Sotto l’ombra degli olmi

La recessione non è più un’ipotesi, ma una realtà ormai certa. Quanto durerà e quanto sarà profonda nessuno può dirlo, ma di certo comporterà una modifica nel comportamento delle società, piccole o grandi che siano.

Un aspetto interessante di questo fenomeno è il comportamento delle società nei riguardi della sicurezza informatica. Manterranno un adeguato livello di spesa? Oppure il settore della sicurezza, apparentemente meno legato al core business, sarà oggetto di tagli significativi?

Sono propenso a pensare che molte aziende, specialmente se in forte difficoltà, taglieranno proprio sui costi della sicurezza, in maniera particolare quelle dove la cultura della sicurezza non è particolarmente sentita, e che quindi già erano maggiormente esposte al rischio.

Anche sul fronte personale potremmo vedere una diminuzione della sicurezza. Persone meno disponibili a spendere potrebbero ricorrere in numero maggiore a fonti non sicure (P2P, software piratato etc), con conseguente aumento del numero di computer compromessi.

Ritengo che il 2009 sarà per il malware un anno d’oro. Sarà più facile creare reti di computer compromessi da cui sferrare ulteriori attacchi, più facile penetrare aziende di medie e piccole dimensioni, più facile vendere prodotti illegali e, infine, più facile catturare persone con siti scam e false offerte vantaggiose.

Se esistesse in borsa un indice del malware questo sarebbe il momento giusto per investire…

Il caso a volte assume strane forme, ma in fondo forse non è per caso se ieri sono venuto in possesso di un token sia per il mio conto Bancaintesa che per quello IWBank.

Entrambi sono stati emessi gratuitamente, Bancaintesa mi ha invitato in filiale a ritirarlo, mentre IWBank me lo ha spedito per posta, e questo secondo, per puro caso,  è arrivato proprio il giorno in cui sono andato a ritirare il primo.

Se vi state chiedendo cosa diavolo sia un token vi dirò che si tratta di un apparecchietto elettronico, con dimensioni simili a quelle di un telecomando per auto o per cancelli, e leggermente più grande di una chiavetta USB, che ha l’unico scopo di generare password.

In pratica premendo un bottoncino presente sul token appare nel piccolo display dell’oggettino una password da poter utilizzare per accedere al servizio associato a quel token, in questo caso il conto corrente online. L’aggeggio è fatto in modo da generare codici non in maniera casuale, ma secondo una regola che è conosciuta solo dal server del servizio associato, legata al momento in cui generate la password. In questo modo vengono utilizzate ogni volta password diverse che garantiscono l’utente contro eventuali intercettazioni della password da parte di spyware o trojan.

Se anche la password fosse intercettata non sarebbe utilizzabile. Questo tipo di password viene chiamato OTP (One Time Password) proprio per sottolineare il fatto che ogni password generata viene utilizzata una sola volta e poi perde di validità.

Per accedere al conto online non basta comunque la OTP, ma è necessario anche conoscere ed utilizzare la classica coppia user / pin che normalmente sarebbe sufficiente per la verifica di sicurezza.

In questo modo chi dovesse intercettare e tracciare la vostra sessione internet non potrebbe comunque violare il vostro conto (perché non ha l’apparato per generare una nuova OTP), mentre se vi rubassero o se smarriste il token con il quale vengono generate le OTP, questo non sarebbe da solo sufficiente ad accedere al conto, perché manca la conoscenza della coppia user / pin.

In sintesi, la protezione del conto corrente utilizzando questo piccolo apparato elettronico diventa molto più forte e difficilmente violabile.

La mole di attacchi phishing, la quantità di spyware e trojan diffusa ogni giorno e il buon senso, stanno spingendo le banche a prendere provvedimenti, e l’introduzione del token è senz’altro una buona notizia per noi utenti.

Questo rende ancora più assurda la posizione di Fineco che continua ad ignorare totalmente il problema e rischia in breve di diventare l’unica banca che affida la sicurezza delle sue applicazioni ad uno strumento arcaico come l’accesso controllato da user e password.

E per quella che altrimenti sarebbe la miglior banca online d’Italia si tratta di una grave mancanza.

PS Il token che mi ha inviato IWBank non è quello dell’immagine, ma un altro privo di porta USB e comunque perfettamente funzionante.

PPS Esisto comunque una serie di tecniche con le quali è possibile violare un accesso protetto da token, ma la sicurezza di un conto che lo utilizza è decisamente più alta di uno che basa il controllo solo sull’uso di user e password per l’accesso.

Con alcuni milioni di giocatori sparsi per il mondo World of Warcraft è certamente uno dei giochi on line più diffusi nel mondo. Le sue caratteristiche sono tali da coinvolgere profondamente molte persone, fin troppo a volte, e questo, nel bene e nel male, ha creato un vero e proprio business intorno al gioco.

Soldi ed oggetti virtuali, così come servizi, vengono venduti in maniera più o meno legale.

Vere e proprie aziende reclutano giovani lavoratori che “farmano” all’interno del gioco raccogliendo soldi virtuali (“gold”) che vengono poi rivenduti a giocatori che non hanno il tempo o la voglia di racimolare quei soldi virtuali da soli e sono disposti a pagare soldi veri per averli.

Nello stesso modo si possono comprare servizi. Ci sono piccole società che mettono a disposizione persone che giocano al posto vostro (può sembrare assurdo ma è così) per ore ed ore, allo scopo di raggiungere certi obiettivi per il vostro personaggio nel gioco. Livelli di esperienza, honor ed altri obiettivi vengono concordati e pagati.

Anche se ufficialmente Blizzard proibisce la pratica, c’è anche un fiorente mercato dei personaggi. Anche in questo caso “lavoratori” vengono pagati per crescere personaggi fino al massimo livello per poi venderli a chi vuole evitare quella fatica. Si tratta di cifre piccole se comparate al tempo impiegato per ottenere l’obiettivo, ma significative nei paesi dove vengono reclutati questi lavoratori. Un personaggio di livello 70 (il massimo raggiungibile per il momento in WoW) può costare poche centinaia di dollari, ma richiede almeno 200 o più ore di “lavoro”.

Non c’è quindi da stupirsi se i giocatori di World od Warcraft vengono considerati da alcuni gruppi hacker come un buon target per ricavare soldi. Violare un acconto può portare parecchio denaro. Si possono trasformare gli oggetti dei suoi personaggi in materiale vendibile da cui ricavare “gold” da vendere nei modi suddetti. Si può anche vendere a qualche ignaro acquirente l’account violato ricavandone altro denaro. Insomma non ci si fanno miliardi, ma son sempre bei soldi, specialmente in certi paesi.

E’ così che si intensificano sempre più gli attacchi, specialmente quelli basati su phishing e social engineering, anche considerando che molto spesso il giocatore di WoW è piuttosto giovane, e che, proprio per la sua dedizione al gioco, risulta facile preda del panico quando gli vengono recapitati messaggi allarmanti (“ti stiamo per sospendere l’account”), con forte possibilità di reagire al phishing senza riflettere, sull’onda dell’emozione.

Perciò cari amici, se Blizzard vi scrive, non allarmatevi troppo, e prima di cliccare su quei link pensateci bene, aprite il vostro browser e digitate voi, con le vostre manine sante, l’indirizzo normale del sito di World of Warcraft.

Così magari evitate di piangere poi….

Questo breve articolo sulla difficoltà di cancellare i propri dati dai tanti luoghi della rete dove ci si è registrati mi ha fatto riflettere.

Io appartengo in effetti alla categoria degli early adopters, sono registrato a qualsiasi cosa vi venga in mente, e normalmente lo faccio utilizzando i miei dati reali e la mia mail personale. Ma in effetti non è una buona abitudine.

Come fare allora? Stante che nel mio caso ormai i miei dati sono sparsi in ogni dove nella rete, ipotizzando invece di partire da zero, cosa si può fare per evitare di distribuire i propri dati a destra e a manca senza però diventare scemi a ricordare mille informazioni diverse?

Credo che un buon approccio potrebbe essere quello di utilizzare i nostri dati reali con quei servizi e quei siti che siamo certi di voler utilizzare in maniera continua, e limitarci ad una falsa identità virtuale, magari sempre la stessa, per tutti quei casi in cui la nostra registrazione è finalizzata solo ad un breve giro per esplorare un servizio, o è obbligatoria per ottenere un risultato a breve termine.

In fondo siamo sempre in tempo a cambiare i nostri dati successivamente, o a fare una nuova registrazione.

Il punto di partenza per la nostra identità virtuale potrebbe essere uno dei tanti servizi di posta elettronica che consentono una registrazione online senza troppi controlli sui nostri dati. Personalmente utilizzerò gmail, ma se volete potete utilizzare anche altri fornitori simili.

Appuntatevi i dati personali che inserite nell’account gmail, saranno quelli che fornirete sempre quando vorrete  utilizzare la vostra identità virtuale. Per evitare un domani di essere accusati di aver impersonato qualcuno, evitate nomi noti, magari utilizzate una storpiatura dei vostri dati, in fondo non è l’anonimato che stiamo cercando di ottenere ma semplicemente un minimo di privacy.

Una volta creato l’account di posta su gmail e memorizzati i dati del nostro alias virtuale tutte le altre registrazioni a servizi e siti vari potranno utilizzare questo framework. I vantaggi sono parecchi, non dovremo neanche starci troppo a preoccupare di cancellare le nostre registrazioni dai vari servizi.

L’importante è ricordarci sempre, quando decidiamo che un certo servizio ci interessa davvero, di cambiare i dati della registrazione con quelli veri, oppure di effettuare una nuova registrazione “pulita”.

Un caso un pochino più complicato è quando abbiamo ormai i nostri dati reali inseriti in un sito che ci interessava, ma da cui vogliamo cancellarci. In questo caso l’account virtuale può a volte comunque essere utilizzato. Spesso infatti è possibile modificare i propri dati personali, indirizzo di email compreso. Quindi possiamo procedere a cambiare tutti i nostri dati (o almeno quelli che ci viene consentito di cambiare) con i dati del nostro alias virtuale, e solo successivamente a questo effettuare l’eventuale procedura di cancellazione della nostra iscrizione.

In questo modo anche se conservassero i dati post-cancellazione, sarebbero comunque quelli relativi al nostro alias.

È tutto per ora, se vi vengono in mente altre buone idee sul tema lasciate pure un commento.

Recentemente il Garante per la Privacy ha emesso una delibera che imporrebbe ai gestori telefonici la cancellazione dei dati relativi alla navigazione degli utenti.

Ovviamente la cosa è stata accolta con grande gioia dagli utenti e alcuni hanno espresso sospetti riguardo al trattamento che di questi dati facevano i gestori.

Dalla mia posizione di privilegio (lavoro per uno di questi gestori e mi sono occupato recentemente proprio di questi temi), sono in grado di dire, per quello che sono le mie conoscenze, che questi sospetti sono infondati. Non solo i log destinati alla magistratura non sono utilizzati per altri scopi, ma sono protetti da qualsiasi accesso con misure di sicurezza maniacali. Certo qualsiasi sistema può essere violato e abusato, ma viene fatto tutto il possibile per evitarlo, con costi ingenti.

Al di la di questo, la mia esperienza mi dice che l’ultima mossa del Garante procurerà non poche grane ai gestori, per il semplice motivo che ora ci troviamo di fronte a due diverse autorità dello Stato che ci ordinano di fare cose tra loro discordanti.

Da una parte il parlamento ha recentemente prorogato i termini del vecchio decreto anti-terrorismo Pisanu, il quale SOSPENDE la validità delle regole sulla privacy, imponendo ai gestori la conservazione di qualsiasi log sia prodotto dai sistemi informatici. Dall’altra abbiamo questo nuovo atto del Garante che ci impone di cancellare tutto.

Ovviamente si procederà per via legale, ma vi assicuro che i Gestori Telefonici sarebbero BEN FELICI di poter cancellare TUTTO, SEMPRE.

Tutto il resto è solo fuffa, e la cosa più grave, che nessuno sembra vedere, è che siamo in uno Stato che emette provvedimenti impegnativi per le aziende in maniera non coordinata e confusionaria, senza una strategia, con grande nocumento per queste stesse aziende, sia dal punto di vista economico che di immagine.

In questi giorni sta girando, non so bene se scatenata da spamming o da semplice social engineering, una catena di sant’Antonio che sollecita ad inviare un messaggio SMS al numero 48405 per cancellarsi da una fantomatica chat a pagamento.

Sono abbastanza convinto che si tratti di una sola, anzi di una doppia sola. Vi consiglio di non inviare il messaggio, probabilmente quello sarebbe l’unica cosa che paghereste.

Se io volessi fare un po di soldi potrei mettere su un servizio a pagamento, di quelli che generano soldi quando qualcuno manda SMS ad un mio numero. Poi metterei in giro uno spam dove si dice che siete stati fregati e che per fermare la fregatura dovete mandare un SMS al mio numero a pagamento. Voi lo mandate, io vi do conferma così la cosa appare persino più credibile, ed incasso una valanga di soldi.

In più difficilmente sarei perseguibile, perchè difficilmente si potrebbe risalire a chi ha innescato la catena di spam, e se anche ci si arrivasse non sarebbe collegabile a me, visto che avrei usato uno dei tanti spammatori internazionali disponibili sul mercato.

Insomma, non so se davvero questo è il caso, ma è probabile che nessuno vi abbia attivato un servizio di nascosto (senza conferme tra l’altro) ed è altresì probabile che inviando il messaggio di sospensione di un servizio mai attivato di fatto versiate volontariamente dei soldi a qualcuno.

Ad Attivissimo l’onere dell’indagine :-) Vedrete che prima o poi gli arriva la cosa e vi spara un’articolo che spiega tutto.

Nel frattempo cercate di non credere a tutto quello che vi dicono.

Una delle cose che cerco sempre di far capire alla gente è quanto sia difficile applicare una qualsiasi legislazione alla rete Internet.

Generalmente si pensa che scrivendo una manciata di articoletti legali si possa “controllare” l’attività umana in rete, e sono continui i tentativi in questo senso dei nostri legislatori.

Usualmente inutili.

Il problema è la complessità della nostra società, dei servizi internet, dei processi sociali moderni. E quando è presente complessità, quando un processo attraversa più strati sociali e tecnologici, si trova facilmente il modo di sfuggire ad ogni controllo, anche in maniera del tutto legale.

Leggo oggi di una delle tante operazioni della polizia postale contro Internet Point colpevoli di non seguire le norme stabilite tempo fa dal famoso decreto Pisanu. In particolare si agisce contro strutture che non osservano l’obbligo di registrazione dei documenti di chi utilizza la rete.

L’obiettivo della legge, che ricordo nasce per contrastare il terrorismo internazionale, è quello di evitare la navigazione anonima. In pratica quello che si vuole è poter ottenere sempre e comunque l’identità della persona che sta utilizzando una certa connessione in un certo momento.

Come sapete utilizzando il codice IP e l’orario si può risalire alla linea utilizzata per la connessione, e negli Internet Point costringendo gli esercenti a registrare i documenti di chi naviga, insieme agli orari di inizio e fine connessione, si può di fatto identificare, almeno in via teorica, la persona che ha utilizzato quell’IP in quel dato momento.

Può sembrare una cosa sensata, e d’altra parte non c’è niente di male in questo sforzo, ma purtroppo è del tutto inutile contro il terrorismo, pur rappresentando come minimo un fastidio per gli utenti.

Inutile perché ha varie limitazioni. Prima di tutto riguarda solo il nostro territorio, quindi di fatto non c’è certezza di identificare qualsiasi connessione che provenga da un altro paese.

In secondo luogo un terrorista può tranquillamente riuscire ad utilizzare una serie di computer diversi dal suo per fare quello che deve, senza lasciare tracce che lo possono ricondurre a lui.

Per finire, e qui entra il gioco il concetto che ho espresso all’inizio del post, per quanto sia ben fatta una legge e dettagliato il suo regolamento, ci sono sempre possibilità che la complessità dei servizi e dei processi rendano possibile aggirare le regole.

Un esempio concreto l’ho scoperto a inizio novembre durante il mio viaggetto ad Arezzo. Ho soggiornato in un Hotel e per accedere ad Internet ho utilizzato la rete wireless dell’albergo, del fornitore Vodafone.

Per accedere utilizzavo un portatile, si presentava una pagina di accoglienza dove inserivo i dati della carta di credito ed acquistavo il diritto di navigazione per un certo tempo.

Teoricamente questo dovrebbe essere sufficiente ad identificarmi poiché la carta di credito è associata ad una persona fisica, ma, come molti sapranno, sono commercializzate in Italia delle carte di credito NON ricaricabili, precaricate, che non richiedono al momento dell’acquisto l’identificazione del compratore.

Utilizzando una di queste carte è possibile inserire dati personali casuali nei form di registrazione online e si può acquistare un token di navigazione dagli access point che vendono questo tipo di servizio, come quello Vodafone che ho utilizzato ad Arezzo. In particolare io ho utilizzato una carta Soldintasca.

Il risultato è che chiunque, comprando una carta di questo tipo ed utilizzandola per navigare wireless, può di fatto accedere ad internet in maniera totalmente anonima, senza timore di essere identificato. Un bel problema se consideriamo gli ingenti sforzi richiesti a tutti i Service Provider ed Internet Point per adeguarsi alla legge.

Il problema potrebbe forse essere risolto evitando l’utilizzo di queste particolari carte, ma ci sarebbe sempre la possibilità di utilizzare carte estere che spesso possono essere comprate anonimamente, o carte clonate. Allora dovrebbe essere evitato del tutto il pagamento con carta di credito, e così via man mano che si scoprirebbero nuovi modi di navigare anonimamente, in una escalation di restrizioni che ci renderebbero un po ridicoli e probabilmente non raggiungerebbero comunque lo scopo.

La verità è che, come diceva una bella canzone, “come può uno scoglio arginare il mare?“, o anche, parafrasando un bel film: “è la rete bellezza, e tu non puoi fermarla…“.

La email è uno degli strumenti più utilizzati in ambito Internet, praticamente tutti ne abbiamo una e la usiamo per i più disparati motivi.

Da sempre abbiamo considerato le nostre mail private come sicure, o quanto meno protette da una serie di leggi e norme che ne garantivano, almeno formalmente, la riservatezza.

Questa riservatezza diventa però ogni giorno meno certa, sia per la tendenza dei provider ad inserire nei contratti clausole che considerano le nostre email “non tanto private“, sia per le modifiche legislative che consentono sempre più facilmente l’accesso alla nostra posta.

Mentre tutto sommato l’eventuale accesso dell’autorità giudiziaria alle nostre mail potrebbe preoccuparci poco, l’uso che ne potrebbe fare il nostro provider è meno rassicurante.

Anche se non ho niente da nascondere rimane il fatto che il pensiero stesso di qualcuno che legge la mia posta privata crea in me un fastidio profondo, e per questo motivo, senza sprofondare nella paranoia, penso sarebbe opportuno per tutti noi cominciare a proteggere il contenuto delle nostre email con strumenti adeguati.

Parlando di protezione dei contenuti il primo strumento che ci viene in aiuto è ovviamente quello della crittografia. Codificando opportunamente i messaggi in uscita saremo al sicuro da qualsiasi tipo di intercettazione.

In questo articolo illustro un primo modo con il quale attivare proficuamente la crittografia e la firma digitale utilizzando Thunderbird e strumenti gratuiti.

Thunderbird è il client di posta della famiglia Mozilla, parente stretto di Firefox anche se meno famoso, ed è disponibile nei due ambienti che io utilizzo regolarmente: Windows e Linux. Quanto segue ha piena validità in entrambi gli ambienti citati.

La prima e più semplice possibilità che ci viene offerta utilizzando Thunderbird per la protezione della nostra posta è quella di installare un certificato digitale standard associato al nostro indirizzo di posta elettronica. L’utilizzo del certificato ci permetterà di firmare la nostra posta ed eventualmente anche di crittografarla quando anche il nostro destinatario sia in possesso di un certificato digitale.

Il modo più facile ed economico che conosco per ottenere un certificato digitale da utilizzare per questo scopo è quello di farsene assegnare uno da Thawte.

Il processo di registrazione e generazione del certificato è chiaramente descritto nel sito e richiede qualche piccola attesa, ma vale la pena di fare un piccolo sforzo, ed è, al momento in cui scrivo, completamente gratuito.

Una volta ottenuto il certificato personale potrete installarlo in Thunderbird: aprite le opzioni, scegliete Avanzate (Advanced) e da li Certificati (Certificates) cliccate su Mostra Certificati (View Certificates) e quindi Importa (Import), selezionate il file del certificato che avrete scaricato dal sito Thawte e il lavoro è fatto.

Ora avrete nuove opzioni e un nuovo bottone quando invierete messaggi, “S/MIME“, che vi consente di firmare e crittografare i messaggi. Mentre per la firma non esistono limitazioni, per poter crittografare il messaggio è necessario che anche il destinatario sia in possesso di un certificato e che voi ne abbiate memorizzata la chiave pubblica. Normalmente per avere la chiave pubblica di un’altra persona è sufficiente ricevere un messaggio “firmato” da quella persona.

Ricordatevi dopo aver installato il certificato di modificare le opzioni degli account dove compare una nuova pagina “security” o “sicurezza” nella quale potrete selezionare il certificato da utilizzare e le opzioni relative alla firma ed alla crittografia.

Questo prima operazione ci consente già di inviare posta firmata ed eventualmente crittografata, più avanti vedremo un altro metodo per ottenere lo stesso risultato senza ricorrere ad un certificato rilasciato da una authority esterna, da utilizzare in alternativa o in contemporanea con quello spiegato oggi.

Ho sempre considerato Paypal un servizio geniale, certo con dei limiti e dei rischi, ma certamente utilissimo, sia per la sicurezza aggiuntiva che offre, sia per la praticità che introduce nei pagamenti online.

Tra pochi giorni Paypal introdurrà un altro servizio alla sua già fornita offerta, e seppure non si tratti di una novità assoluta, aggiunge grandi potenzialità per i suoi clienti.

Si tratta della PayPal Secure Card, la possibilità per i clienti Paypal di effettuare pagamenti online per fornitori che non accettano il servizio Paypal ma accettano invece la carta Mastercard.

In pratica quando avremo bisogno di acquistare qualcosa su un sito che accetta la Mastercard potremo utilizzare Paypal per generare un codice di carta di credito virtuale da utilizzare per quel singolo pagamento. Un bottone nel vostro browser consentirà di generare la carta virtuale e riempirà i campi necessari alla transazione.

Ci sono due forti valori in questo servizio. Il primo risiede nel fatto che il cliente può utilizzare Paypal anche quando gli acquisti vengono fatti su siti che non riconoscono quel tipo di pagamento, il secondo nella maggiore sicurezza che questo comporta rispetto all’utilizzo di una carta di credito tradizionale.

In questo modo infatti la carta utilizzata sarà valida solo per quella transazione, garantendovi la massima sicurezza in ogni caso.

Un servizio simile era fornito da una banca italiana, di cui ora non ricordo il nome, con modalità tecnicamente diverse ma simili, ma non mi sembra abbia avuto molto seguito. Inserito in un sistema diffuso come quello di Paypal sicuramente avremo un uso più consistente di questa feature.

Al momento sembra che il servizio sia utilizzabile su browser Internet Explorer e Firefox sotto Windows, ma è auspicabile una estensione futura ad altri browser e sistemi operativi.

Paypal continua ad evolvere e si vocifera in giro che Google sia interessata ad acquistarla, si tratterà di voci reali? Google ha il suo sistema di pagamento ma certamente non la base clienti di Paypal. Staremo a vedere, per noi clienti l’importante è che rimanga un buon servizio a prezzi accettabili…

Qualche giorno fa ho letto un interessante articolo su SecurityFocus riguardo lo stato della privacy negli Stati Uniti. C’è una forte e costante tendenza di questi fenomeni a migrare dagli USA all’Europa con tempi più o meno rapidi, quindi osservare attentamente quello che accade in quel paese ci può in parte far capire cosa potrebbe accadere da noi.

In campo tecnologico questo è sicuramente vero, in quello legislativo per fortuna la cosa è meno immediata, ma rappresenta pur sempre una forte probabilità di evoluzione.

Quello che l’articolo racconta, ciò che sta avvenendo negli USA, è che la legislazione prende sempre più posizione nella direzione di non garantire la privacy del cittadino per quanto riguarda la posta elettronica.

Nuove sentenze arrivano a stabilire vincoli sempre meno stretti per lo stato nell’intercettazione e nell’accesso ai dati privati (la posta elettronica) dei cittadini. In pratica assistiamo allo smantellamento di garanzie che erano piuttosto forti in uno stato come quello statunitense. In particolare si sta praticamente escludendo l’applicazione del quarto emendamento agli ambiti relativi alla posta elettronica.

I cavilli attraverso i quali si arriva a questo risultato non sono molto importanti, comprendono lo sfruttamento (contro di noi) dei contratti degli ISP ed altre finezze. Quello che conta è che dovremmo tutti smettere di considerare le nostre email sicure, specialmente se utilizziamo provider che hanno la loro base negli Stati Uniti.

La situazione nel nostro paese è molto migliore e più garantita, anche se pressioni di questo tipo si fanno sentire anche da noi. A fine 2007 scadranno i termini del fatidico decreto Pisanu ed in teoria, fatte salve eventuali proroghe, si dovrebbe tornare ai livelli di garanzia della privacy precedenti al 10 settembre 2001, ma anche dovesse rimanere tutto così, evidentemente non c’è paragone con la situazione USA.

Ci sarebbe da chiedersi se il governo statunitense ritiene di poter accedere alla caselle email di cittadini stranieri che utilizzano provider americani così come fanno con i loro cittadini. Io una mezza idea della risposta ce l’ho e non mi piace per niente.

La cosa migliore da fare sarebbe ricorrere a strumenti di crittografia open source (perché voglio essere sicuro che il codice non nasconda trappole e backdoor) e codificare tutta la posta che mandiamo, compresi gli auguri di Natale.

Purtroppo la percezione dell’importanza di questa cosa è piuttosto bassa nelle persone e difficilmente si arriverà ad un utilizzo “a tappeto” degli strumenti di codifica della posta, ma sarebbe davvero una buona risposta a chi considera la nostra privacy un inutile orpello e le nostre vite “cosa loro“.

Penso però che valga la pena fare un piccolo sforzo e per conto mio nei prossimi giorni cercherò di scrivere qualche nota sulla crittografia della posta elettronica.

Perché anche se non si ha niente da nascondere non è bello vivere in una casa di vetro.