skip to main | skip to sidebar
30 commenti

Ma quale sicurezza? Basta un dollaro per convincere gli utenti a installare software ignoto

Uno studio condotto presso la Carnegie Mellon University sembra confermare uno dei luoghi comuni più diffusi fra gli informatici: gli utenti sono l'anello più debole della catena di sicurezza. Così debole che spesso basta offrire loro un dollaro per convincerli a installare software di provenienza sconosciuta e potenzialmente ostile, in barba a ogni buona norma di sicurezza.

I ricercatori della CMU hanno offerto anonimamente, sul sito Mechanical Turk di Amazon, un software per Windows dicendo vagamente che si trattava di un software di calcolo distribuito per una ricerca e offrendo a chi lo installava ed eseguiva sul proprio computer per un'ora un importo variabile da un centesimo a un dollaro. Il nome dell'università non veniva indicato.

Una delle regole fondamentali della sicurezza è che non si scarica e non si installa software di provenienza sconosciuta, eppure il 22% degli utenti che hanno visto l'offerta (64 su 291) ha violato questa regola in cambio di un centesimo. Quando il compenso è salito a 50 centesimi, la percentuale è salita al 36% (294 su 823). Per un dollaro, il 42% degli utenti (474 su 1105) è risultato disponibile a compromettere la propria sicurezza informatica.

Alcune versioni del software facevano comparire la finestra d'allarme dello User Account Control, che chiedeva esplicitamente all'utente se davvero voleva consentire al software di modificare le impostazioni del suo computer; l'avviso non ha fatto alcuna differenza significativa. Gli utenti erano disposti a eseguire un programma di origine sconosciuta che chiedeva permessi a livello di amministratore.

È vero che il software dei ricercatori non attivava gli antivirus, ma è comunque imprudente installare applicazioni sconosciute, perché solitamente gli antivirus riconoscono uno specifico malware soltanto se è già stato segnalato: per quel che ne sapevano gli utenti, in cambio di pochi soldi stavano installando un virus sconosciuto.

La ricerca fornisce molti altri spunti, come per esempio l'osservazione poco intuitiva che gli utenti che avevano un antivirus erano quelli maggiormente disposti a rischiare installando il software di test: l'uso di un antivirus dava loro un falso senso di sicurezza che li spingeva a rischiare più degli altri.

I risultati non mancheranno di suscitare polemiche, perché dicono fondamentalmente che gli utenti sono stupidi e che gli amministratori di sistema fanno bene a impedire l'installazione di applicazioni da parte degli utenti stessi e danno ragione al modello chiuso e monopolistico del “giardino cintato” proposto per esempio da Apple con l'App Store: non avrai altra fonte di software al di fuori di me, perché io sarò il garante della tua sicurezza. L'esatto contrario della libertà che era stata promessa agli utenti dal PC. Per questo, appunto, un tempo si chiamava “personal computer”.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (30)
E' vero; del resto sono già piuttosto diffusi alcuni servizi che consentono agli utenti di guadagnare piccole somme, installando software, oppure registrandosi a qualche sito fornendo dati personali completi, guardando spot pubblicitari o rispondendo a lunghi sondaggi online; però se facciamo i conti sul guadagno orario, penso sia più redditizio chiedere la carità per strada. Eppure c'è sempre qualcuno che usa questi servizi, probabilmente ragazzini che non lavorano e usano questi piccoli guadagni per giochi online e simili.
Secondo me non è il modello chiuso ad uscirne vincente, ma il modello "educato" nel senso che manca un'istruzione al mondo on-line. Quale sarebbe la percentuale di persone disposta a seguire uno sconosciuto in un vicolo se gli fosse offerto un dollaro? Credo 0, a parte i bambini che appunto non hanno esperienza ed educazione per riconoscere il pericolo. Ecco, manca proprio il riconoscimento del pericolo, quando si parla di informatica.
E' comunque risaputo che il peggior virus per computer che esista è quello che sta fra la tastiera e la sedia :-)
Per questo sbagliavi quando ti schieravi violentemente contro il TPM (ex-Palladium), il punto su cui riflettere era la sua implementazione, non segarlo a priori solo perché potenzialmente poteva venire implementato a uso e consumo di pochi. In ogni caso qualsiasi tipologia di implementazione sarebbe stata migliorativa della situazione attuale, per non correre il rischio di essere nelle mani dei colossi informatici siamo finiti (o per lo meno, una percentuale rilevante di utenti - e gli altri comunque ne subiscono le conseguenze, vedi le botnet) nelle mani di malintenzionati.

Ora siamo liberi di andare senza casco con motorini che fanno i 300 all'ora. Io la chiamo anarchia
Fx,
dissento profondamente. Certo che uno è "libero" (non proprio: è illegale) di andare col motorino a 300 all'ora, così come di buttarsi da un palazzo senza paracadute, ma se lo fai sono solo che Cat Sitwoy, e io rivendico questo diritto.
Nessuno puo' venire a dirmi cosa posso o non posso fare con la roba che compro fintanto che non sia illegale, neppure in nome della (fantomatica) sicurezza.
Io imbraccerò il fucile il giorno che mi costringeranno a non uscire di casa perchè, potenzialmente, per le strade posso incontrare un criminale, così come lo farò quando mi costringeranno a non avere piena possibilità di azione sul pc che compro perchè, potenzialmente, potrei avere del software dannoso.
Se ci sono botnet vuol dire che il software va scritto meglio e la gente educata, non castrata. Altrimenti anzichè educare la gente affinchè non diventi un criminale muriamola in casa e impediamoglielo fisicamente. O, più realisticamente, siccome le pistole sono potenzialmente e facilmente per offesa, allora facciamo in modo di distruggerle, vietarle e rendere impossibile la realizzazione di fabbriche. Eeeee no.
La gGente stanno male (cit.), gli basta un "gratis" per perdere la testa, figuriamoci quando pensa di poter essere pagata per non far nulla, d'altronde i fessi li si pesca così da sempre, dal gioco delle tre carte a truffe più complesse l'impianto è quello: sventolare sotto il naso delle persone la possibilità di guadagnare senza fatica.

Devo ancora capire se la gGente ci cascano per semplice ingenuità (tipo pinocchio e gli alberi dei soldi) o per la convinzione di essere più furbo dell'altro (gioco delle tre carte) o perché semplicemente stupida (e qui facciamo entrare anche i ragazzini, i famosi nativi digitali, gli idioti del futuro).

p.s. "gGente" sostantivo plurale, ci sono le due 'g'.
Se posso fare un appunto io non metterei sullo stesso piano gli amministratori di sistema che blindano giustamente i computer che amministrano e i limiti liberticidi imposti dai produttori di hardware e software.

I primi si trovano a gestire realtà aziendali in cui un sistema lasciato alla mercè degli utenti può facilmente infettarsi, danneggiarsi o perdere capacità prestazionale. Le blindature che mettono in opera sono sacrosante, e d'altro canto chi in un'azienda ci lavora non ha nessuna necessità di installare software di sua mano, il computer lo deve solo adoperare per il lavoro per cui è stipendiato.

Diverso è invece il caso dei personal computer, quelli sono appunto "personali" e l'utente dovrebbe avere tutto il diritto di disporne a proprio piacimento, anche correndo il rischio di comprometterne la sicurezza o le funzionalità. Sono comunque affari suoi, nel bene e nel male.
Un argomento scottante, a tratti con derive liberticide. Chiarisco subito: sì, nel 90% dei casi è PEBKAC. Non si risolve riducendo le app in stile Apple (che permettono comunque enormi danni), ma con altri sistemi. Sul posto di lavoro TUTTI lavorano con account con diritti limitati. Non ha senso altrimenti. Una persona (l'amministratore di sistema) dovrebbe essere l'unico responsabile.
Per il resto sarebbe carino un bel patentino per pc. Scusate, uno deve imparare a guidare, perché non ad usare un pc? L'idea è intrigante, ma purtroppo non realizzabile.

Tornando sull'argomento io noto come molti davanti ad un pc spengano completamente il cervello. Non so perché, non ne capisco il motivo. Sta di fatto che ho visto persone ragionevoli e dotate di buon senso fare delle cavolate immense davanti ad un monitor. Il computer non pensa, ci vorrà tanto?
Verzasoft: pensavo che l'esempio del motorino fosse chiaro, lo esplicito meglio. Tu sei libero di andare dove vuoi quando vuoi, ma non COME vuoi: devi rispettare il codice della strada. E' proprio qui la differenza tra libertà e anarchia. E se oggi l'utente medio non è al sicuro è proprio perché in passato i garantisti a tutti i costi si sono strappati i capelli per i potenziali rischi al posto di preoccuparsi che l'implementazione fosse corretta così da tutelare le libertà dell'utente. Con uno standard TPM l'utente legittimo avrebbe comunque potuto fare tutto (ovviamente dentro il legittimo) ma con un livello di sicurezza estremamente più elevato, mentre i furbi sarebbero stati tagliati fuori.

Siete affezionati ad un mondo con virus, spam, phishing, truffe; non riuscite a digerire l'evoluzione? Cavoli vostri, avete fatto danni abbastanza, per fortuna di acqua ne scorre sotto i ponti:
1) laddove c'è controllo, vedasi Apple Store, i problemi sono infinitamente inferiori. Senza nessuna particolare minaccia alla libertà. Il TPM significava riproporre lo stesso modello su qualsiasi piattaforma, ma con uno standard e quindi una trasparenza superiore. Che schifo, eh?
2) il trend vede sempre più applicazioni nel cloud, dal punto di vista dei rischi potenziali sulla libertà / privacy dell'utente altro che TPM... Eppure, magari un po' a martellate, si troverà il corretto equilibrio. "Lo sente signor Anderson... questo è il suono dell'inevitabilità" (cit)
Non c'entra molto, ma da un paio di giorni il mio browser (firefox) mi indica come non affidabili siti che visito regolarmente e mi propone di installare un software. Ovviamente non ho installato nulla.
@Pietro ed in generale tutti

Consiglio Malwarebytes ed Hitman. Il primo un ottimo antimalware che trova quello che uno Spot S&D non trova. Il secondo un antimalware di "seconda opinione" che trova tutto quello che non trovano gli altri due.

La versione tria di Hitman Pro è già sufficiente per debellare un buon range di software ostile che non si sospetta nemmeno di avere.

Inoltre c'è la versione gratuita di Kaspersky TDSS killer, un tool agggiuntivo per altre infezioni particolari.

Se usate chiavette hardware di software proprietari per macchine da lavoro, (CN et similia) occhio che Hitman le segnala come possibili minacce. Se siete nel dubbio su alcune voci, cercate su internet prima di cancellare qualcosa di vitale.
Il problema dell'User Account Control è che segnala sempre qualunque programma che non sia in dotazione con il sistema operativo, pure se ben noto e già utilizzato dagli utenti che magari lo avevano già installato sui vecchi sistemi operativi. L'abbondanza di questi allarmi ingiustificati fa abbassare la guardia di fronte agli allarmi reali.
In più, con il passaggio a nuovi sistemi operativi, alcuni vecchi programmi gratuiti e ben noti all'utente non funzionano più, se ne cercano di nuovi e, spesso, si incorre in qualche malware: a me capitò con il passaggio a Windows 8 e il fatto che Real Player non funzionasse più nel nuovo sistema operativo (e l'applicazione per i visualizzare filmati offerta con Windows 8 non riconosceva tantissimi formati molto comuni come flv o avi): ho cercato un programma che facesse le veci di Real Player e... ho installato un malware!
Stamani ero al negozio dei PC e mi sono trovata in una discussione su quanto sia semplice incorrere in questi guai... e il tecnico lo sapeva bene dato che a casa sua i suoi adorati pargoli fanno danni a man bassa!
Gentile Paolo Attivissimo,

Personalmente, dissento dalla conclusione di questo articolo. Da nessuna parte nel paper di Christin et al. viene detto che gli utenti sono "stupidi", né tantomeno viene data ragione ad un modello di distribuzione del software rispetto ad un altro.

Nel primo caso, l'interpretazione dei risultati che danno i ricercatori ai dati analizzati sugli utenti rientra nel modello di "agente a razionalità limitata" (cfr. p.12 del paper), come è usuale nel campo dell'economia comportamentale, e chiaramente questa definizione non implica alcun giudizio in merito alla stupidità o meno di una persona.

Per quanto riguarda invece possibili polemiche sul fatto che sia meglio controllare a monte cosa viene installato nel computer di un utente, noto che questo paper è già stato presentato tre anni fa alla conferenza Financial Cryptography 2011, e durante questo arco di tempo pare che nessuno si sia interessato al lavoro dei ricercatori per argomentare che "il modello di distribuzione software di Apple è migliore di quelli aperti". Il paper di Christin et al. è balzato agli onori di cronaca in questi ultimi giorni perché è stato ripresentato al workshop <a href="http://www.cl.cam.ac.uk/~rja14/shb14/index.html>Security and Human Behaviour 2014</a> tenutosi una decina di giorni fa a Cambridge, probabilmente catturando l'attenzione di qualche giornalista. Fallisco comunque nel vedere perché, dopo questa (limitata, per ora) esposizione mediatica, il paper di Christin et al. rischi di essere strumentalizzato come viene sostenuto alla fine di questo articolo.
A integrazione del commento che ho scritto prima: le mie considerazioni precedenti prescindono dalla validità del paper dei quattro ricercatori. Ora, anche se questo lavoro ha passato dei processi di peer-review, ciò non vuol dire che le sue conclusioni vadano prese per oro colato, cosa ancor più vera trattandosi di un esperimento statistico.

In particolare, io avrei due osservazioni sulla metodologia adottata nello studio.

La prima è circoscritta al criterio con cui hanno selezionato gli utenti su Mechanical Turk in base alla ricompensa. In particolare, a pag. 5 viene detto che:

«In order to preserve data independence and the between-subjects nature of our experiment, we informed participants that they could not participate more than once. We enforced this by rejecting results from participants who had already been compensated in a previous week.»

Sostanzialmente, hanno tenuto separati i gruppi per ogni livello di ricompensa. Il fatto è che le percentuali riportate sono state calcolate sul totale di utenti che hanno visualizzato il task su Mechanical Turk. Quindi i gruppi non sono esattamente indipendenti, visto che anche chi aveva già partecipato in precedenza poteva almeno visualizzare il task (e perfino scaricare il client). Di conseguenza, le percentuali non riportano la proporzione esatta di persone disposte scambiare la propria sicurezza per qualche centesimo, ma al massimo ne approssimano un limite inferiore.

La seconda osservazione metodologica è invece di carattere più generale: quanto è rappresentativo, dal punto di vista statistico, il bacino di utenza di Mechanical Turk (e, più nello specifico, il campione che ha partecipato all'esperimento) di tutta la popolazione di Internet? Perché è questo il nodo che permette di fare inferenze su come educare gli utenti alla sicurezza informatica. Gli autori del paper argomentano (p. 4) che la distribuzione demografica degli utenti di Mechanical Turk non differisce molto da quella di tutti gli utenti Internet, citando a sostegno di questa affermazione un articolo di Ross et al.

In realtà, andando a vedere l'articolo suddetto, si nota che le cose non stanno esattamente così. Dalle analisi effettuate, gli autori indicano che sicuramente le distribuzioni demografiche degli utenti di Mechanical Turk non rispecchiano quelle della popolazione statunitense nel suo complesso, perché troppo sbilanciate per quanto riguarda fascia d'età e livello d'istruzione. Aggiungono, in una singola frase, che l'utenza di Mechanical Turk forse potrebbe rappresentare in modo adeguato la popolazione di utenti di Internet statunitensi, ma ciò dipende dal contesto e dal tipo di ricerca considerata (vedi p. 4).

Siamo quindi abbastanza lontani, a mio avviso, dal dire che gli utenti di Mechanical Turk sono sicuramente rappresentativi dell'utente Internet medio. Oltre a ciò, occorre considerare che anche l'esperimento di Ross et al. è stato condotto usando un sondaggio su Mechanical Turk: quindi, esattamente come nel paper di Christin et al., entrano in gioco ulteriori fattori di rumore (per dirne uno: l'insieme di chi ha partecipato al task del "malware" per qualche centesimo è a sua volta rappresentativo dell'utenza di Mechanical Turk?).

Concludendo, sicuramente l'articolo di Christin et al. è comunque interessante, perché propone un modo diverso per approcciarsi all'educazione alla sicurezza informatica: anziché cercare di implementare meccanismi e politiche sempre più complesse che nessuno seguirà mai, forse è meglio lavorare sugli incentivi da dare quando un utente mantiene una condotta corretta. In ogni caso, anche se non sono in grado di quantificare quanto i fattori di rumore che ho menzionato prima influenzino lo studio, la loro probabile presenza dovrebbe almeno essere considerata motivo per prendere con le pinze i risultati riportati.

Cordialmente,

Luca Mariot
Se hanno abboccato gli utenti di Mechanical Turk, non oso immaginare cosa avrebbe fatto il popolo di Facebook... credo che il web sarebbe crashato in un paio di giorni. :D
Scusa, ma non capisco questo passaggio "Alcune versioni del software facevano comparire la finestra d'allarme dello User Account Control, che chiedeva esplicitamente all'utente se davvero voleva consentire al software di modificare le impostazioni del suo computer; l'avviso non ha fatto alcuna differenza significativa."

Quale differenza significativa avrebbe dovuto fare quando qualsiasi software utile da quel messaggio? Insomma, chiunque abbia mai scaricato o installato Openoffice, Notepad++, gimp o altri software gratuiti si è visto comparire quel messaggio. E mi risulta che tali software siano abbastanza sicuri.
Luca: al di là della discussione accademica sulla pubblicazione è un dato di fatto che la stupidità degli utenti è la principale minaccia nella loro stessa sicurezza in ambito informatico. E' brutto / non sta bene / non si deve dire che l'utente medio è stupido? Mah, lo è, evitiamo di girarci attorno. Da una parte c'è l'ignoranza in materia, assolutamente legittima e - come ho già avuto modo di dire nei miei precedenti post - non adeguatamente considerata: se fai un prodotto consumer allora devi partire dal presupposto che ti trovi di fronte gente che non ne capisce un tubo, altrimenti stai sbagliando qualcosa. Invece in molti casi bisogna essere un addetto ai lavori per affrontare correttamente una serie di passaggi. Allo stato attuale solo Apple l'ha capita, e difatti a me sta potentemente sulle palle perché quando uso un prodotto Apple ho sempre la sensazione di venir preso per cretino. Perché sono un addetto ai lavori.
Dall'altra parte c'è proprio stupidità, o comunque estrema leggerezza: lo studio conferma quanto ho visto sul campo. Per dirne una: esce un popup, l'utente ha già cliccato su OK prima di leggerne il contenuto, e si incavola come una bestia perché il computer non esegue l'operazione aspettata. Non avevo dubbi che l'UAC potesse unicamente mitigare un problema ma non risolverlo, proprio perché una percentuale di utenti è del tutto refrattaria a qualsiasi forma di ragionamento quando usa il computer. Per carità, poi può essere un premio nobel in un altro ambito, però in quell'ambito è inesorabilmente stupido. E, ripeto, non per questioni tecniche, quello è il punto uno, perché non viene usata un minimo di logica, non si legge, non si ragiona, si clicca a caso. Se esistono diversi tipi di intelligenza la conseguenza è che esistono diversi tipi di stupidità, ma senza che questo abbia delle connotazioni offensive. Se mi dici che non capisco un'acca di musica (ovviamente non parlo di gusti, parlo di tecnica) non posso far altro che darti pienamente ragione. Diverso è se mi dici che non capisco un'acca nel complesso, quello è offensivo (anche se magari è vero eheh).
perché non viene usata un minimo di logica, non si legge, non si ragiona, si clicca a caso

Sembra che tu abbia appena finito di correggere un pacco di compiti in classe...

Se esistono diversi tipi di intelligenza la conseguenza è che esistono diversi tipi di stupidità,

Magistrale.
è stata per caso pubblicata la dichiarazione dl consenso di sto proprietario? ammetto di avere un paio di dubbi.....perchè mai dovrebbe darvi il consenso di rovinargli il raccolto...? e sì prima di annunciare di essere artefice del crop sarebbe carino fornire le prove, perchè una persona di buon senso e consapevole di tutta la disinformazione e stronzate che circolano, ha bisogno di prove :) perchè non fate un bel documentario dove mostrate quanto siete bravi? sarebbe bello mostrarlo pubblicamente :)
Reiuky,

[quote]Quale differenza significativa avrebbe dovuto fare quando qualsiasi software utile da quel messaggio? Insomma, chiunque abbia mai scaricato o installato Openoffice, Notepad++, gimp o altri software gratuiti si è visto comparire quel messaggio. E mi risulta che tali software siano abbastanza sicuri.[/quote]

Per come l'ho capita io leggendo il paper, la differenza è che del software che facevano scaricare su Mechanical Turk i ricercatori non avevano detto nulla, né quale fosse la sua specifica funzionalità, né se potesse arrecare danni al computer. Nel caso di software "mainstream" come OpenOffice, di cui si conosce lo scopo a priori, c'è un layer di fiducia implicito. Chiaramente, questo non è condizione sufficiente per garantire di non aver scaricato un software "rogue", ragion per cui bisognerebbe verificare sempre i fingerprint md5/sha1 di un pacchetto prima di installarlo (che poi non lo faccia quasi nessuno, è un altro paio di maniche).

Fx:

[quote]al di là della discussione accademica sulla pubblicazione è un dato di fatto che la stupidità degli utenti è la principale minaccia nella loro stessa sicurezza in ambito informatico. E' brutto / non sta bene / non si deve dire che l'utente medio è stupido? Mah, lo è, evitiamo di girarci attorno.[/quote]

Non capisco dove, nei miei precedenti commenti, avrei posto la questione in termini di political correctness. Il mio punto era semplicemente di osservare che, da un prospettiva prettamente scientifica, le conclusioni del paper non sostengono che "gli utenti sono fondamentalmente stupidi", come scritto da Attivissimo al termine del suo post. Le conclusioni principali dei ricercatori sono:

1) Da un campione di utenti di Mechanical Turk (che sia rappresentativo o meno della popolazione di Internet in generale è una questione di altri approfondimenti, come dicevo prima) emerge che una percentuale consistente di essi è disposta a barattare la sicurezza del proprio sistema per una remunerazione bassissima.

2) Questo comportamento è indice di preferenze inconsistenti nel tempo da parte degli utenti, ragion per cui vengono appunto modellati come agenti a razionalità limitata.

3) Gli incentivi diretti potrebbero rappresentare un altro canale di distribuzione del malware.

E basta. Qualsiasi interpretazione mediata dalla propria esperienza personale che va oltre questi risultati è, nella migliore delle ipotesi, confirmation bias.

Luca Mariot
La metti giù durissima ma questo studio dà una misura (inutile *) a un'evidenza che si manifesta sia nell'esperienza personale di un addetto ai lavori (che ha tuttavia il vantaggio di approfondire ogni singola casistica) sia nell'oggettività dei numeri riguardo alla diffusione del malware.

*: dico inutile perché viene prodotta una condizione non verosimile (tra le mille cose che si potrebbero dire, qualcosa che riguarda specificatamente il mio settore: le conversioni sono strettamente legate da aspetto e contenuti, rifacendo lo stesso test curando queste parti avresti dei dati completamente diversi) su un campione statisticamente non significativo. Serve unicamente per dire che una porzione statisticamente rilevante degli utenti "vende" la propria sicurezza per due soldi, ma tutte le indicazioni che abbiamo dai riscontri pratici (anche misurabili, come la diffusione del malware) ci dice che i due soldi non sono affatto indispensabili per convincerli a cliccare. Ora sappiamo che con due soldi si aumentano le conversioni? Fantastico, sento odore di nobel.

Dai, la faccio semplice ma entra troppo poco nello specifico, per di più quando dall'altra hai persone (chi fa malware) che senza studi, senza ricerche, senza peer review, senza lauree ma solo con interpretazione e esperienza personale fottono milioni di utenti senza farne tante.
Fx: Chiedo scusa, nella mia ultima frase non mi sono espresso molto chiaramente: intendevo che qualsiasi interpretazione dei risultati del paper che vada oltre il loro mero contenuto informativo e che sia mediata da esperienza personale è frutto di confirmation bias. E in effetti, a me pare di capire leggendo i tuoi commenti che i risultati di questa ricerca non ti sembrano granché perché dopotutto confermano quanto già "si sapeva prima".

Comunque, andando nello specifico del tuo commento:

[quote]dico inutile perché viene prodotta una condizione non verosimile [...] su un campione statisticamente non significativo. Serve unicamente per dire che una porzione statisticamente rilevante degli utenti "vende" la propria sicurezza per due soldi, [/quote]

Chiariamoci sulla terminologia. Cosa vuol dire che il campione non è "statisticamente rappresentativo" e che poi una porzione "statisticamente rilevante" vende la propria sicurezza per due soldi?

[quote]ma tutte le indicazioni che abbiamo dai riscontri pratici (anche misurabili, come la diffusione del malware) ci dice che i due soldi non sono affatto indispensabili per convincerli a cliccare. Ora sappiamo che con due soldi si aumentano le conversioni? Fantastico, sento odore di nobel.[/quote]

Mi sembra che continui a non cogliere lo scopo di questa ricerca. L'obbiettivo dei ricercatori era di quantificare in termini economici il fenomeno, non trovarne una conferma (perché partono dal presupposto che esista già, come d'altronde scrivono nell'introduzione del loro paper).

[quote]Dai, la faccio semplice ma entra troppo poco nello specifico, per di più quando dall'altra hai persone (chi fa malware) che senza studi, senza ricerche, senza peer review, senza lauree ma solo con interpretazione e esperienza personale fottono milioni di utenti senza farne tante.[/quote]

Il senso di questa frase mi è oscuro, troppi oggetti sottintesi. Potresti, cortesemente, riformulare?

Grazie

Luca Mariot
Luca Mariot
le conclusioni del paper non sostengono che "gli utenti sono fondamentalmente stupidi", come scritto da Attivissimo

Cosa c'entrano le conclusioni del paper con la conclusione di Paolo Attivissimo "I risultati non mancheranno di suscitare polemiche, perché dicono fondamentalmente che gli utenti sono stupidi"?
Faber: my bad, ho usato "conclusioni" in quel commento come sineddoche per "l'intero paper e le scoperte/i dati in esso riportati" (e infatti, nel mio primo messaggio ho usato la meno ambigua espressione "nessuna parte del paper"). D'altro canto, immagino che nemmeno Attivissimo intendesse per "risultati" i dati nudi e crudi dell'esperimento, ma la ricerca nel suo complesso (ma questa è una mia supposizione). Viceversa, noto che la conclusione dell'articolo di Attivissimo sarebbe ancora più azzardata: qual è la base logica per inferire da "il 42% di un campione di circa mille utenti è disposto a installare software sconosciuto in cambio di un dollaro" la conseguenza "gli utenti sono stupidi"?

Luca Mariot
Ho paura che stavolta Paolo Attivissimo abbia creduto lui stesso a una bufala, o peggio, che abbia diffuso una bufala dovuta alla sua mancanza di informazione. Non metto in dubbio l'esistenza stessa dello studio, ma è l'affermazione che "gli antivirus si limitano a riconoscere malware già segnalato" che è una bufala. Se gli antivirus si limitassero a confrontare i programmi analizzati con malware già noti, anziché esaminarne le funzioni presenti all'interno, sarebbero completamente inutili perchè, appunto, completamente impotenti contro virus sconosciuti. Quell'affermazione può essere facilmente confutata creando un programma che crea e cancella un file vuoto. Cercando di copiarlo in un computer in cui è presente un antivirus, quel programma verrà prontamente cancellato, proprio perchè l'antivirus ne ha scansionato la struttura e ha rilevato che cancella dei files.
Quindi, Paolo, ti chiedo di non aggrapparti alle paure della gente e non usare il fearmongering per influenzare irrazionalmente le opinioni dei tuoi lettori, dato che sono tattiche che tu stesso hai sempre detto di disprezzare. Grazie.
Simone,

è l'affermazione che "gli antivirus si limitano a riconoscere malware già segnalato" che è una bufala

Allora come mai gli antivirus scaricano le signature aggiornate dei nuovi malware?

So che alcuni AV fanno euristica. Ma il grosso della difesa è reattiva e basata sulle sig.
Luca Mariot
qual è la base logica per inferire da "il 42% di un campione di circa mille utenti è disposto a installare software sconosciuto in cambio di un dollaro" la conseguenza "gli utenti sono stupidi"?

Non c'è o, almeno, io non la vedo.

E' una generalizzazione, empiricamente (IMO) fondata, mitigata dal "fondamentalmente" (I risultati non mancheranno di suscitare polemiche, perché dicono fondamentalmente che gli utenti sono stupidi).
Simone Grenno:

[quote]Se gli antivirus si limitassero a confrontare i programmi analizzati con malware già noti, anziché esaminarne le funzioni presenti all'interno, sarebbero completamente inutili perchè, appunto, completamente impotenti contro virus sconosciuti.[/quote]

Scusa, su cosa pensi che si basino gli analizzatori euristici degli antivirus?

[quote]Quell'affermazione può essere facilmente confutata creando un programma che crea e cancella un file vuoto. Cercando di copiarlo in un computer in cui è presente un antivirus, quel programma verrà prontamente cancellato, proprio perchè l'antivirus ne ha scansionato la struttura e ha rilevato che cancella dei files.[/quote]

Controesempio del controesempio: compilando questo programma C che rispetta le tue specifiche su Windows XP SP3, Avast (versione 2014.9.0.2018) non mi dice nulla, pur avendo impostato la sensibilità euristica al massimo e anche eseguendo una scansione manuale. Quindi, per almeno un antivirus la tua affermazione è falsa.

Faber:

[quote]E' una generalizzazione, empiricamente (IMO) fondata, mitigata dal "fondamentalmente" (I risultati non mancheranno di suscitare polemiche, perché dicono fondamentalmente che gli utenti sono stupidi).[/quote]

Appunto, è una generalizzazione, e quello che questionavo era proprio la sua giustificazione empirica, tirando in ballo una ricerca scientifica che non afferma nulla a riguardo. Quanto al "fondamentalmente", preferisco attenermi alla sua semantica letterale, altrimenti si finisce per fare esegesi.

Luca Mariot
Addendum: Chiedo scusa a Simone Gremmo per il typo sul suo cognome nel mio messaggio precedente. Oltre a ciò, in questo pezzo:

Controesempio del controesempio: compilando questo programma C che rispetta le tue specifiche su Windows XP SP3, Avast

Intendevo, chiaramente, compilando ed eseguendo il programma ;-)

Luca Mariot
@Simone Gremmo

Se gli antivirus si limitassero a confrontare i programmi analizzati con malware già noti, anziché esaminarne le funzioni presenti all'interno, sarebbero completamente inutili perchè, appunto, completamente impotenti contro virus sconosciuti.

Completamente inutili no, visto che le firme ormai vengono aggiornate sempre più velocemente rispetto alla scoperta dei nuovi virus. In ogni caso, esiste la ricerca euristica, come si è detto. Ma non è questo il punto...

Quell'affermazione può essere facilmente confutata creando un programma che crea e cancella un file vuoto. Cercando di copiarlo in un computer in cui è presente un antivirus, quel programma verrà prontamente cancellato, proprio perchè l'antivirus ne ha scansionato la struttura e ha rilevato che cancella dei files.

Cooooosa??? Questo è il punto. Da programmatore direi che non ha senso, da quando in qua non sei libero di scrivere software che cancella file e/o cartelle, al bisogno? Pensiamo anche solo ai file temporanei di un'applicazione.
Ma per fare un bel test ho preso il sorgente di Luca Mariot, l'ho modificato un pelino per farlo digerire al mio compilatore giurassico del C e ho dato in pasto l'exe a nod32 installato sul mio pc. Nessun malware né virus rilevato con il controllo manuale e la ricerca euristica più restrittiva (le righe che creano e cancellano il file sono identiche rispetto al sorgente di Luca). Ora abbiamo due AV che non rilevano alcuna minaccia. Ma non basta, ho trovato questo servizio online che "analizza files sospetti e URLs e permette la rapida identificazione di virus, worm, trojan, e tutti i tipi di malware".

https://www.virustotal.com/it/

Ho uploadato l'exe e la risposta è stata nessun malware rilevato da questi 54 antivirus:
AVG, Ad-Aware, AegisLab, Agnitum, AhnLab-V3, AntiVir, Antiy-AVL, Avast, Baidu-International, BitDefender, Bkav, ByteHero, CAT-QuickHeal, CMC, ClamAV, Commtouch, Comodo, DrWeb, ESET-NOD32, Emsisoft, F-Prot, F-Secure, Fortinet, GData, Ikarus, Jiangmin, K7AntiVirus, K7GW, Kaspersky, Kingsoft, Malwarebytes, McAfee, McAfee-GW-Edition, MicroWorld-eScan, Microsoft, NANO-Antivirus, Norman, Panda, Qihoo-360, Rising, SUPERAntiSpyware, Sophos, Symantec, Tencent, TheHacker, TotalDefense, TrendMicro, TrendMicro-HouseCall, VBA32, VIPRE, ViRobot, Zillya, Zoner, nProtect

Al di là dell'affidabilità del servizio che ho utilizzato, trovato al volo in rete, se anche solo la metà dei cinquantaquattro antivirus utilizzati per la ricerca desse come risposta nessun virus, quest'affermazione bislacca sarebbe già confutata ampiamente. Se qualcuno vuole fare ulteriori prove ben vengano, perché non può passare l'idea che gli antivirus siano così stupidi da etichettare come malevolo un programmino che crea e cancella un file. Non in questo blog :-)