Il non-blog di Mario Pascucci

Sto lavorando sodo per preparare il mio prossimo errore (B. Brecht)

Archivio per la categoria Pensieri sparsi

La responsabilità di chi scrive

Jun 13

Pubblicato da Mario Pascucci in Pensieri sparsi | 1 commento

Qualche giorno fa ho pubblicato un breve scritto, con l’intenzione di richiamare l’attenzione su un meccanismo nel modo in cui vengono fatte le leggi.

Ebbene, a rileggerlo a distanza di qualche giorno, è evidente che non solo non ho raggiunto lo scopo, ma ho scritto alcune fesserie, anche gravi.

Il fatto di tenere un blog con pochi lettori non esime dalla responsabilità di verificare fonti e affermazioni, per nulla: se anche una sola persona, leggendo una mia fesseria, si convince che è vera, quella persona subisce un danno.

Quello che scriviamo, indipendentemente dall’argomento, non è neutro, manco per nulla. Chi legge, sia che abbia opinioni contrarie, che favorevoli, che neutre, viene influenzato, in positivo o negativo che sia, in una qualche misura. Il fatto che stiamo parlando di marmellata di albicocche o della effettiva efficacia dell’omeopatia non cambia la sostanza delle cose: una fesseria è una fesseria, punto e basta.

Dare la responsabilità al lettore, pretendendo di addosare a lui tutto il potere di interpretazione, è un trucco di bassa lega: “è il lettore che assegna il significato”, “quello che ho scritto è stato frainteso”, “lo spirito era un altro”, ecc.

Sono balle, pietosi tentativi di deresponsabilizzarsi, di dare la colpa ad un altro, come bambini che gridano “è stato lui, io non c’entro”. Il meccanismo, perverso, è spiegato, infinitamente meglio di quanto possa fare io, in un articolo di Loredana Lipperini, a cui rimando, con l’invito a leggere anche i commenti, significativi almeno quanto l’articolo. Un grazie a lei ed ai suoi commentatori per la lucidità e l’onesta.

Ho scritto sull’onda emozionale, accantonando il raziocinio, ed il risultato è questo.

Quindi, mi scuso per le fesserie che ho scritto.

L’articoletto rimane al suo posto, con un avviso in cima, come monito per il futuro, soprattutto per me.

A proposito della c.d. “legge-bavaglio”…

Jun 11

Pubblicato da Mario Pascucci in Pensieri sparsi | 2 commenti

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

Come si fanno le leggi: un esempio.

Jun 8

Pubblicato da Mario Pascucci in Fuori tema, Pensieri sparsi | 8 commenti

NB: questo articolo contiene delle fesserie, di cui mi assumo la responsabilità per la incauta pubblicazione. Una spiegazione (non una giustificazione) è qui.
NB2: nel testo approvato dal senato e ora in attesa dell’approvazione definitiva alla camera, l’intero articolo è tornato nella forma originale, vedi: OpenParlamento e Senato. Ora lo sforzo comune deve essere quello di riconoscere che l’intero disegno di legge è non solo di dubbia efficacia, ma rappresenta una fortissima limitazione alla possibilità di trovare e punire i criminali. Un esame completo fatto da un giurista si trova qui: DDL “intercettazioni” spiegato e commentato da Guido Scorza. Detto questo, i commenti vengono chiusi.

Non sono certo un legale, né uno “del campo”, ma qualche volta occorre saper leggere le leggi, per capire chi ha ragione.

Prendo spunto dall’allarme per il cosiddetto “emendamento 1707″ al Disegno di legge sulle intercettazioni, il numero 1611, il cui testo potete trovare su OpenPolis.

Il testo dell’emendamento è il seguente (fonte, il sito del Senato, o OpenPolis, se quello del Senato viene tolto):

Al comma 22, dopo le parole: «dall’articolo 609-quater» inserire le seguenti: «, escluso il caso previsto dal quarto comma».

Criptico è dir poco. Per prima cosa prendiamo il comma 22 del disegno di legge. Attenzione che il testo a cui applicare l’emendamento non è quello originale, ma quello presentato in Senato dopo il passaggio in Commissione Giustizia, che recita:

22.All’ articolo 380, comma 2, del codice di procedura penale , la lettera d-bis) è sostituita dalla seguente: « d-bis) delitto di violenza sessuale previsto dall’articolo 609- bis , escluso il caso previsto dal terzo comma, delitto di atti sessuali con minorenne previsto dall’articolo 609- quater e delitto di violenza sessuale di gruppo previsto dall’ articolo 609- octies del codice penale ».

Quindi l’emendamento modifica questo comma. Vediamo di fare il collage. L’articolo 380 del Codice di Procedura Penale tratta di Arresto obbligatorio in flagranza, ossia i casi in cui l’arresto di chi sta commettendo un reato in quel momento è obbligatorio e immediato, senza se e senza ma. Il comma 2 lettera d-bis) originale (fonte: Ispolitel) recita:

d-bis) delitto di violenza sessuale previsto dall’articolo 609-bis, escluso il caso previsto dal terzo comma, e delitto di violenza sessuale di gruppo previsto dall’articolo 609-octies del codice penale.

e viene cambiato in:

d-bis) delitto di violenza sessuale previsto dall’articolo 609- bis , escluso il caso previsto dal terzo comma, delitto di atti sessuali con minorenne previsto dall’articolo 609- quater e delitto di violenza sessuale di gruppo previsto dall’ articolo 609- octies del codice penale

dalla commissione Giustizia. Poi arriva l’emendamento 1.707, che lo trasforma in:

d-bis) delitto di violenza sessuale previsto dall’articolo 609- bis , escluso il caso previsto dal terzo comma, delitto di atti sessuali con minorenne previsto dall’articolo 609- quater, escluso il caso previsto dal quarto comma e delitto di violenza sessuale di gruppo previsto dall’ articolo 609- octies del codice penale

Qual è l’effetto finale? L’articolo 380 del codice di Procedura Penale stabilisce appunto in quali casi l’arresto deve essere fatto, ossia è obbligatorio. I casi elencati alla lettera d-bis) sono:

  • art.609 bis – Violenza sessuale compiuta con minaccia, violenza o abuso di autorità, tranne i casi di minore gravità
  • art.609 quater – Atti sessuali con minorenne. Punisce qualsiasi atto sessuale compiuto con un minorenne, indipendentemente dalla presenza di violenza o meno.
  • art.609 octies – Violenza sessuale di gruppo.

L’emendamento 1.707 introduce l’esclusione per “i casi di minore gravità” anche per gli atti sessuali compiuti sui minorenni.
In pratica, prima in Commissione Giustizia introducono (giustamente, lo aggiungo io) l’arresto in flagranza per i pedofili, senza eccezioni e senza alternative, poi l’emendamento 1.707 equipara un atto sessuale “di minore gravità” su un minore alla situazione di una violenza sessuale “di minore gravità” su un adulto.

Ecco. Prima ci dovrebbero spiegare che c’entra questa modifica in un disegno di legge sulle intercettazioni, poi dovrebbero spiegare agli agenti che trovano un adulto che compie atti sessuali su un minorenne in quali casi possano arrestarlo.

Quello che non tutti sanno, e che molti tacciono, è che la decisione sulla gravità non è né dell’agente, né del magistrato a cui viene assegnato il caso. Occorre che prima succedano i fatti, ossia qualcuno sia (o non sia) arrestato in un frangente di questo tipo, poi la Corte di Cassazione, su apposito ricorso, stilerà una “classifica” delle gravità, lavorando alla valutazione caso per caso.

Traete da soli le conclusioni.

Tags:

Sicurezza sostenibile Vs l’età che avanza: 0 a 1

May 24

Pubblicato da Mario Pascucci in Information security, Pensieri sparsi | 5 commenti

Le persone si dividono in due categorie: quelli che hanno perso i dati e quelli che li perderanno.

Le persone si dividono in due categorie: quelli con una buona memoria e… dicevo?

Combinando queste due frasi si arriva a quello che è successo al sottoscritto. Per fortuna i dati persi riguardano esclusivamente roba scaricabile da Internet, di cui conservo i link nei bookmark.

I fatti: usando vari computer (ufficio, fisso di casa e notebook personale), devo tenere sincronizzati i dati sui tre. Per fortuna, tutto quello che riguarda posta e Internet è in servizi online, quindi almeno questi di dati non sono un problema. Uso un disco USB esterno da 2,5″, che in sostanza è un backup di backup, cioè i dati sono in almeno altri tre posti differenti, anche come luogo. Il disco esterno contiene i dati “viaggianti” e gli ultimi aggiornamenti, quindi è in realtà “spendibile”, e la cifratura che vi ho applicato è motivata soltanto dalla possibilità che a seguito di un furto i miei dati cadano in altre mani, visto che questo disco è quello più a rischio di essere trafugato.

In effetti, se subissi un furto in ufficio o in casa il problema sarebbe lo stesso, anzi peggio: in casa, soprattutto, ho ben più “dati personali” che in altre mani sono molto più pericolosi, ma questo è un problema di tutti, alla fin fine.

Circa un mese fa ho cambiato il disco esterno con uno di minore capacità, vista la mole tutto sommato ridotta di dati che trasporto (meno di 20Gb in tutto). Già che c’ero ho pensato bene di cambiare la password di accesso, visto che l’altra la usavo da quasi due anni.

Nei giorni successivi ho usato il disco due volte al giorno, digitando ogni volta la nuova password, poi dalla seconda settimana di maggio non l’ho più usato, visto che non avevo aggiornamenti. Ieri sera, a distanza di quindici giorni, volevo trasferire alcune foto fatte negli ultimi giorni, inserisco il cavo nella presa USB, attendo l’apparire del pannello di richiesta password, digito, Errore. Vabbè, ho digitato male. Ridigito. Errore. Non può essere. Che ci sia un problema col disco? Apro un terminale, controllo log e messaggi di errore, niente. Provo da riga di comando. Niente.
Ero piuttosto stanco, per cui mi sono fermato un attimo e mi sono calmato, e ricordato che avevo cambiato la password. Ricordavo il ragionamento fatto, per cui ho tentato di ricostruire la password.

Per farla breve: il disco ed il suo contenuto sono persi, non sono riuscito a ricordare la password, nonostante l’abbia scelta io stesso, con un ragionamento, e l’abbia usata più volte nei giorni successivi.

Per fortuna, ripeto, i dati erano altamente spendibili e non ho perso nulla, ma la cosa mi ha piuttosto spiazzato. Per prima cosa mi è tornato in mente una cosa letta qualche giorno addietro, il decalogo dell’amministrazione della sicurezza, che in prima posizione riporta:

Nobody believes anything bad can happen to them, until it does

Tradotto: nessuno crede che possa accadergli qualcosa di male, finché non gli succede.

Ecco. Ora che mi sono “scottato”, il pensiero è naturalmente come evitare che succeda di nuovo. Per ora il disco è stato riformattato senza cifrature di sorta, e ci ho riscritto sopra i dati persi.

Quale può essere la strategia migliore? Scriversi la password da qualche parte, per esempio il classico foglietto nel portafogli? Usare uno strumento di “archiviazione password”? Usare una tecnica di “data hiding”, che ben conosco?

Accetto suggerimenti. Ma tenete conto dell’età, ecco.

Tags: , ,

Zio, mi puoi scaricare un film da Internet?

May 18

Pubblicato da Mario Pascucci in Information security, Pensieri sparsi | 7 commenti

Qualche giorno fa ho ricevuto un SMS da una mia nipote, evento eccezionale in sé, visto che la vedo e sento praticamente solo in occasione delle feste comandate, anche a causa della distanza.

Naturalmente, come tutti i ragazzi, nel messaggio è andata subito al punto, senza convenevoli: “Zio mi scarichi due film da Internet?”.

Superata la prima sorpresa, ho iniziato a rifletterci su. Non mi andava di risponderle con un SMS sbrigativo, ma non volevo neanche finire a farle un predicozzo, cosa che ricordo benissimo odiavo alla sua età (anche se sono passati più di trenta anni).

Alla fine le ho telefonato (ha il cellulare, naturalmente…), e le cose si sono fatte interessanti, tanto da spingermi a scriverne qui.

In breve, a scuola le hanno parlato dello scaricare film da Internet, e il messaggio che è arrivato è che il rischio è una multa salata. Ci siamo salutati con la promessa di farle avere i film richiesti in modo legale, e con l’impegno di parlarne a voce la prossima volta che ci si vede.

Ovviamente, questo mi ha fatto riflettere, e non poco. Se questo è il messaggio che viene dato ai ragazzi, che di Internet ne sanno spesso più di chi va a parlargli in classe, e ne sanno in maniera diretta, per esperienza, vuol dire che abbiamo sbagliato tutto.

La multa per un italiano di oggi è sinonimo di una lotteria, ossia prima mi devi beccare. L’effetto deterrente è pressoché nullo, per non parlare della totale assenza di ogni legame con qualsiasi concetto di legalità ed etica. Questo significa sottovalutare e svalutare i ragazzi, e le loro potenzialità. Nella mia, certamente limitata, esperienza, i ragazzi hanno un fortissimo senso dell’etica e della legalità.

Quello che non viene invece detto è che molte organizzazioni criminali usano contro di noi le nostre stesse cattive abitudini. Prendiamo a esempio le reti peer to peer del circuito di Emule. Cercando un qualsiasi film o software, non importa se legalmente o illegalmente condiviso, possiamo star certi che ci troveremmo di fronte queste trappole:

  • Film differenti da quello cercato, o “modificati” ad arte. Il titolo del film è giusto, ma il file contiene ben altro, certamente non si tratta di materiale adatto ad un minorenne. Qualche volta neanche ad un maggiorenne. Il problema è gravissimo, in quanto, a meno di appositi plugin che non tutti conoscono o usano, non è possibile sapere che cosa c’è dentro il file che si va a scaricare fino a quando non si è scaricato completamente, tranne casi limitatissimi. Per la legge italiana, se il film che andiamo a scaricare dovesse contenere materiale pedo-pornografico, indipendentemente dal fatto che chi scarica lo sappia o meno, non solo si configura il reato di detenzione di materiale pornografico (art.600 quater del Codice Penale), che prevede fino a tre anni di reclusione, ma, per il modo di funzionare dei programmi e delle reti peer to peer, si configura il reato di cessione e diffusione di materiale pornografico (art. 600 ter del Codice Penale). Questo perché nel momento in cui inizio a scaricare un qualsiasi file tramite Emule, il programma provvede a distribuire le porzioni che ho sul mio computer ad altri che cercano lo stesso file, anche se ne ho solo pochi kilobyte. Questo comportamento è insito nel funzionamento dei protocolli peer to peer, e non è semplice da disabilitare. Poi, naturalmente, nella formulazione della condanna, di solito il giudice tiene conto di vari fattori attenuanti (l’essere “vergini” penalmente, ossia incensurati, l’intenzionalità, la quantità del materiale, il tempo di permanenza nel proprio disco, ecc.), ma il problema è che si subisce un processo penale, con tutto quello che ne consegue. Considerando che quando il responsabile del reato è un minore, paga il genitore o il tutore legale, si rischia di trovarsi coinvolti in una bruttissima situazione a propria totale insaputa. Ci sono anche delle situazioni, al limite del doloso, in cui il film scaricato è un montaggio, dove i primi minuti sono proprio del film cercato, ma dopo segue un altro film, naturalmente differente e certamente non quello voluto.
  • Film camuffati da software. Cercando un software, non importa se con licenza di uso libero o proprietaria, è sicuro imbattersi in file con il nome del software cercato, ma contenenti filmati, e non software. La presenza di cose come “OK Funzionante!” aggiunte al nome del file, naturalmente, non serve a garantire alcunché. Inutile dire che il film non sarà nella totalità dei casi adatto alla visione da parte di un adolescente, ed in molti casi neanche a quella di un adulto.
  • Software troianizzato. In questo caso il software c’è, e qualche volta funziona anche, ma contiene delle sorprese, sotto forma di ospiti indesiderati e invisibili. Se il software cercato è sotto forma di immagine ISO, ossia di “copia” pronta per la masterizzazione su CD o DVD, la sorpresa è dentro, integrata col software. Ho avuto esperienza di persone che hanno installato il sistema operativo “prelevandolo” da Emule, e di trovarsi con strani comportamenti al momento della connessione a Internet, indice di qualcosa di poco salutare. Se invece il software è in forma installabile/eseguibile, la sorpresa è camuffata da programma di installazione o da “tool” per registrare/craccare il software. Lo scopo di questi malware è di sottrarre dati relativi agli account personali dell’utilizzatore del computer (posta elettronica, home banking, social networks, accessi a siti web e servizi FTP, ecc.). Altro scopo è quello di sfruttare risorse di elaborazione e connessione a Internet del computer stesso, certamente per scopi poco etici.
  • Malware camuffato da software. In molti casi, il file scaricato non contiene il software cercato, ma è esso stesso un malware, camuffato. La situazione è identica alla precedente, solo che chi ha scaricato il file non ottiene niente del tutto, ma si trova un malware, probabilmente un botnet agent, attivo nel computer, ricadendo nel punto precedente.
  • Malware camuffato da strumenti per scavalcare le protezioni. Qui le cose si fanno interessanti. Come sanno tutti i truffatori di professione, la prospettiva di un facile guadagno è la prima qualità necessaria per orchestrare una truffa che funzioni. Quindi, cercando un crack o un keygen su Emule, possiamo stare sicuri di trovare molto di più di quanto cercavamo, e certamente non nel senso che intendevamo.

Tutto questo è molto più frequente di quanto si possa pensare, e il fatto che mediamente ogni settimana mi trovo a ripulire un computer di qualche conoscente con problemi di malware, infilatosi nel computer tramite uno dei trucchi elencati poco fa, deve far riflettere su quale sia appunto il messaggio da trasmettere ai ragazzi.

Su questo sito spesso arrivano persone, indirizzate da Google e compagni, alla ricerca di modi per usare ad esempio le “chiavette” 3G/UMTS/HSDPA con Emule, per avere un ID alto o per “aprire le porte” sulla chiavetta, per via della presenza di alcuni articoli che parlano di come usare questi dispositivi con Linux o con l’eeePC, niente a che vedere con Emule. Alcune di queste cose sono impossibili: quasi tutti gli operatori 3G assegnano un indirizzo IP delle classi private (vedi rfc1918), indice che la connessione è dietro un firewall o un altro apparato che opera un NAT (Network Address Translation), e quindi rende impossibile accettare connessioni di rete in ingresso, cosa indispensabile per avere un “ID alto” in Emule, e quindi ottenere benefici di priorità nei download.

Tralasciando il fatto che l’operazione di usare un accesso via 3G/UMTS/HSDPA a consumo è una strategia perdente, visto che conta il traffico in uscita, oltre che quello in ingresso, e che quello in uscita è molto più consistente, l’indicazione è che il “vizietto” è diffuso, e tutte le altre considerazioni, economiche, legali, etiche, vengono dopo.

Quello che mi domando è che cosa possiamo fare per instillare un minimo di competenza, perché di questo si tratta, nei ragazzi come mia nipote? Potremmo parlare di condivisione, di libertà e di riconoscimento del proprio lavoro. Potremmo parlare di etica e di legalità ma, francamente, c’è il rischio di sentirci rispondere, e non a torto, che con tutti i cattivi esempi che hanno ogni giorno da noi stessi, che problema vuoi che sia lo scaricare un film da Internet?

Ecco, questo è un problema reale di sicurezza, un problema che nessuno strumento tecnologico può risolvere, perché la sua origine non è tecnologica, ma umana e comportamentale. Se potessi, andrei nelle scuole a fare opera di evangelizzazione, e gratis. Mi basta pensare a questi ragazzi, per cui abbiamo preparato un mondo futuro che noi stessi abbiamo difficoltà a capire, e ce li stiamo infilando a forza.

Tags: , , ,

Di ritorno dal Cybercop 2010, con la coda fra le gambe (ed i piedi ghiacciati)

May 10

Pubblicato da Mario Pascucci in Computer Forensics, Eventi, Pensieri sparsi | 2 commenti

Molti saranno i ricordi che mi rimarranno di questa edizione del Cybercop 2010, due in particolare: la mia pessima prestazione (per non dire di peggio) ed il freddo tremendo accumulato in parecchie ore di immobilità e concentrazione durante il tentativo di capirci qualcosa. E’ il momento, forse, di citare un personaggio dei film, il detective Roger Murtaugh in Arma Letale: “sono troppo vecchio per…”.

L’elenco degli errori, molti assolutamente evitabili, è lungo, come è lungo l’elenco delle omissioni, quindi, come è facile intuire, non sono per nulla contento della mia “prestazione”.

Certo che se i “rompicapo” tecnici sono preparati da quattro persone del calibro di Litiano Piccin, Andrea “Pila” Ghirardini, Massimiliano Graziani e Giuseppe Mazzaraco, non è che ci sia molto da fare, a parte mangiarsi le mani fino ai gomiti nel momento in cui viene presentata la soluzione.

Comunque, ancora una volta arriva la conferma che non solo non si può essere esperti di tutto, ma anche “esperti” è una parola grossa, che va usata con molta cautela…

Tags: ,

Di catene, appelli e ipocrisia

Feb 15

Pubblicato da Mario Pascucci in Fuori tema, Pensieri sparsi | 2 commenti

Urge sangue per…
Serve un donatore di midollo osseo per…
Mio figlio ha un raro tumore, forse tu conosci qualcuno per…

Quanti ne riceviamo ogni settimana? E quante volte ci colpiscono in profondità, questi appelli?
Quasi sempre si tratta di bambini, piccoli di età, vittime di gravi malattie.
E quasi sempre si tratta di appelli inconsistenti, fasulli o, peggio, scaduti, perché il caso descritto nell’appello si è risolto, inutile dirlo, tragicamente. Ma l’appello continua a circolare, con l’unica funzione di mantenere vivo un dolore impossibile da placare per i protagonisti, che, disperatamente, avevano affidato alla Rete l’ultimo briciolo di speranza.

Gli “esperti” qui parlerebbero di cose astratte come I Meccanismi della Rete, I Social Network, Il Diritto All’Oblio, cose così.
Comodo. Indolore. Innocuo.

La Rete siamo noi, quelli dietro schermi e tastiere, che alla ricezione di un messaggio di appello, dopo averlo letto, ci diciamo “devo fare qualcosa”, e pensiamo a chi fra i nostri amici è donatore di sangue. O che non conosciamo donatori di midollo osseo. Ma fra tutti i nostri contatti di posta elettronica vuoi che non ce ne sia uno? O magari fra i contatti dei nostri contatti? E allora, via, seleziona tutti, incolla, SEND.

Una benefica sensazione di aver fatto qualcosa di buono, di aver contribuito ad alleviare un dolore. Qualcosa per il nostro ego, per alleviare il senso di colpa che ci infastidirebbe se non facessimo nulla. L’immagine che abbiamo di noi stessi ne guadagna: siamo buoni e generosi.

Mai nessuno che schiodi dalla sedia e vada a donare il fottuto sangue, perché, indipendentemente dagli appelli, di sangue ce n’è sempre bisogno, sempre. O che semplicemente controlli prima se l’appello è ancora valido. No, perché richiederebbe un impegno diretto e personale.

Vogliamo fare veramente qualcosa di buono? Allora basta con la beneficenza a costo zero: inviare una mail a mille persone è solo spam, non beneficenza. E non sposta di un millimetro il problema, vero o presunto, di chi manda un appello del genere.
Ogni giorno, ogni momento, c’è qualcuno che ha bisogno di aiuto, in mille modi differenti. Di aiuto concreto, non di “copia tutti, SEND”.

Come trovarli? Dove? Google: come siamo capaci di cercare “modella nuda foto”, probabilmente siamo capaci di inserire le paroline magiche: “onlus donazioni volontariato”.
No, non faccio volontariato, sono un pigro e mi piace stare comodo. E non mi importa nulla se qualcuno lo vuol fare, ma sono grato a chi lo fa. E mi tengo i miei sensi di colpa.
Ma quando un ragazzo che vende calzini (inutili, scadenti e con colori improbabili) mi ferma e mi chiede soldi, gli offro la colazione: un panino e un cappuccino. Non mi limito ad allungargli un euro, e pace: sarebbe un bavaglio per la coscienza, come lo è il panino. Ma devo guardare in faccia il ragazzo per offrirgli un panino. Ed accorgermi che ha l’età di mio nipote, non più di venti anni, o la mia, oltre i 40, e, indipendentemente dall’età, lo sguardo disperato e sofferente. E devo forzarmi a non chiedere niente, perché so che passerei una giornata di merda, mettendomi nei suoi panni. Mi limito a tenermi il bruciore alla coscienza, a perdere quei cinque minuti che servono a fare la fila alla cassa del bar per pagare panino e cappuccino.
Ma anche senza andare lontano, nella mia città, nel mio quartiere, nel mio palazzo, ci sono persone che hanno sicuramente bisogno di aiuto,
solo che più è vicino il problema è più forti diventano le resistenze a considerarlo “bambino da curare”.

La prossima volta che ci arriva una mail di questo genere, invece di inviarla a tutti i nostri contatti, facciamo un giro sul sito di Medici Senza Frontiere, o di Parentproject.org. Vedrete quanto ce n’è bisogno, di aiuto concreto, altro che email spazzatura.

Riferimenti

Tags: , ,

La vita comoda dell’insider

Apr 10

Pubblicato da Mario Pascucci in Computer Forensics, Information security, Pensieri sparsi | 4 commenti

Il nemico in casa

L’insider, ossia quello che attacca da dentro, che colpisce alle spalle. La traduzione è “addetto ai lavori”, quindi è uno che sa come funzionano i processi aziendali su cui va a fare danni. Quello che i manager ignorano è che spesso l’insider conosce i processi e le relazioni non scritte, quelle che non compaiono nei documenti corposi di analisi prodotti dal solito consulente per la sicurezza e la privacy.

Per carità, nessuna critica ai consulenti, è anche il mio lavoro, per cui sarebbe un autogol.

La realtà è che spesso le aziende non conoscono le proprie interiora, il proprio corpo. Non sanno che il signore che da anni lavora in quella stanzetta al terzo piano è quello che sa perfettamente come funziona e chi contattare per fare quella cosa specifica, che nella mappatura dei processi aziendali magari non compare neanche, perché è inglobata in una casella con un nome (naturalmente in inglese “burocratico”), che in realtà dice poco su quanto sia importante il lavoro svolto.

La dimensione dell’azienda conta, e conta molto. Più è grande, e più è fisiologico che succeda. D’altra parte il management cambia in fretta, difficilmente regge più di cinque anni, mentre il signore nella stanzetta sta lì magari da venti e più. Il manager ha poco tempo, ha un compito preciso, spesso ingrato, e non può umanamente conoscere tutti.

Ed il signore nella stanzetta passa pian piano nel dimenticatoio, fino a quando non salta fuori che la stanza serve a qualcun altro. O il collega più giovane e “rampante” ottiene la promozione, passando avanti al signore. Ecco creato un altro insider.

Alla faccia della risk analysis

Lo so, ho semplificato, le ragioni sono molto più complesse, e qualsiasi semplificazione o schematizzazione è pericolosissima, perché ogni caso va trattato a parte, come ogni persona è differente dalle altre. Fare altrimenti costituisce un errore di valutazione, che non può essere che fatale.

I documenti di analisi dei rischi, e delle relative contromisure, sono corposi, ben organizzati, dettagliati, ma purtroppo non possono scendere al livello di dettaglio a cui lavora l’insider.

A che ora l’impiegato che consegna la posta interna passa a ritirare le lettere, dove vengono depositate in attesa di spedizione, a che ora l’impiegata del personale stila il foglio delle assenze, le sue abitudini dell’ora del caffè, sono cose che spesso l’insider conosce da tempo, come da tempo sa quale sia il punto debole nella catena, non perché “pensi nero”, ma semplicemente sono informazioni trasformate in abitudini.

Senza parlare poi di quando l’organizzazione aziendale è carente dal punto di vista della assunzione di responsabilità. L’informatica ha molto successo in alcuni ambiti, soprattutto perché consente di scaricare la responsabilità sullo strumento. O almeno così credono molti manager. Mettiamo quel sistema di autenticazione sicuro con la smart card, con le impronte retiniche, con l’ultimo grido tecnologico, e siamo al sicuro da tutto.

E’ la stessa credulità che qualche volta deridiamo in chi va dal mago. Non esistono strumenti magici, anche se vengono venduti per tali. E’ e sarà sempre il contesto e l’essere umano a fare la differenza.

Di cosa parlo? Esistono i tesserini per le presenze, no? “Strusci” il tesserino e attesti la tua presenza in azienda. Naturalmente nessuno si sogna di crearne delle copie, prestarlo al collega, lascialo incustodito sulla scrivania. Certo che no.

Infatti la comparsa dei tesserini per le presenze ha debellato la piaga dell’assenteismo. Lo sappiamo tutti. Naturalmente, questo si accompagna al metodo “punire tutti per non educare nessuno”. Tradotto: anche quando, per un caso più che per intenzione, si individui il colpevole di una violazione o di un comportamento negligente, si preferisce lanciare in aria una manciata di sassolini, che danno fastidio a tutti ma in fondo non danneggiano nessuno, piuttosto che tirare un “sanpietrino” al colpevole, perché implicherebbe un coinvolgimento personale e l’assunzione di responsabilità da parte del manager.

Ecco. L’esempio calza a pennello.

Sistemi di Single Sign-On, log centralizzati e certificati, postazioni dotate di smartcard, crittografia forte, tutto quello che vi viene in mente e che trovate nelle raccomandazioni di chi stila le analisi di sicurezza. Metteteci proprio tutto.
Poi aggiungete il fattore umano: emozioni, situazioni, eventi, relazioni, pensieri, convinzioni, pregiudizi.

Il risultato non tarda ad arrivare. Ogni precauzione, per quanto intelligente e studiata, ha la sua nemesi. Autenticazione con smart card assolutamente sicura? L’impiegato la lascia inserita nel lettore e va alla toilette, lasciando la porta aperta. Oppure la dimentica a casa, e le prossime volte, per paura di scordarla di nuovo, la lascia inserita nel lettore.
Password sottoposte ad un rigido protocollo (del tipo: scadenza ogni tre mesi, lettere numeri e simboli, niente termini a dizionario, differente dalle ultime 4 utilizzate)? Il foglietto attaccato sul fondo del cassetto (o sotto la tastiera, o sotto il portapenne) con le sei password da usare a rotazione risolve il problema di doverle tenere a memoria e inventarne una nuova quattro volte l’anno.

La fantasia è l’unico limite, e quando si tratta di fare meno fatica la fantasia abbonda.

Poi arriva l’incidente di sicurezza. Quello serio. Che non è il virus devastante, non è l’hacker “black” di turno. No, molto meno. Qualcuno ha, a scelta:

  • Cancellato dei file
  • Modificato dei file
  • Copiato dei file
  • Svuotato un database
  • Modificato un database
  • Copiato un intero database
  • … e via di seguito…

Parte il panico. I manager tuonano, i responsabili tremano, gli amministratori di rete e dei server sono chiamati a casa, di solito nel fine settimana, per rimettere a posto i disastri, i computer sono spenti, tolti dalla “scena del crimine” e riaccesi per fare un backup, gli impiegati interrogati, i log studiati.
Il risultato? La magia tecnologica si rivela insufficiente:

  • i log non dicono nulla di utile, a parte quello che si sapeva già, ossia postazioni rimaste accese per giorni con un account utente loggato, amministratori che entrano ed escono dalle postazioni “violate”, generando rumore e cancellando molto probabilmente dati preziosi
  • le postazioni sono state manipolate in più occasioni e da più persone, alterando tracce e cancellando indizi importanti
  • gli operatori ammettono candidamente di fare uso promiscuo di account e credenziali “perché se il collega è in ferie non posso lavorare senza i suoi file” (i file server, questi sconosciuti)
  • Sempre sulle postazioni si trova di tutto: software installato senza licenza, configurazione di sicurezza lasciata sulle impostazioni di default, quindi inesistente, dati estranei all’impiego ufficiale della postazione, per usare un eufemismo

Poi si passa al lato organizzativo, e lì si assiste alla sconfitta completa anche del semplice buonsenso. Operatori non formati ed informati sui propri diritti e doveri, amministratori che operano senza linee guida, e quando queste ci sono c’è sempre un buon motivo per fare eccezioni, naturalmente vanificandone l’efficacia. Ed è quasi impossibile far capire al responsabile di turno che lo strumento, pur sofisticato, senza indicazioni d’uso e regole precise è inutile, quando non dannoso per la mal riposta fiducia nella magia tecnologica.

Alla fin fine questo noi lo sappiamo già. Quello in cui veniamo sconfitti ogni giorno è nel far capire che lo strumento non è la soluzione. Ma anche questo lo sappiamo già. Solo che non riusciamo a trasmetterlo, e chi ha la possibilità di comunicare in maniera efficace e massiva spreca l’occasione mostrando situazioni e soluzioni che in una finzione sono perfette, ma nella realtà sono inesistenti.
Basti pensare agli innumerevoli telefilm e film che presentano il lavoro di investigazione sui computer come una sorta di panacea che risulta essere anche la nemesi di tutti i cattivi, mostrando con coloratissime animazioni in pseudo-computergrafica come in pochi passaggi si ricostruisca il volto di una persona da un fotogramma preso da una telecamera di sorveglianza in cui la persona è inquadrata a figura intera. Peccato che bastino alcuni semplici calcoli per mostrare come sia impossibile, indipendentemente dalla tecnologia impiegata. O che da un messaggio di posta elettronica si possa risalire all’effettiva identità di chi lo ha inviato, cosa che anche l’informatico più sprovveduto sa essere impossibile, e sicuramente non utilizzabile come “prova”, perché anche risalendo all’indirizzo IP del mittente, e da questo all’intestazione dell’abbonamento a Internet, non ci sono prove per dimostrare che era proprio lui al computer in quel momento, certo non esaminando il computer e basta. Ed ecco perché nei casi noti della cronaca i periti nominati dai tribunali possono dimostrare ben poco. Ma questo siamo in pochi a capirlo.

Per tutti gli altri, basta usare un sistema biometrico e si risolve il tutto.

Riferimenti ed altre letture

Tags: , , ,

Che vuoi fare, son periodi

Mar 2

Pubblicato da Mario Pascucci in Pensieri sparsi, Varie (ed eventuali) | 4 commenti

Cedendo al narcisismo, avevo deciso di partecipare al “contest” del Miglior Blog Tecnico. Poi le cose sono cambiate, ed il destino ci ha messo del suo. Come avete notato, la mia presenza qui è diventata occasionale, ed il tempo a mia disposizione è sempre meno.

E’ un periodo denso di novità, impegni, progetti, ed il tempo (poco) che mi rimane lo reclama il pargolo, come è suo diritto, e sono ben felice di dedicarglielo, anche se non è sempre facile.

Di conseguenza ho scelto di ritirarmi dalla competizione di cui sopra. L’alternativa era di mettermi a scrivere articoli “riempitivo”, ma con voi che mi seguite c’è un patto, che fino ad ora ha sempre dato i suoi frutti: niente articoli “forzati”, scritti per fare massa.

Quindi, se non trovate materiale nuovo è perché sto tenendo fede al patto.

Son periodi. Passeranno. Speriamo.

Di classifiche, pagerank, rantoli e lamenti

Aug 22

Pubblicato da Mario Pascucci in Pensieri sparsi | 2 commenti

I numeri. Dicono che non mentano.

Da gennaio 2007 a oggi il sito che leggete ha ricevuto ben 61, dico, 61 visite indirizzate da una nota classifica di blog italiani, su un totale di 129.000, 51.000 da referer. Dopo che nella settimana a cavallo fra dicembre 2007 e gennaio 2008 è circolato un ASCII-art con due bicchieri dove ogni “pixel” era un link ad un blog, le visite al sito sono aumentate da 1500 a oltre 2100 a settimana, in media. Oggi sono in media 2100-2500, sempre a settimana, tranne in questo periodo, notoriamente di stasi.

Per la diffusione di questo sito è stato infinitamente più efficace un post definito “spammatorio” che l’iscrizione a tre differenti classifiche di blog italiani. Le altre due classifiche hanno condotto qui rispettivamente 72 e 32 visite, sempre nello stesso periodo di 18 mesi. Technorati ne ha portate qui 40.

I numeri parlano molto chiaro: per le classifiche questo sito non vale niente (o quasi), quindi, secondo loro, se siete qui e leggete quello che scrivo state perdendo tempo prezioso.

Alt, fermi. Frenate gli spruzzi di adrenalina e le scariche di ormoni. Non sto dicendo che le classifiche sono inutili. Sto dicendo che per un sito come il mio sono non solo inutili, ma dannose. Ed il mio è un sito da poco. Chiaro?

I contenuti mi pare ci siano, ma sono molto di nicchia. Poi raramente parlo dei fatti miei, anzi, quasi mai. E’ abbastanza normale che il numero di visitatori sia così esiguo, e parimenti il numero di citazioni. Fra l’altro, visto che il famigerato e tenuto Pagerank si basa appunto sulle citazioni, anche questo parametro di valutazione si mantiene su valori piuttosto bassi.

Quello che mi fa molto pensare, ed in un certo senso mi porta a ritenere inutili nel mio caso certi strumenti, sono le continue manipolazioni manuali che vengono fatte agli algoritmi di calcolo del punteggio in classifica. Gli stessi che stilano la classifica dichiarano da più parti che periodicamente il sistema di calcolo della classifica viene rivisto e corretto. Ecco il motivo dei salti improvvisi: pagerank che crollano da 5 a 3 in 24 ore, 600 posizioni in meno in classifica nel giro di una settimana, cose così.

Naturalmente, se avessi toccato qualcosa nel sito, potrei sospettare di aver causato io stesso simili sconvolgimenti tellurici, ma dato che l’unica cosa fatta è pubblicare roba di mia produzione, la cosa è frustrante, a dirla tutta.

Per questo ho preso una decisione: farò in modo di “escludermi” dalle classifiche, in modi e tempi che devo studiare. Il motivo è molto semplice: pensando a queste cose perdo la concentrazione ed invece di occuparmi dei contenuti mi faccio il sangue amaro per cose su cui non solo non ho il controllo, ma neanche la chiave di lettura.

L’altra ragione, per cui ritengo lo strumento classifica stilato in questo modo pressoché inutile per il mio caso, è che non ne ricavo reali indicazioni sul gradimento di quello che offro ai lettori. E’ infinitamente più utile uno strumento come Google Analytics, che mi permette di vedere le cose più cercate, più lette, i tempi ed i modi di accesso al sito, se e quando vengono letti certi documenti, insomma una valutazione molto più granulare e, se vogliamo, impietosa rispetto ad una classifica. Se scrivo stupidaggini o cose inutili, la gente anche se arriva sul sito ci rimane ben poco.

Perché vi dico tutto questo? Non lo so. Sento il bisogno di dirlo a qualcuno, insomma. E poi chissà che qualcuno di voi che mi legge non abbia un suggerimento o una idea migliore. Io sono un po’ a corto, in effetti.

Tags: , ,