvero un altro mondo culturale, ma le cose qui da noi sono davvero diverse?

In internet si definisce lurker una persona che segue un forum, o un blog, o una comunità di qualsiasi tipo, senza mai partecipare al dialogo, semplicemente leggendo.

A questo termine è sempre stata data una valenza negativa, quasi fosse un guardone, un po vigliacco e senza midollo.

Io respingo questa posizione. Credo che i lurker, nella definizione che ho dato, siano persone perfettamente degne di rispetto. Anzi per molti versi credo che i lurker siano spesso molto più intelligenti di molte persone che invece partecipano attivamente alle discussioni in corso.

Sono senz’altro migliori dei troll, coloro che partecipano solo per far casino. Ma anche di chi si esprime solo per il gusto di farlo, senza avere nessun valore concreto da portare al dialogo.

Un lurker in realtà partecipa alla discussione come gli altri, semplicemente non ritiene di avere qualcosa di costruttivo e intelligente da dire, o semplicemente segue la discussione con interesse ma senza competenze adeguate per poter partecipare. Non c’è niente di male in questo, lo trovo un atteggiamento assolutamente sensato.

Anche chi avrebbe qualcosa da dire ma non partecipa per paura di essere aggredito o perché non ha voglia di mettersi in gioco è da rispettare. Non tutti siamo uguali, c’è chi ama, o sopporta, l’esposizione e chi invece non riesce a gestirla e la evita. Non è un marchio di infamia.

Rispettate i lurker, perché alla fine sono loro la maggioranza ed è anche su di loro e tramite loro che le vostre parole hanno effetto. Un lurker online potrebbe essere un grande veicolo per le idee nella vita fisica. Non è escluso che dei dialoghi che segue non riporti qualcosa nel mondo dei suoi amici, parenti, colleghi. Non tutto amano scrivere online, alcuni preferiscono il dialogo de visu, il confronto personale.

Lurkate pure e non sentitevi in colpa, non c’è nulla di strano o anormale in voi, anzi forse siamo noi chiacchieroni a rappresentare l’anomalia, la sfacciata esibizione, forse, in fondo, i malati siamo noi.

Una delle cose che cerco sempre di far capire alla gente è quanto sia difficile applicare una qualsiasi legislazione alla rete Internet.

Generalmente si pensa che scrivendo una manciata di articoletti legali si possa “controllare” l’attività umana in rete, e sono continui i tentativi in questo senso dei nostri legislatori.

Usualmente inutili.

Il problema è la complessità della nostra società, dei servizi internet, dei processi sociali moderni. E quando è presente complessità, quando un processo attraversa più strati sociali e tecnologici, si trova facilmente il modo di sfuggire ad ogni controllo, anche in maniera del tutto legale.

Leggo oggi di una delle tante operazioni della polizia postale contro Internet Point colpevoli di non seguire le norme stabilite tempo fa dal famoso decreto Pisanu. In particolare si agisce contro strutture che non osservano l’obbligo di registrazione dei documenti di chi utilizza la rete.

L’obiettivo della legge, che ricordo nasce per contrastare il terrorismo internazionale, è quello di evitare la navigazione anonima. In pratica quello che si vuole è poter ottenere sempre e comunque l’identità della persona che sta utilizzando una certa connessione in un certo momento.

Come sapete utilizzando il codice IP e l’orario si può risalire alla linea utilizzata per la connessione, e negli Internet Point costringendo gli esercenti a registrare i documenti di chi naviga, insieme agli orari di inizio e fine connessione, si può di fatto identificare, almeno in via teorica, la persona che ha utilizzato quell’IP in quel dato momento.

Può sembrare una cosa sensata, e d’altra parte non c’è niente di male in questo sforzo, ma purtroppo è del tutto inutile contro il terrorismo, pur rappresentando come minimo un fastidio per gli utenti.

Inutile perché ha varie limitazioni. Prima di tutto riguarda solo il nostro territorio, quindi di fatto non c’è certezza di identificare qualsiasi connessione che provenga da un altro paese.

In secondo luogo un terrorista può tranquillamente riuscire ad utilizzare una serie di computer diversi dal suo per fare quello che deve, senza lasciare tracce che lo possono ricondurre a lui.

Per finire, e qui entra il gioco il concetto che ho espresso all’inizio del post, per quanto sia ben fatta una legge e dettagliato il suo regolamento, ci sono sempre possibilità che la complessità dei servizi e dei processi rendano possibile aggirare le regole.

Un esempio concreto l’ho scoperto a inizio novembre durante il mio viaggetto ad Arezzo. Ho soggiornato in un Hotel e per accedere ad Internet ho utilizzato la rete wireless dell’albergo, del fornitore Vodafone.

Per accedere utilizzavo un portatile, si presentava una pagina di accoglienza dove inserivo i dati della carta di credito ed acquistavo il diritto di navigazione per un certo tempo.

Teoricamente questo dovrebbe essere sufficiente ad identificarmi poiché la carta di credito è associata ad una persona fisica, ma, come molti sapranno, sono commercializzate in Italia delle carte di credito NON ricaricabili, precaricate, che non richiedono al momento dell’acquisto l’identificazione del compratore.

Utilizzando una di queste carte è possibile inserire dati personali casuali nei form di registrazione online e si può acquistare un token di navigazione dagli access point che vendono questo tipo di servizio, come quello Vodafone che ho utilizzato ad Arezzo. In particolare io ho utilizzato una carta Soldintasca.

Il risultato è che chiunque, comprando una carta di questo tipo ed utilizzandola per navigare wireless, può di fatto accedere ad internet in maniera totalmente anonima, senza timore di essere identificato. Un bel problema se consideriamo gli ingenti sforzi richiesti a tutti i Service Provider ed Internet Point per adeguarsi alla legge.

Il problema potrebbe forse essere risolto evitando l’utilizzo di queste particolari carte, ma ci sarebbe sempre la possibilità di utilizzare carte estere che spesso possono essere comprate anonimamente, o carte clonate. Allora dovrebbe essere evitato del tutto il pagamento con carta di credito, e così via man mano che si scoprirebbero nuovi modi di navigare anonimamente, in una escalation di restrizioni che ci renderebbero un po ridicoli e probabilmente non raggiungerebbero comunque lo scopo.

La verità è che, come diceva una bella canzone, “come può uno scoglio arginare il mare?“, o anche, parafrasando un bel film: “è la rete bellezza, e tu non puoi fermarla…“.

Vi ho raccontato qualche settimana fa che ho iniziato un esperimento con Google AD Sense, tanto per vedere come va e cosa può rendere potenzialmente un blog.

Tra qualche tempo farò un bel report sulla piccola esperienza, nel frattempo un primo risultato è stato raggiunto, ho la conferma che il denaro è figlio del diavolo.

Ecco la prova, questi i guadagni del blog dall’installazione di AD Sense circa un mese fa:

La email è uno degli strumenti più utilizzati in ambito Internet, praticamente tutti ne abbiamo una e la usiamo per i più disparati motivi.

Da sempre abbiamo considerato le nostre mail private come sicure, o quanto meno protette da una serie di leggi e norme che ne garantivano, almeno formalmente, la riservatezza.

Questa riservatezza diventa però ogni giorno meno certa, sia per la tendenza dei provider ad inserire nei contratti clausole che considerano le nostre email “non tanto private“, sia per le modifiche legislative che consentono sempre più facilmente l’accesso alla nostra posta.

Mentre tutto sommato l’eventuale accesso dell’autorità giudiziaria alle nostre mail potrebbe preoccuparci poco, l’uso che ne potrebbe fare il nostro provider è meno rassicurante.

Anche se non ho niente da nascondere rimane il fatto che il pensiero stesso di qualcuno che legge la mia posta privata crea in me un fastidio profondo, e per questo motivo, senza sprofondare nella paranoia, penso sarebbe opportuno per tutti noi cominciare a proteggere il contenuto delle nostre email con strumenti adeguati.

Parlando di protezione dei contenuti il primo strumento che ci viene in aiuto è ovviamente quello della crittografia. Codificando opportunamente i messaggi in uscita saremo al sicuro da qualsiasi tipo di intercettazione.

In questo articolo illustro un primo modo con il quale attivare proficuamente la crittografia e la firma digitale utilizzando Thunderbird e strumenti gratuiti.

Thunderbird è il client di posta della famiglia Mozilla, parente stretto di Firefox anche se meno famoso, ed è disponibile nei due ambienti che io utilizzo regolarmente: Windows e Linux. Quanto segue ha piena validità in entrambi gli ambienti citati.

La prima e più semplice possibilità che ci viene offerta utilizzando Thunderbird per la protezione della nostra posta è quella di installare un certificato digitale standard associato al nostro indirizzo di posta elettronica. L’utilizzo del certificato ci permetterà di firmare la nostra posta ed eventualmente anche di crittografarla quando anche il nostro destinatario sia in possesso di un certificato digitale.

Il modo più facile ed economico che conosco per ottenere un certificato digitale da utilizzare per questo scopo è quello di farsene assegnare uno da Thawte.

Il processo di registrazione e generazione del certificato è chiaramente descritto nel sito e richiede qualche piccola attesa, ma vale la pena di fare un piccolo sforzo, ed è, al momento in cui scrivo, completamente gratuito.

Una volta ottenuto il certificato personale potrete installarlo in Thunderbird: aprite le opzioni, scegliete Avanzate (Advanced) e da li Certificati (Certificates) cliccate su Mostra Certificati (View Certificates) e quindi Importa (Import), selezionate il file del certificato che avrete scaricato dal sito Thawte e il lavoro è fatto.

Ora avrete nuove opzioni e un nuovo bottone quando invierete messaggi, “S/MIME“, che vi consente di firmare e crittografare i messaggi. Mentre per la firma non esistono limitazioni, per poter crittografare il messaggio è necessario che anche il destinatario sia in possesso di un certificato e che voi ne abbiate memorizzata la chiave pubblica. Normalmente per avere la chiave pubblica di un’altra persona è sufficiente ricevere un messaggio “firmato” da quella persona.

Ricordatevi dopo aver installato il certificato di modificare le opzioni degli account dove compare una nuova pagina “security” o “sicurezza” nella quale potrete selezionare il certificato da utilizzare e le opzioni relative alla firma ed alla crittografia.

Questo prima operazione ci consente già di inviare posta firmata ed eventualmente crittografata, più avanti vedremo un altro metodo per ottenere lo stesso risultato senza ricorrere ad un certificato rilasciato da una authority esterna, da utilizzare in alternativa o in contemporanea con quello spiegato oggi.