skip to main | skip to sidebar
35 commenti

Mikko Hypponen (F-Secure): Internet sta andando a fuoco

Mikko ha centrato ancora una volta il problema con grande efficacia: è tempo di smetterla di fingere che tutto vada bene e che si debba continuare a suonare la musica e servire ai tavoli intanto che il locale sta prendendo fuoco. Il “locale”, in questo caso, è Internet, sfruttata come campo di battaglia dagli stati, che con suprema indifferenza spiano tutti e si attaccano a vicenda anche tra alleati europei e dai social network che sembrano sempre più lo zio un po’ troppo guardone. I fanti di questo campo di battaglia siamo noi; il bello è che ci siamo offerti volontari senza renderci conto di cosa stavamo facendo.


Ho chiesto a Hypponen il permesso di preparare una traduzione in italiano del suo discorso e la pubblicherò qui se la sua risposta sarà positiva.


Aggiornamento (2014/12/11) Ho ricevuto il permesso da Mikko, e sto preparando la traduzione.


Aggiornamento (2014/12/18): Qui sotto trovate la trascrizione integrale, con qualche piccola correzione per le papere di Mikko. Datele un'occhiata e snidate eventuali errori. Io intanto la uso per preparare la traduzione.


Aggiornamento (2014/12/27): La traduzione è pronta, grazie anche all'aiuto di mia figlia Linda; anche qui, controllatela per eventuali refusi o pasticci.


Il Beverly Hills Country Club era un nightclub e ristorante. Uno enorme. Poteva accogliere fino a tremila persone ogni sera. Persone che venivano a godersi cene a più portate e ad assistere a spettacoli di prima categoria. Il 28 maggio 1977, un diciannovenne di nome Walter Bailey stava lavorando al Beverly Hills Country Club come cameriere. Attorno alle otto, quella sera, fu fermato da un altro cameriere che gli chiese se sapeva dov'erano i proprietari del club. Walter non lo sapeva e chiese il motivo della domanda. L'altro cameriere gli disse che c'era un piccolo incendio causato dall'elettricità in una delle stanze al centro del complesso e che quindi stava cercando i proprietari.

The Beverly Hills Country Club was a nightclub and a restaurant. A huge one. It could seat up to three thousand people every single night. People who would come to enjoy multi-course dinners and watch first-class entertainment. On the 28th of May in 1977, a nineteen-year-old guy called Walter Bailey was working at the Beverly Hills Country Club as a waiter. At around 8 o'clock that evening, Walter was stopped by another waiter who asked Walter if he knew where the owners of the club are. And Walter didn't and he asked why. And the other waiter told him that there's a small electrical fire in one of the rooms in the center of the complex, so he’s trying to find the owners.


Walter si interessò e decise di investigare, e quindi lasciò la sala da ballo, dove stava servendo, e andò al centro del Country Club, verso la stanza che conteneva l'incendio. Mentre si avvicinava alla stanza poteva vedere che c'era del fumo che usciva dalla parte superiore della porta che conduceva alla stanza. Così si rese conto che lì dentro c'era un grosso incendio e fu abbastanza sveglio da non aprire la porta. Invece tornò nella propria sala da ballo. Il complesso aveva molte sale da ballo differenti, e quella dove lui stava servendo ospitava più di 900 persone sedute. Così andò lì, trovò il proprio capo e gli disse, “C'è un incendio nell'edificio e dobbiamo evacuare questa sala.” Il capo si limitò a guardarlo con espressione smarrita.

Walter got interested and he decided to investigate, so he left his ballroom where he was serving and he went to the center of the Country Club, towards the room which had the fire. And as he was getting closer to this room he could see that there was smoke pouring out from the top of the door that led to the room. So he realized that there's a big fire inside the room and he was clever enough not to open the door. Instead he returned back to his ballroom. The complex had multiple different ballrooms and the one where he was serving in had over 900 people seated down. So he went there and he found his boss and he told his boss, “There’s a fire in the building and we have to evacuate this room”. And his boss was just looking at him blankly.


Dovete capire che c'erano novecento persone sedute lì dentro e che queste persone stavano festeggiando cose come per esempio i propri matrimoni. C'erano numerose feste di matrimonio fra i presenti, per esempio spose in abito nuziale; c'erano persone che festeggiavano il cinquantesimo compleanno o anniversario di matrimonio con le proprie famiglie assistendo a spettacoli, bevendo e godendosi il cibo. Poi Walter vide che c'era in realtà anche una fila di persone che stavano ancora entrando nella sala. Così andò verso la fila e disse “Seguitemi tutti”. Poi guidò questa fila lungo diversi corridoi per uscire dal complesso in uno spiazzo interno e disse loro “Aspettate qui, per favore.” Nessuno si chiese neanche il perché; stavano semplicemente seguendo gli ordini.

And now you have to understand there were nine hundred people seated down there, and these people were celebrating things like their weddings. There were multiple wedding parties in the audience, like brides in their wedding dresses; there were people celebrating their 50th anniversaries or fiftieth birthdays with their families, watching entertainment and drinking and enjoying the food. And then Walter saw that there was actually a queue of people who are still coming into the room, so he went to the queue and he told them “Everybody follow me”. And then he walked this queue through different corridors out from the complex to the courtyard and he told them “Please wait here.” Nobody even asked why; they were just following orders.


Ma tornando nella propria sala da ballo, Walter vide con orrore che tutti erano ancora seduti. L’orchestra stava ancora suonando, alcune persone stavano ancora ordinando dei cocktail. Allora decise di agire. Pensò, “Finirò nei guai per questo”, ma ciò nonostante salì sul palco, prese il microfono dal cantante, disse di fermare la musica e poi si rivolse alla folla. Disse: “Ascoltatemi tutti. Se guardate alla vostra destra, c'è un'uscita in quella parete laggiù. Se guardate alla vostra sinistra, c'è un'uscita in quella parete laggiù, e sul retro ce n'è un'altra. Alzatevi tutti adesso e abbandonate la sala.” E questo è quello che fece la gente; seguì gli ordini.

But as Walter returned to his ballroom, to his horror he saw that everybody was still sitting down. The band was still playing, people were still ordering cocktails. And then he decided to act. He thought to himself, “I'm gonna get into trouble over this”, but nevertheless he climbed to the stage, he took the microphone from the singer of the band, he told the band to stop and then he addressed the crowd. He told the crowd, “Everybody listen up. If you look on your right side, there’s an exit in the wall over there. If you look on your left side, there's an exit in the wall over there, and in the back there's one more exit. Everybody stand up right now and leave the room.” And that's what people did; they followed orders.


Quella sera il Country Club, nel Kentucky, fu raso al suolo dall'incendio. La sala da ballo che Walter – il diciannovenne Walter – aveva fatto evacuare fu divorata dalle fiamme dieci minuti dopo che lui aveva deciso di prendere il microfono. Walter salvò centinaia di persone. Altri nel complesso non furono altrettanto fortunati. Più di 165 persone morirono nell'incendio quella notte.

And that night the Kentucky Country Club burned to the ground. The ballroom that Walter – the 19-year-old Walter – evacuated was engulfed in flames in ten minutes from the moment when he took the mike. Walter saved hundreds of people. There were other people in the complex who weren't so lucky. Over 165 people died that night in that fire.


Ma questa storia mi fa venire in mente le nostre azioni di oggi, nelle nostre vite odierne, nelle nostre vite digitali odierne, perché si stanno spostando sempre di più verso il mondo online. Assistiamo a cose che non stanno andando bene nel nostro mondo online, e pochissime persone stanno facendo qualcosa. Sentiamo un gran parlare di cose tipo il Grande Fratello o “la società del Grande Fratello”, ma vorrei invece citare un futurologo recentemente scomparso e un mio connazionale finlandese, Mika Mannermaa, che nei suoi libri scrisse molto sul futuro e scrisse di come non credeva davvero in una società del Grande Fratello. Credeva, piuttosto, che saremmo entrati a far parte di una società di “Qualche Fratello”. Una società nella quale c'è sempre qualcuno che ci guarda. Non necessariamente il Grande Fratello, non necessariamente il governo, ma qualcuno. Osservò anche che stiamo vivendo una vita da acquario, nella quale non abbiamo pareti, o meglio le abbiamo ma sono trasparenti.

But that story reminds me of our own actions today, in our lives today, in our digital lives today, because our lives are moving more and more to the online world. We're seeing things going wrong in our online world, and very few people are taking action. And we hear a lot of talks about things like the Big Brother or “Big Brother society”, but I'd like to actually quote a late futurologist and a fellow Finn, Mika Mannermaa, who in his books wrote a lot about the future, and he wrote about how he actually doesn't believe in a Big Brother society. He sort of believed more that we will be entering a “Some Brother” society. A society where there's always someone watching. Not necessarily the Big Brother, not necessarily the government, but someone. And he also made the note that we are living an aquarium life, where we have no walls, or we have walls, but they can be seen through.


Ora un po' di questa mentalità del “Qualche Fratello” che guarda si nota nelle azioni dei governi. Per esempio, soltanto nel corso di quest'ultimo anno, nei nostri laboratori presso la F-Secure, abbiamo analizzato cinque famiglie di malware che crediamo provengano dal governo russo. Malware come Sandworm e Cosmicduke, che sono stati trovati principalmente provenienti dall'Ucraina, che proprio ora è un paese nel mezzo di una crisi, o malware come Havex, che è il primo malware che abbiamo visto dai tempi di Stuxnet che sta effettivamente cercando di trovare e fare il fingerprinting degli apparati di automazione delle fabbriche. Riteniamo che questi provengano dal governo russo.

Now some of this “Some Brother” watching mentality can be seen from the actual action of governments. For example, during just this year, in our labs at F-Secure, we’ve analyzed five malware families which we believe to be coming from the Russian government. Malware like Sandworm and Cosmicduke, which have mostly been found from Ukraine, which is a country in the middle of a crisis right now, or malware like Havex, which is the first malware we’ve seen since Stuxnet that's actually trying to find and fingerprint factory automation gear. And we believe these are coming from the Russian government.


E poi abbiamo il governo cinese. In effetti i primissimi attacchi mirati lanciati da un governo, ovunque nel mondo, che abbiamo mai visto provenivano dal governo cinese, e questo succedeva più di dieci anni fa. Esattamente un anno fa io ero su questo stesso palco a parlarvi di attacchi avvenuti proprio qui a Bruxelles, di attacchi che prendevano di mira le compagnie telefoniche locali. Attacchi che ora capiamo molto meglio. A un anno di distanza li capiamo molto meglio.

And then we have the Chinese government. In fact the very first targeted attacks launched by any government anywhere in the world we ever saw were coming from the Chinese government, and that was more than ten years ago. And exactly a year ago I was on this very stage speaking to you about attacks right here in Brussels, about attacks targeting local telcos. Attacks that we now understand much better. A year later, we understand them much better.


Per esempio, ora sappiamo esattamente da dove arrivavano questi attacchi. Arrivavano dai servizi di intelligence inglesi, dal GCHQ. Sappiamo anche il tipo esatto di malware che è stato usato in questi attacchi. È un malware chiamato Regin, che crediamo sia stato sviluppato insieme dall'intelligence britannica e da quella americana. Abbiamo imparato molto di più riguardo i bersagli di questi attacchi, perché c’erano molti più bersagli di quanti ne conoscessimo un anno fa.

For example, we now know exactly where these attacks were coming from. They were coming from the UK intelligence, from GCHQ. We also know which exact malware was being used in these attacks. It’s a piece of malware called Regin, which we believe was developed together with the British intelligence and the US intelligence. And we learned much more about the targets of these attacks, because there were many more targets than just what we knew a year ago.


Per esempio, sappiamo che questo malware e queste operazioni avviate dall'intelligence britannica stavano prendendo di mira membri della comunità accademica qui in Belgio: professori e altre persone del genere. Stavano anche prendendo di mira bersagli in Austria, compresa l'IAEA – l'agenzia internazionale per l'energia nucleare in Austria.

For example, we know that this malware and these operations launched by the UK intelligence were targeting academics here in Belgium. Professors, people like that. They were also targeting targets in Austria, including the IAEA – the International Atomic Energy Agency in Austria.


Ora sappiamo anche che uno dei più grandi gruppi di bersagli nel mondo era in Irlanda, e questa è una buona indicazione di chi sta dietro questi attacchi. A chi interessa l'Irlanda? Beh, l'Irlanda interessa al Regno Unito. Ed è piuttosto notevole avere una situazione del genere, nella quale paesi membri dell'UE lanciano attacchi attivi, basati su malware, finanziati dai governi, verso altri paesi che fanno parte della stessa Unione Europea. Ma questo è il punto al quale siamo arrivati oggi.

Now we also know that one of the largest amounts of targets anywhere in the world were in Ireland, which is a good indication of who’s behind the attacks. Who's interested in Ireland? Well, the United Kingdom is interested in Ireland. And it's quite remarkable when we have a situation like this, where fellow EU countries are launching active government-funded malware attacks against fellow EU countries. But that’s where we are today.


Ma ci sono entità che stanno cercando di contrattaccare. Un paio di anni fa il governo statunitense ha tentato di accedere ai dati di svariate aziende della Silicon Valley. Una di queste aziende era Yahoo. Yahoo ha cercato di combattere quegli attacchi, che erano molto simili a quelli che abbiamo visto proprio adesso in Germania.

But there are parties which are trying to fight back. The US government tried to gain access to the data of several of the Silicon Valley companies a couple of years ago. One of the companies was Yahoo. Yahoo tried to fight back those attacks, and these attacks are actually very similar to the attacks we've been seeing just now in Germany.


Questo è Ali Fares. Lavora per un'azienda che si chiama Stellar, che è una compagnia telefonica tedesca, un provider in telecomunicazioni tedesco che offre connettività tramite connessioni satellitari. La rivista Der Spiegel ha svolto un’indagine e ha scoperto che ancora una volta l'intelligence britannica aveva penetrato le compagnie telefoniche in Europa e in questo caso aveva penetrato la rete di Stellar.

This guy is Ali Fares. He works for a company called Stellar, which is a German telco company, a German telecommunications provider which provides connectivity over satellite links. Der Spiegel magazine did an investigation in which they found out that once again the British intelligence had been breaching telcos in Europe, in this case the network of Stellar.


Così qui abbiamo un video in cui i giornalisti di Der Spiegel vanno a incontrare i tecnici di questa azienda, la Stellar, e mostrano loro i dati rivelati da Edward Snowden. File che dimostrano che Stellar – la loro stessa azienda – è stata presa di mira e violata informaticamente dall'intelligence britannica. Stanno vedendo ora per la prima volta queste slide che elencano la loro stessa azienda tra gli obiettivi che sono stati violati dalle agenzie di intelligence britanniche. Poi viene mostrata loro un'altra slide, che elenca i bersagli: i nomi dei tecnici dell'azienda. E vedono i propri nomi elencati in questo documento top secret. Si rendono conto solo ora che hanno subito un attacco informatico personale.

So here we have a video clip of the Der Spiegel journalists going and meeting engineers at this Stellar company and showing them files leaked by Edward Snowden. Files which prove that Stellar – their own company – has been targeted and hacked by British intelligence. They are now seeing for the very first time these slides which list their own company among the targets which have been hacked by UK intelligence agencies. Then they’re shown another slide, which lists the targets: the names of the engineers in the company. And they see their own names listed in this top secret file. They just now realize that they, personally, have been hacked.


Quindi, tornando a Yahoo, Yahoo cercò di lottare contro il governo statunitense. Non voleva dare accesso ai dati dei propri clienti. Questa lotta si svolgeva in un tribunale segreto; esistono cose del genere, tribunali segreti, negli Stati Uniti. È il cosiddetto tribunale FISA o tribunale del Foreign Intelligence Surveillance Act (Legge sulla Sorveglianza dei Servizi di Intelligence Stranieri), nel quale un avvocato di Yahoo cercava di difendere gli utenti di Yahoo dal governo statunitense. E i giudici del tribunale fecero dei commenti interessanti.

So returning back to Yahoo. Yahoo tried to fight the US government. They didn't want to give access to their customers’ data. And this fight was happening in a secret court; there are such things, secret courts, in the United States. It’s the so-called FISA court or Foreign Intelligence Surveillance Act court, in which a lawyer from Yahoo was trying to defend the users of Yahoo against the US government. And the judges in the court made interesting comments.


Per esempio, uno dei giudici sosteneva che non ci poteva essere alcun danno per i clienti di Yahoo, dato che la sorveglianza sarebbe stata segreta, il che significava che i clienti non avrebbero saputo che venivano osservati. Quindi come avrebbero potuto subire danni, se non sapevano di essere osservati? E in realtà aveva ragione: questa tesi fu accolta, secondo le leggi statunitensi, e l’azione legale di Yahoo fu rigettata. Fu poi usata come precedente legale per effettuare sorveglianze simili anche su altre società della Silicon Valley.

For example, one of the judges was claiming that there couldn't possibly be any damage to customers of Yahoo, since this surveillance will be secret, which means that the customers will not know that they are being watched. So how could they possibly have any damage, since they will not know that they are being watched? And he was actually right, this actually stood, based on the US law and Yahoo's case was thrown out. And it was then used as a legal precedent to do similar surveillance against other Silicon Valley-based companies as well.


Quindi permettetemi di citare un mio amico, Aral Balkan della Indytech. Fece un’ottima osservazione sul fatto che una volta “privato” aveva un significato completamente diverso. “Privato” significava che andavi con un tuo amico – solo voi due – in un posto dove non c'era nessun altro e parlavate in privato. Era quello il suo significato.

So let me quote a friend of mine, Aral Balkan from Indytech. He made a great comment about how “private” used to mean something completely different. “Private” used to mean something where you would go with your friend – just the two of you – where there's no one else and you would speak in private. That's what it used to mean.


Beh, al giorno d'oggi, nel mondo online, “privato” non ha quel significato. Per esempio, quando siete su Facebook e mandate un messaggio privato, in realtà non lo mandate a qualcun altro; lo date a Facebook e Facebook lo dà al vostro amico. È un po’ come se diceste il vostro messaggio privato al vostro zio viscido e poi lo zio viscido lo dicesse al vostro amico. Giusto? È la stessa cosa.

Well, today in the online world “private” doesn't mean that. For example, when you're on Facebook and you send a private message, you don't actually send it to someone else; you give it to Facebook and Facebook gives it to your friend. This is sort of like you would tell your private message to your creepy uncle and then the creepy uncle would tell it to your friend. Right? That's the equivalent.


E lo zio viscido più grande che abbiamo su Internet è Google. Google, che vede esattamente quello che stiamo facendo e quello che stiamo pensando. Google, che fornisce servizi eccellenti e grandiosi. Li usiamo tutti, e quel che è meglio, sono gratuiti. Il che è notevole, quando si pensa che azienda enorme è Google e quanto sono costose le sue attività. Infatti Google spende ogni trimestre più o meno due miliardi di dollari per i propri data center. Investe ogni tre mesi più di due miliardi per costruire data center sempre più grandi. Eppure i servizi che fornisce sono gratuiti. E quello che è ancora più sorprendente, Google guadagna. Ha un guadagno annuo di 12 miliardi, che dimostra chiaramente che non esiste nulla di gratuito. Questo è il valore dei nostri dati per Google.

And the largest creepy uncle we have on the Net is Google. Google, who sees exactly what we are doing and what we are thinking. Google, who provides excellent and great services. We all use them, and what's even better, these services are free. Which is remarkable, when you consider how big a company Google is and how expensive their operations are. In fact Google spends every quarter roughly two billion dollars into their data centers. They’re investing every quarter over two billion into building larger and larger data centers. Yet the services they provide are free. And what's even more remarkable, Google is profitable. They make 12 billion dollars profit every year, which nicely illustrates that there is no such thing as free. That's how valuable our data is to Google.


Non esistono pasti gratuiti; non esistono motori di ricerca gratuiti; non esistono depositi nel cloud gratuiti; non esistono webmail gratuite. Le uniche cose su Internet che sono davvero gratuite sono cose come il kernel di Linux e i progetti open source. La maggior parte delle cose che vengono chiamate “gratuite” non è affatto gratuita.

There are no free lunches; there are no free search engines; there are no free cloud storages; there are no free webmails; the only things on the Net which really and truly are free are things like, you know, the Linux kernel, open source projects. Most of the things which are called “free” are not free.


Per esempio, le app. Non esistono app gratuite. Sappiamo che tutti i negozi di app sono pieni di app gratuite; nessuna di esse è gratuita. Lo vedete quando ne scaricate una semplice, come un'applicazione che fa diventare il vostro telefonino una torcia, ma quando date un'occhiata più da vicino a che tipo di diritti o permessi richiede al vostro dispositivo, vuole sapere dove siete e accedere ai vostri contatti e a Internet, ovviamente. Perché una torcia dovrebbe averne bisogno? Non esistono pasti gratuiti; non esistono app gratuite.

For example, apps. There are no free apps. We know that all the app stores are filled with free apps; none of them are free. And you see this when you go and download something simple. You know, an application which will turn your phone into a flashlight or a torch, and then when you take a closer look at what kind of rights or permissions it requires from your handset, it wants to know your location and gain access to your contacts and to the Internet, of course. Why would a flashlight need that? There is no free lunch; there are no free apps.


Quindi è facile dare la colpa all'utente. Gli utenti stanno facendo errori stupidi. Ho sentito una bella storia su di loro; un tizio aveva un vecchio computer fisso al lavoro e ne aveva preso uno nuovo e quindi voleva trasferire i propri dati da quello vecchio a quello nuovo. Così andò nella propria cartella Documenti, selezionò con il mouse tutti i propri file e poi fece clic destro e selezionò Copia; poi scollegò il mouse dal computer, lo collegò al nuovo computer e cliccò su Incolla. E questo non è un utente stupido: in realtà questo è ovviamente un uomo molto intelligente che semplicemente non ha una formazione sufficiente – voglio dire, potrebbe funzionare in quel modo; ma semplicemente non lo fa.

So it's easy to blame the user. The users are making stupid mistakes. I heard a good story about users; about this guy who had an old desktop computer at his work and he got a new computer, so he wanted to move his files from the old computer to the new computer. So what he did is he went to his My Documents folder and with his mouse he selected all of his files then he right-clicked and selected Copy, then he disconnected the mouse from the computer, connected it to the new computer, and clicked Paste. And that's not a stupid user: that’s actually obviously a very smart man who simply hasn't had the training – I mean, it could work like that; it just doesn’t.


E un'altra cosa che fanno gli utenti è mentire. Qual è la bugia più grande su Internet? La bugia più grande su Internet è “Ho letto e accetto il contratto di licenza”. Lo facciamo tutti. Noi sappiamo che lo fate, perché lo abbiamo proprio verificato. Abbiamo messo un accesso Wi-Fi gratuito a Londra qualche mese fa, in modo che potevate avere accesso gratuito ad un hotspot Wi-Fi ma ovviamente dovevate leggere i contratti di licenza per avere accesso. E nel nostro contratto di licenza avevamo una piccola clausola che diceva che avreste dovuto darci il vostro primogenito. E tutti hanno cliccato su OK. Ora, non siamo davvero andati a prendere il primogenito; credo che avremmo davvero dovuto farlo – sfondare le loro porte e dire “Salve, siamo venuti a prendere Jamie”. Non lo abbiamo fatto.

And another thing users do is that they lie. What is the biggest lie on the Internet? The biggest lie on the Internet is “I have read and I agree to the license agreement”. We all do this. We know you do this, because we actually tested this. We set up a free Wi-Fi hotspot in London earlier this year, so you got free access to a Wi-Fi hotspot, but of course you had to read through the end-user license agreement to get the access. And in our license agreement we had a slight clause which said that you will have to give your firstborn child to us. And everybody clicked OK. Now, we didn't actually go and pick up the firstborn child; I think we really should have – you know, go through their doors and say “Hello, we've come to pick up Jamie”. We didn't do that.


Oggi dobbiamo accettare dei contratti di licenza anche quando usiamo i nostri dispositivi, come le nostre lavatrici smart o i nostri campanelli smart o le nostre smart TV. Lasciate che vi confidi un segreto: quando sentite che la macchina è “smart”, intelligente, quello che vuol dire veramente è che è sfruttabile. “Intelligente” significa “sfruttabile”. “Smart TV” vuol dire “TV sfruttabile”; “smartphone” vuol dire “telefonino sfruttabile”, e così via. Questo è quello che vuol dire.

And we have to accept the license agreements today even when we use our devices, like our smart washing machines or smart doorbells or our smart TVs. Let me tell you a secret: when you hear that the machine is “smart”, what it actually means is that it’s exploitable. “Smart” means “exploitable”. “Smart TV” means an “exploitable TV”; “smartphone” means an “exploitable phone”, and so on. That’s what it means.


E questi dispositivi, quando andate a leggere i loro contratti di licenza, hanno cose sorprendenti. Per esempio, la Smart TV della Samsung vi spiega che questa funzione di riconoscimento vocale nella vostra TV registrerà quello che dite nelle vicinanze del televisore, quindi per favore tenete presente che se le vostre parole includono informazioni personali o sensibili, queste informazioni verranno registrate dal vostro televisore – nel vostro soggiorno. O se state giocando ad un videogioco di calcio con la vostra X-Box e vi capita di imprecare quando il computer fa un punto contro di voi, vi registrerà mentre imprecate nel vostro soggiorno e vi manderà delle ammonizioni perché avete detto una parolaccia nel vostro soggiorno. È come avere degli zii viscidi dentro le nostre console di gioco e nei nostri televisori. Viviamo una vita da acquario.

And these devices, when you go and read their license agreements, have surprising things. So for example, the Samsung Smart TV explains to you that this voice recognition feature in your TV will record what you speak around the TV, so please be aware that if your spoken words include personal or sensitive information it will be recorded by your television – in your living room. Or if you're playing a game of football with your X-Box and you happen to swear when the computer scores against you, it will actually record you swearing in your living room and will give you warnings because you swear in your living room. This is sort of like having the creepy uncles in our gaming consoles and inside our television sets. We are living an aquarium life.


Oppure un'altra cosa grandiosa che è successa col nuovo iPhone, che ora ha questa app che tiene traccia della vostra salute. Un utente si è accorto che l’app stava monitorando i suoi passi, così ha chiesto online una cosa del tipo “Okay, sta contando i miei passi, non ho mai abilitato questa cosa, come faccio a impedire al mio telefono di contare i miei passi?” E la risposta è stata che in realtà ha contato i tuoi passi sin dall'iPhone 4S – semplicemente prima non te lo faceva vedere. E ovviamente se non era un problema per te prima, come mai è un problema adesso? E non c'è modo di disabilitare questa funzione.

Or a great thing that happened with the new iPhone, which now has this health app which tracks your health. And one user noticed that it was tracking his steps, so he asked a question online, like, “Okay it's counting my steps, I actually never enabled this, how do I stop my phone from counting my steps?” And the answer was that actually, it's been counting your steps already from iPhone 4s – it just never showed it to you before. And obviously if it hasn't been a problem for you before, how come it's a problem now? And there's no way to disable it.


E c'è gente che ti dirà che non c'è niente da fare contro queste cose. Non c'è niente che si possa fare, quindi non dovresti neanche provare a fare qualcosa. Io non ci credo. Io credo che quando vediamo che le cose non vanno bene, dovremmo fermarci; e anche se pensiamo che questo ci metterà nei guai, dovremmo agire.

And there are people who will tell you that there's nothing you could do about these things. There's nothing that could be done, so you shouldn't even try to do anything at all. And I don't believe in that. I believe that when we see things going wrong, we should stop; and even though we might think that this will get us into trouble, we should act.


Spero che abbiamo la forza e il coraggio di agire. Spero di avere io la forza e il coraggio di agire. Spero che abbiate la forza e il coraggio di agire quando le cose vanno male. Spero che abbiate la forza e il coraggio di pensare “Questo mi metterà nei guai,” ma che quando ce n'è bisogno siate voi quelli che fermano l’orchestra e prendono in mano il microfono. Grazie mille.

I hope we have the strength and guts to act. I hope I have the strength and guts to act. I hope you have the strength and the guts to act when things go wrong. I hope you have the strength and guts to think “This will get me into trouble,” but when needed I hope you are the one who will stop the band and grab the microphone. Thank you very much.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (35)
E siamo anche un poco svogliati... Basterebbe usare massivamente pgp per posta elettronica e messaggistica e gran parte dei problemi sarebbe risolta. Ma pochi sentono il fiato sul collo degli spioni, una piccola parte di questi si sente in pericolo e di questi pochissimi sentono l'esigenza di avere client e app di messaggistica in gradi du sfrutare un sistema di criptazione alla portata di qualsiasi sviluppatore serio.
I maggiori interpreti poi se ne fregano, che ci vorrebbe per costoro (apple e microsoft in testa) implementare pgp sui propri client di posta? A quel punto anche gli viluppatori terze parti (mozilla foundation e compagnia bella) sarebbero costretti a seguire il flusso... Ma apple e microsoft nulla fanno. E che dire dei principali sistemi di messaggistica (skype, whatsapp, fb messenger, imessage). Che ci vorrebbe ad implementare il pgp sulle loro app...
Ma poi... Ma poi chi glie lo va a spiegare alla nsa (e compagnia bella) che sono addirittura arrivati a minare in fase di definizione lo stesso standard ssl per le transazione sicure con i browser?
Siamo un branco di pecoroni oziosi benestanti svogliati boriosi e pigri noi utenti finali sempre pronti a indignarci quando poi quello che già intimamente sappiamo diviene un dato di fatto grazie a persone come snowden...
Proprio un gran branco di pecoroni.
PS
per non parlare di google et similia che in paesi "democratici" come la cina offrono sistemi di filtraggio ad uso e consumo dei "liberalissimi" governi che li amministrano.
Microsoft, google etc non lo fanno perché uccidere il loro mercato della pubblicità contestuale in quanto non potrebbero leggere ed analizzare la posta
Sconcertante, soprattutto per l' "internet delle cose" che si sta diffondendo: se la tua TV è connessa, può mandare tutto su internet e verso il sito del produttore, comprese le scelte dei programmi e le imprecazioni mentre guardi la partita. E non c'è difesa nè garanzia, a differenza delle mail (es.Pretty Good Privacy) o della navigazione su PC (HTTPS, VPN).
Grazie per tenerci svegli! Mai abbastanza...
Se hai il controllo del tuo router, volendo potresti avere il controllo su ciò che passa.

Per quanto riguarda i client di posta, io mi aspetterei che fossero Mozilla e compagnia a proporre il PGP implementato e Apple e Microsoft a seguire il flusso.

Io però ricordo una versione di PGP che si integrava in Eudora.
Se hai dei router o access point di livello basso non puoi fare quello che vuoi il mio ad esempio costa già oltre 100 euro ma comunque non può fare alcune cose figuraiamoci quelli che vengono forniti da telecom (o concorrenti) con l'abbonamento
Se modifichi il firmware si può fare, anche con quelli Telecom. Devono essere molto economici per non poterlo fare.
In caso diverso metti su un router attraverso cui passano tutti i collegamenti a sua volta collegato al modem ADSL o quel che è.
Beh, basta chiedersi se siamo disposti a rinunciare ai servizi gratuiti.La privacy è più tutelata. Siamo disposti a farlo?
C'è un plugin pgp per thunderbird ma trovo ridicolo che usare pgp sia ancora così macchinoso dopo 20 anni. Mi indicate delle istruzioni semplici?
il problema che modificare il firmware implica che tu sappia farlo, che tu o ti fidi ciecamente di quello installi o che sia in grado di leggere riga per riga il codice che installi...per quanto mi riguarda penso di essere in grado di farlo ed eventualmente di leggerne il codice nel caso ma me ne manca il tempo...per cui ho cercato di modificare tutte le impostazioni di sicurezza accessibili in maniera normale.
Inoltre modificare il firmware con uno non standard annulla la garanzia cosa che mi scoccia non poco su apparecchi del costo di 100 euro o più.
Per il mio router esistono ben 5 firmware non standard ma sono restio ad installarli per tutti i motivi di cui sopra.
Ma la clausola del primodernato nelle condizioni di accesso al wifi é reale (con scopo provocatorio s'intende) oppure era solo una slide con un esempio goliardico?
Se non dico stupidaggini, mi sembra che anche i TEDx siano con licenza CC e quindi siano liberamente traducibili, immagino con stessa licenza. Potresti dare la traduzione direttamente al sito.
Senza contare che i router col firmware flashabile e compatibile con DD-WRT sono relativamente pochi modelli..
Andrea,
la modifica può essere semplice come un aggiornamento oppure più complessa, dipende dal modello.
Un modello da oltre 100 euro che non permetta di inserire regole nel firewall (alla fine è questo che bisogna fare) mi pare strano. Ma è possibile.
Il mio ad esempio comprato.4 anni fa a 129 euro non ha un firewall integrato, supplisco la mancanza con un firewall software e impostando una stretta sicurezza della parte wifi basata su indirizzi mac e password molto complessa diciamo che avendo vicini con reti senza password o con reti con password standard la mia è l'ultima rete che può venire attaccata
Credo che la maggior parte degli utenti "normali" di internet ragioni ancora in base alle esperienze e agli atteggiamenti maturati in vari secoli di posta cartacea.

E' beninteso sempre stato possibile per organizzazioni statali, e in certi casi anche per gruppi criminali ben organizzati, intercettare e leggere la posta di chiunque. Per questo, chi aveva ragione di temere di essere sotto osservazione, o comunque doveva trattare per lettera argomenti riservati o delicati, ha sempre fatto ricorso alla cifratura. Ma per la stragrande maggioranza degli utenti del servizio postale, si sarebbe trattato di uno spreco ingiustificato: le probabilità che proprio una loro lettera in qualche modo compromettente venisse aperta, e usata contro di loro, erano infime. Da qui, la sostanziale indifferenza nell'affidare le proprie lettere al servizio postale, anche quando questo era gestito da regimi totalitari e oppressivi.

Quello che la gente non ha ancora capito è che nell'epoca digitale, è di fatto possibile intercettare TUTTO, e poi filtrarlo alla ricerca di qualcosa che potrebbe essere utile: se non come informazione, quanto meno per ricatti o pressioni di vario genere.

«Per quanto riguarda i client di posta, io mi aspetterei che fossero Mozilla e compagnia a proporre il PGP implementato e Apple e Microsoft a seguire il flusso.»

Ma infatti in Thunderbird la PGP/GPG (quasi) di default c'è già: eccola qui. Più o meno "chiavi in mano", come nell'Eudora che ricordi tu.

Poi, se questo possa chiamarsi un "proporre il PGP implementato" precorrendo i tempi, o che intenzioni abbiano MS e Apple, non saprei dire: ma Google sembra abbastanza chiaramente intenzionata a spingere l'intero "ecosistema" verso la crittazione integrale di tutto il traffico, che si tratti di email o di altro. E farebbe benissimo: considerato che allo stato attuale non ci sono norme che IMPONGANO la "busta chiusa" crittografica, tanto vale che ALMENO UN grosso attore dell'"ecosistema" si porti avanti, tracci la rotta, e si tiri dietro tutto il resto, settore privato così come settore pubblico e "Legislatore". Tutto ciò avrà quasi certamente dei costi (in termini sia materiali che "simbolici"), se non altro per il fatto che, il giorno in cui Google dovesse imporre uno standard "de facto", tutti dovremo adeguarci ad esso, volenti o nolenti. Però, sarebbe sempre meglio che il caos attuale...


«C'è un plugin pgp per thunderbird ma trovo ridicolo che usare pgp sia ancora così macchinoso dopo 20 anni. Mi indicate delle istruzioni semplici?»

Ma perché "macchinoso"? Se tu ed io usiamo entrambi TB (con Enigmail), e io ho la tua chiave crittografica pubblica e tu hai la mia, nello spedirmi tu un messaggio non dovrai fare altro che rispondere 'sì' alla domanda di Enigmail «vuoi che cifri il messaggio destinato a xxx@yyy.com con la chiave tal-dei-tali?». Per arrivare a ciò, uno non deve fare altro che generarsi la sua brava coppia di chiavi crittografiche (sempre con Enigmail + PGP), mettere la chiave pubblica in un server (tipo questo), e comunicare ai suoi corrispondenti che la sua chiave è quella con quel certo codice (esadecimale)... Non è molto più complicato che dire «io abito in via Pinco Pallino al numero X, interno Y, città Z, CAP nlmpq».

Il problema, naturalmente, si pone quando tu non devi scrivere solo a me, ma contemporaneamente ad altri 100 corrispondenti: e dunque ti trovi a dover gestire conteporaneamente un centinaio di chiavi pubbliche. Io non l'ho mai fatto: ma non fatico a credere che sia una tremenda rottura di c...

Ma per evitare questo genere di rotture, o si riprogetta COMPLETAMENTE l'intera "infrastruttura" di crittografia a chiave pubblica: oppure ci si deve tenere PGP e il server dell'MIT. Non mi pare ci siano altre strade (e non si può rendere la crittografia a chiave pubblica più facile...)


«Credo che la maggior parte degli utenti "normali" di internet ragioni ancora in base alle esperienze e agli atteggiamenti maturati in vari secoli di posta cartacea.[...] Quello che la gente non ha ancora capito è che nell'epoca digitale, è di fatto possibile intercettare TUTTO, e poi filtrarlo alla ricerca di qualcosa che potrebbe essere utile: se non come informazione, quanto meno per ricatti o pressioni di vario genere.»

Parole d'oro!! (scusa i tagli ^_^)

Secondo me, dipende molto anche dal "complesso della scatola nera" che si ha nei confronti di Internet. Ho l'impressione, infatti, che ancora MOLTISSIMI pensino che i "dati" (come li chiama qualcuno), una volta che hai schiacciato il tasto "Invio" e sono finiti giù per lo scarico, sono miracolosamente protetti da qualunque brutta cosa possa accadere, grazie ad una sorta di luccicante "armatura elettromagnetica" che li rende invisibili a tutti ;D
Incorporerai la traduzione direttamente sul video di youtube?
Grazie!
Chi programma app Android deve compilare il Manifest file con all'interno anche la dichiarazione dei sensori utilizzati.
io faccio al momento app gratuite ma come molti lascio in default il Manifest e sembra che le mie app abbiano accesso a tutto ma non è così.
Interessante, grazie. Però io penso che al di là del tono un po' savonaroliano bisognerebbe che chi parla di queste cose avesse il coraggio di porre una domanda e di cercare di rispondere:

Ok. Ma a cosa dovrei rinunciare per avere indietro la mia privacy e la mia libertà?

Perchè il problema è questo, ed è inutile che Hypponen dica che non è così ("I hope we have the strength and guts to act."). Francamente non mi sembra un problema di "gut" ma un problema di trade-off, di compromesso. La mia auto mi permette di fare cose impensabili quando ci si muoveva a piedi. Ma insieme a quelle altrui ha massacrato la mia bella città, ha reso impossibile spostarsi in un giorno di pioggia, ha contribuito a rendere il petrolio causa di guerre e dolore, ha indebolito fortemente la mia ricchezza e ha inquinato i polmoni miei e dei miei figli. Quando abbiamo scelto l'uno per l'altro abbiamo accettato che certi vantaggi valessero più di certi svantaggi. Internet, e i vari prodotti "smartass" non fanno altro che la stessa cosa, solo che il trade-off è con difetti più immateriali.

Se si aggira questa domanda e non si dice a chiare lettere cosa significherebbe un mondo senza app come la flashlight, se non si chiarisce chi ti darebbe la flashlight per niente diventa un po' un discorso millenarista e tutto sommato poco convincente se hai un minimo di onestà.

Scrivo tutto questo non perchè non mi ponga il problema, al contrario! Proprio perchè me lo pongo tutti i giorni e mi sono parecchio rotto di non sapere che cosa implicano le mie scelte online e come vengono usate le cose che faccio e chi ha le chiavi della mia privacy. Ma di non vedere una soluzione che non sia un "wipe out", una eliminazione totale di tutto quello che nonostante questo internet mi ha dato in questi ultimi decenni.

Non porsele e dare sfogo alla lamentela e a paragoni emotivi (come quello dell'incendio) mi spiace, ma mi lascia un po' perplesso. Ok, hai fatto il tuo discorso, hai ragione, le stagioni non sono più come una volta, la società sta diventando orwelliana, qualcuno potrebbe leggere quello che scrivo in questo momento e il mio governo democraticamente eletto essere spiato da quelli altrui.

Ma a cosa dovrei rinunciare per evitare tutto questo? A internet? A google? Alla posta elettronica accessibile da ogni angolo del pianeta? A sapere quanto ci metto oggi ad andare da mia sorella in macchina? A trovare il numero di telefono del tale sul mio cellulare nuovo di zecca (ma "stupido" e quindi non sfruttabile)? Oppure tutto questo si può fare usando risorse di tanti analoghi di Linus Torvald che mi danno le stesse cose, incluso un sistema operativo sicuro e comunicazioni via internet che non sono tracciabili? Incluse tutte le app che mi danno i passaggi della ISS?

A me sembra che avremmo bisogno di meno Savonarola e di più sviluppatori di sistemi reali per contrastare tutto questo. Ma, appunto, pochissimi si possono permettere, o hanno le risorse, per lavorare gratis.
Se a qualcuno interessasse commentare quello che ho scritto, prego astenersi da semplicismi vari. Questo NON E' un problema semplice. Non basta alzarsi e prendere il microfono per invitare la gente a mollare.

Ci sono essenzialmente due soluzioni: dare una stretta pesante all'accesso alla nostra privacy da parte di chi lavora nel campo del supporto e delle app, oppure rinunciare a tutto questo. Nel primo caso, anche supponendo di poterlo fare in maniera realmente efficace (cosa non facile) bisogna anche farsi carico di chi continuerà il lavoro. Perchè francamente non vedo dimostrazioni che l'open source, quello REALMENTE gratuito, no-profit, possa sostituire l'enorme numero di funzionalità disponibili tramite, per esempio, i grandi data center google, i google play o app store

La seconda soluzione invece non mi sembra lasci spazio ad altro che a rinunciare a tutto questo inclusi smartphone, computer, internet, domotica, etc. Quando togli tutto questo torni essenzialmente al mondo di 30 anni fa. Hai salvato la tua privacy (perchè ovviamente questa soluzione è più una scelta personale che altro) e risolto il tuo problema, pagando però un costo salatissimo sul piano professionale. Blog come questi sono condannati a scomparire. Il lavoro scientifico ne soffrirebbe pesantemente. Addio ISS transit per tutti.

Soluzioni intermedie? Si è già visto che il consenso informato non serve a molto. Di fronte alla possibilità di accedere gratuitamente ad internet dal bar sotto casa (come si può fare per esempio in UK con tutti gli hotspot _The_Cloud, non dico che in molti venderebbero realmente il figlio ma certamente la stragrande maggioranza venderebbe la rubrica telefonica (confidando probabilmente nel fatto che sia abbastanza priva di interesse).

Se invece si optasse per porre dei limiti all'invasione della privacy... bè dipende da dove mettere la soglia. Se si vietasse tutto d'un tratto a google di leggere le nostre e-mail, o le nostre stringhe di ricerca, ho l'impressione che google non avrebbe più ragione di essere e non sarebbe profittabile sul piano economico, e quindi addio google. Resterebbe l'infrastruttura pubblica gratuita di internet e poco più. Chi ci sta?
Comincio precisando subito che questo pensiero
"Per esempio, le app. Non esistono app gratuite. Sappiamo che tutti i negozi di app sono pieni di app gratuite; nessuna di esse è gratuita. Lo vedete quando ne scaricate una semplice, come un'applicazione che fa diventare il vostro telefonino una torcia, ma quando date un'occhiata più da vicino a che tipo di diritto o permessi richiede al vostro dispositivo vuole sapere dove siete e accedere ai vostri contatti e a Internet, ovviamente. Perché una torcia dovrebbe averne bisogno? Non esistono pasti gratuiti; non esistono app gratuite."

Semplicemente è _falso_. Posto che ci sono sviluppatori indipendenti che rilasciano app gratuite per vari motivi (es. uno ha sviluppato un app per motivi suoi, ad esempio, e ha deciso di rilasciare una versione pubblica o per semplice voglia di farsi notare), per la mia azienda ho sviluppato un app (per conto di un cliente) che è gratuita e non traccia né rileva alcunché dell'utente. Certo, si può obiettare che qualucuno ha pagato, ma come si può vedere non c'è solo il tracciamento come metodo di pagamento indiretto :-)
Bisogna stare un po' attenti a fare delle affermazioni forti e categoriche.
Oltre a questo, è fuorviante il discorso dei permessi. Sembra che ogni volta che un'applicazione richieda un permesso di quel tipo, lo faccia per fini commerciali. Ma anche no, Certe app necessitano di quei dati specifici per funzionare, c'è poco da fare.

Sarò un precisino, ma per quel paragrafo sembra detto da uno che non sa manco cosa sia un'app e gridare "al lupo al lupo" quando il lupo non è in quel luogo...beh, lo renderà meno credibile quando il lupo ci sarà veramente.

Detto questo, ha ragione pgc: è chiaro che non si può rinunciare di botto a tutto ciò che è attualmente internet (tra parentesi blogspot è by Google) e bisogna capire cosa è accettabile e cosa no.
È accettabile che un'azienda, di cui utilizzo i servizi (es. google) li usi per veicolare messaggi pubblicitari? Per me sì, se quei dati rimangono in esclusivo loro possesso (nessun governo ci ficca il naso) e sono informazioni "generiche", come potrebbe raccoglierle facendomi un'intervista sui miei prodotti preferiti.
È accettabile che lo faccia analizzando le mie mail? Manco per il *!

Il discorso, IMHO, verte su quanto un dato sia sensibile e quanto lo sia se aggregato con altri dati. Se i dati vengono gestiti sempre in modo acconcio per me il problema non è così enorme.
Il problema è che, spesso, questi dati:
a) Sono raccolti senza una chiara informativa all'utente
b) Sono evidentemente trattati senza un minimo di sicurezza (vedi trasmissione dati in chiaro delle smart tv, per me da denuncia)
c) I governi possono ottenerne accesso in modo disinvolto, questo è il problema maggiore

Insomma, il problema non è solo raccogliere dati, ma come vengono usati e soprattutto se sono usati illegalmente.

Se il problema è un possibile abuso allora bisogna fare in modo che ciò non si verifichi, ma questo non c'entra con il fatto che siamo sorvegliati, perché l'abuso è, per definizione, illegale.
Il vero rischio è quando giudici incompetenti danno il via libera alle autorità nell'usarli ignoranto qualunque norma in cui vi sia il termine "privacy". Di nuovo, qui il problema non è google e soci, qui il problema è che determinate persone pensano cose in contrasto con la democrazia e sono nei posti in cui dovrebbe essere tutelata.

La domanda, posta più e più volte, è sempre quella: cosa è accettabile far sapere al mondo di noi?
Sperando che questo non sia un semplicismo: posto che chi sviluppa certe funzionalità mira ai soldi, e posto che in questo non c'è nulla di diabolicamente malvagio, perchè questi soldi dovrebbero venire da qualcuno interessato a sapere se uso carta igienica a tre o quattro fogli, e quanti rotoli me ne servono in un mese, e non invece direttamente dal mio portafoglio? Cosa impedisce alla società di informatica "Finestrax" di mettere in vendita applicazioni protette da pesantissimi sistemi di sovracifratura, invece di "regalarle" per poi vendere invece i fatti privati degli utenti?

Si dirà: la maggior parte della gente non capirebbe perchè dovrebbe pagare per una cosa, che qualcun altro invece ti regala. Vero, ma ben gli sta. Esisterebbe comunque, credo, una non trascurabile nicchia di mercato per persone più attente - nicchia che però nessuno sembra interessato a sfruttare. Come mai?

Temo che la risposta rischi di scadere nel complottismo: nessuno ci pensa perchè è ben chiaro che la "Finestrax" che ci provasse, finirebbe ben presto per avere grossi guai con governi, polizie e magistrature varie,

pgc,

Soluzioni intermedie?

Io ne avrei una: servizi e app a pagamento, supportati da sistemi di pagamento elettronico davvero semplici e garantiti anche per micropagamenti, abbinati a una campagna di educazione dei cittadini da parte dello stato. I garanti per la privacy, invece di fare le belle statuine, potrebbero mettersi a chiedere leggi che bandiscano i social network e le app eccessivamente intrusive che fanno data mining di nascosto. Potrebbero creare app pro-privacy che bloccano la raccolta di dati cross-site, i cookie pubblicitari e altri sistemi intrusivi. Pensate a un AdBlock o a una VPN anonimizzante finanziata dall'UE, per esempio.

E' ora di abbandonare l'idea che tutto su Internet debba essere gratuito e di riprendersi il concetto che i servizi di qualità non nascono dal nulla: hanno dei costi, e qualcuno li deve pagare. O li paga un mecenate (un governo, anche) oppure li paga il singolo utente.

Io, per esempio, pagherei volentieri per un Google che non ficcasse il naso nei miei affari o per un Twitter o un WhatsApp che non venda i miei dati personali e non mi ficchi in gola la pubblicità. Esattamente come pago un canone per vedere la BBC (priva di pubblicità) o pago la vignetta autostradale svizzera o i pedaggi italiani per usare le autostrade.

Secondo me è ora che l'Europa, che ha ancora un briciolo di dignità culturale e di rispetto per i diritti dei cittadini prima di quelli delle mega-aziende, la smetta di essere succube di qualunque moda commerciale made in USA, anche in campo informatico.

Esempio: Ehi, Facebook, cos'è questa storia che la gente deve usare il nome e cognome veri? Scordatelo: da noi c'è il diritto all'anonimato. O cambi le tue regole, o noi vietiamo alle aziende UE di farsi pubblicità tramite FB e ti blocchiamo a livello dei DNS dei provider. Vedi tu.

(L'UE ha protestato contro il riconoscimento facciale automatico, bandito in UE ma attivo in USA su FB, quindi si può fare).
pgc,

Aggiungerei anche l'obbligo di un bell'adesivo sulle Smart TV: "attenzione - questo televisore ascolta tutto quello che dici e lo manda a non si sa bene chi".

Il riconoscimento vocale si può fare anche in locale, senza dover per forza mandare tutto l'audio a chissà chi in chissà quale paese.

Si potrebbe istituire, per esempio, un centro UE di collaudo dei dispositivi elettronici che ne certifichi il rispetto della privacy. Così i venditori sono obbligati a certificare che i loro apparecchi siano elettricamente sicuri, potremmo stabilire che solo gli apparecchi che (verificati) non disseminano nessun dato personale possono essere venduti nell'UE.

Significherebbe avere dei governanti capaci di resistere alle pressioni economiche dei grandi fabbricanti di elettronica, e per questo temo che questa soluzione sia utopia e per questo mi adopero con l'unico mezzo che ho: informare del problema.
Non ho ascoltato l'audio e mi sono limitato alla lettura.

Refuso o errore grammaticale di Hypponen (in tal caso metterei un SIC):

So he realized that there's a big fire

a queue of people who are still coming into the room

one of the judges was claiming that they couldn't possibly be any damage to customers of Yahoo (questa non mi torna... magari sbaglio io)
Stupidocane,

i primi due sono trascritti fedelmente dall'originale: lui coniuga al presente. Non è grammaticalmente perfetto ma è accettabile.

Il terzo è un errore mio e l'ho corretto, grazie!
Paolo,

So che a livello orale sono permessi, o almeno tollerati, i "pasticci" con i tempi ed infatti suggerivo un SIC.

Niente di che, solo che vederlo scritto, da un madrelingua, dopo anni a prendere bacchettate per i tempi non concordanti, fa un po'... senso.

:D
Nel merito delle quesitoni sollevate da pgc, mi trovo d'accordo con Paolo.

Se siamo disposti a pagare 89 cent l'anno per Whatsapp, perché non dovremmo essere disposti a farlo anche per un'app clone ma cifrata che non ficchi il naso nei nostri affari?
Quesitoni... grandi domande... :D
Caro Paolo,
il tuo discorso mi sta benissimo (anche se alcune delle soluzioni che identifichi sono a mio parere inattuabili o inutili, ma è un discorso difficile e lungo). Ma Mikko parla di tutt'altro. Non c'è una sola parola nel suo discorso che esponga soluzioni possibili. E' questo che critico. Mi sono un po' rotto di chiamate millenaristiche alla rivoluzione senza dire chiaro e tondo cosa fare.
Riscrivo qui un commento che avevo scritto nell'altro post, dato che la discussione in merito è qui. Paolo se per te è cross-posting non approvarlo, ovviamente :P


Grazie Linda e Paolo per la splendida traduzione.

Che 'non esistono app gratuite' forse ha un po' esagerato. C'è chi realizza app solo per hobby o soddisfazione, progetti open-source in primis.
Play Store & co chiaramente spingono su quelle mainstream, che sono a loro volta le più votate, che lo sono a loro volta per marketing.

Comunque, proviamo ad analizzare in pratica quel che utenti comuni possono fare.

Relativamente ai malware, attacchi da/contro governi etc, quel che un utente comune può fare è solo evitare di essere parte di una botnet.

Sui permessi delle app, o i dati condivisi con i social network, o le smart tv (in generale l'internet-of-things), o in generale tutti gli altri esempi che fa (compreso i termini di utilizzo), il punto focale è evidentemente il sensibilizzare gli utenti.
La maggior parte degli utenti a cui illustro queste tematiche, anche con la buona volontà di metterci più attenzione, di solito:

- Lamentano la mancanza di strumenti tecnici newbie-friendly.
Esempio: la smart-tv, come faccio a sapere se e cosa trasmette alla casa madre?
- Lamentano la forzatura nero/bianco delle scelte a disposizione (che porta al 'vabbè chissene altrimenti mi complico la vita')
Esempio: la smart-tv, o non la collego alla rete, o mi fido ciecamente, non c'è modo di avere vie di mezzo (es. permettere di vedere YouTube dalla TV ma bloccare i dati in uscita)
Altro esempio: il giochino che piace a mio figlio, non si installa se non accetto tutte le autorizzazioni. Posso accettarle tutte e bloccare io a valle i dati in uscita?.
- Lamentano la complicazione dell'installazione o configurazione di sistemi di controllo.
Molti se la sono sempre cavata con antivirus e firewall (già a fatica con certi tipi di persone) ma mentre anni fa era limitato al solo pc, ora tendono ad essere spaventati (e quindi rinunciano) all'idea di dover trovare e configurare queste soluzioni per ogni dispositivo di casa (es. firewall su smartphone).

Una soluzione, detta grezza, potrebbe essere un dispositivo da mettere a monte della linea, attraverso il quale passa tutto il traffico di casa.
L'interesse verso il defunto progetto Anonabox dimostra che è una soluzione appetibile per i newbie.
Collego lo smart-tv nuovo, gli configuro la rete, il mio smartphone riceve una domanda dal mio dispositivo di controllo, tipo
"Rilevato smart-tv, cerca di inviare dati (...) verso internet. Vuoi: 1) Più dettagli, 2) Permetti (solo ora/sempre), 3) Nega (solo ora/sempre).".

Qualche osservazione tecnica:
- Il dispositivo potrebbe essere un Raspberry PI o simili, in generale star su prezzi molto popolari.
- Il dispositivo potrebbe contenere software e soluzioni open-source per risolvere gli altri aspetti citati da Hypponen, come un DNS ad-hoc con blocco di botnet (vedi http://www.hosts-file.net/ ), facile accesso a VPN o TOR, etc.
- L'idea, oltre alla scelta hardware e sviluppo software (sviluppare una distro linux per quell'hardware), richiede la creazione di un database community-oriented di regole, fingerprint di pacchetti etc, dati usati dal dispositivo per determinare le notifiche da mandare agli utenti.

Il dispositivo, se non altro, informerebbe gli utenti, e magari se soluzioni simili si diffondessero i produttori (ad es. di smart-tv) dovrebbero illustrare in maniera più trasparente le violazioni di privacy, o magari affinarle meglio.

Bon mi fermo qui per ora :P
Just my cent

pgc,

è un talk di 20 minuti: una spiegazione delle difese possibili non ci sta in così poco tempo. Si fa a malapena in tempo a introdurre l'argomento, che è quello che ha fatto qui Mikko. Tieni presente che non sta parlando a un pubblico di informatici: qui deve rompere il ghiaccio con gente che non sa nulla dell'argomento.

Se leggi le altre cose che fa e scrive Mikko, ti accorgi che le soluzioni le propone eccome, ma non in quest'occasione.
Ok, paolo. Ma io mi riferivo a questo discorso che trovo francamente sbagliato. Quello che c'è bisogno di fare è, invece di sollecitare scelte emotive usando paragoni piuttosto forzati come quello dell'incendio, dimostrare che si potrebbe fare diversamente senza perdere molti dei vantaggi nati da questo modello di "free software".

Piuttosto, perchè non ti fai promotore di un sito web, in cui varie proposte atte a ripristinare elementari diritti di privacy vengono discusse, in modo da arrivare a qualcosa di omogeneo e credibile? Sicuramente ce ne sono tanti, ma vista la tua posizione, magari questo funzionerebbe meglio. Qualcosa che possa vedere quali sono i limiti legali ed econoici di un modello diverso di internet? Tu per esempio proponi di pagare piccole cifre per le varie app, ma sei sicuro che questa cosa sia realmente fattibile? Perchè io vedo che quando si supera un certo livello di complessità, i costi non sono certo marginali, e anche un servizio di posta elettronica "gratuita" (tra virgolette) come gmail o gmx, priva di continue violazioni della privacy, potrebbe facilmente costare una cifra annua che non molti si sentirebbero di affrontare (senza contare il rischio di un crollo che ti lasci di colpo senza archivio). Per non parlare di tutte quelle decine di app che uno scarica per provarle e che sono diventate utili proprio perchè estremamente diffuse (penso a waze).

Insomma, tu proponi delle soluzioni, ma a me sembra tutt'altro che garantito che quel modello potrebbe essere economicamente e tecnicamente sostenibile. Questo è il punto. Non ci sono soluzioni semplici e garantite.
Piuttosto, perchè non ti fai promotore di un sito web, in cui varie proposte atte a ripristinare elementari diritti di privacy vengono discusse

Dovremmo arrivare qui ben oltre a un centinaio di commenti, per essere certi che non nasca deserto.
Poi, se volete io sono disponibile, a montare web/forum/etc per iniziare a discuterne in dettaglio.
(ho una società che periodicamente finanzia progetti no-profit legati a net-neutrality, privacy etc. Finanziamo anche diversi Tor relay & exit. Potrei trovare il supporto economico per qualsiasi progetto nasca qui.).

Per non parlare di tutte quelle decine di app che uno scarica per provarle e che sono diventate utili proprio perchè estremamente diffuse (penso a waze).

Attualmente però non c'è modo per un utente comune di sapere cosa comporta per la propria privacy un'app rispetto a un'altra (da una fonte imparziale intendo). Se gli utenti comuni avessero queste informazioni, può essere che applicazioni 'migliori' avrebbero un futuro migliore.