È disponibile subito il podcast di oggi de Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto: lo trovate presso www.rsi.ch/ildisinformatico (link diretto) e qui sotto.
I podcast del Disinformatico sono ascoltabili anche tramite feed RSS, iTunes, Google Podcasts e Spotify.
Buon ascolto, e se vi interessano i testi e i link alle fonti di questa puntata, sono qui sotto.
---
Prologo
CLIP AUDIO: Qualcuno bussa con forza a una porta
Siamo nello stato americano del Kansas, a maggio del 2011. La porta alla quale stanno bussando con insistenza due vicesceriffi è quella della fattoria dove abitano James e Theresa Arnold. Una coppia tranquilla che vive appena fuori Potwin, un paesino altrettanto tranquillo, con poco meno di cinquecento abitanti. James e Theresa si sono trasferiti lì da pochi giorni. I vicesceriffi stanno cercando un furgone rubato, di cui però la coppia non sa assolutamente nulla. La polizia tornerà ripetutamente, alla ricerca di refurtiva di vario genere, e ogni volta James e Theresa dovranno spiegare che non hanno nulla di rubato. Qualche tempo dopo, riceveranno più volte visite degli agenti dell’FBI, che cercano bambini scappati di casa. E poi arriveranno gli ispettori delle tasse, con l’accusa di frode fiscale. E infine la coppia verrà assediata dalle ambulanze in cerca di persone in pericolo di vita e dalle telefonate di persone che la accusano di truffe di vario genere. Non lo sanno ancora, ma la colpa di questi equivoci è tutta di MaxMind. No, non è un arcinemico dei fumetti: è un’azienda che, senza rendersene conto, ha condannato James e Theresa Arnold a un supplizio squisitamente informatico dal nome piuttosto criptico: il default di localizzazione degli indirizzi IP.
Questa è la storia di come una scelta informatica apparentemente banale può trasformare in un inferno la vita di persone innocenti.
Benvenuti al Disinformatico, il podcast della Radiotelevisione Svizzera dedicato alle storie insolite dell’informatica. Io sono Paolo Attivissimo.
SIGLA DI APERTURA
La fattoria di James e Theresa Arnold non è maledetta o posseduta dagli spiriti, e non nasconde un covo segreto di ladri e ricettatori. Lo sa bene il loro locatore, l’anziana signora Taylor: è tutto in regola e non c’è nessun deposito di refurtiva, ma misteriosamente tutte le persone che affittano la sua fattoria vengono bersagliate da richieste di pagamenti di tasse evase e da visite di agenti di polizia, di giorno e di notte, alla ricerca di merci rubate o persone scomparse. Ogni volta è necessario spiegare pazientemente che no, la refurtiva che la polizia sta cercando non è lì e nella fattoria non sono nascosti bambini scappati. E la cosa va avanti da almeno una decina d’anni. Lo sceriffo locale ha fatto mettere un cartello all’ingresso della fattoria avvisando tutti, e soprattutto i rappresentanti del fisco o delle forze dell’ordine federali, di non avvicinarsi e di contattarlo per chiarimenti.
Per venire a capo di questo mistero ci vorranno altri cinque anni e ci vorrà un uomo di nome Kashmir Hill. No, non è un detective: è un giornalista informatico. Arriviamo così al 2016, quando Hill, nell’ambito di un’indagine su un caso analogo avvenuto ad Atlanta, fa una scoperta che cambierà la vita della famiglia Arnold e la libererà (o quasi) dalla persecuzione.
Per capire questa scoperta bisogna fare un passo indietro e parlare di una cosa che a prima vista non c’entra nulla: la cartografia digitale, e specificamente la localizzazione degli indirizzi IP. Ogni dispositivo che si collega a Internet riceve un indirizzo IP, che è un identificativo unico che gli serve per comunicare con gli altri dispositivi. Quando visitate un sito con il vostro computer o smartphone, per esempio, il sito viene informato del vostro indirizzo IP. Ci sono aziende (per esempio Whatismyipaddress.com) che associano gli indirizzi IP ai luoghi geografici, per cui un sito può sapere se un visitatore si trova, che so, in Francia o negli Stati Uniti. Spesso questa associazione è abbastanza precisa da poter indicare la città esatta nella quale si trova l’utente, o addirittura l’edificio specifico. Spesso, ma non sempre.
CLIP: Maxmind
Maxmind, che ha sede in Massachusetts, è una delle aziende che vendono questo tipo di informazione, molto ambita per esempio dai pubblicitari, che la usano per mostrare a ogni utente pubblicità pertinenti alla sua regione. La usano anche le agenzie governative, per sapere dove si trovano le persone che si rivolgono a loro. MaxMind offre i propri servizi a oltre 5000 aziende.
Ma c’è un problema: l’associazione fra indirizzo IP e indirizzo geografico a volte sbaglia di grosso. In alcuni casi viene fatta facendo il cosiddetto wardriving, ossia mandando in giro automobili dotate di GPS e computer che cercano le reti Wi-Fi aperte, ne identificano gli indirizzi IP e li abbinano alle coordinate geografiche del posto in cui si trovano in quel momento. Altre volte viene fatta usando allo stesso modo gli smartphone degli utenti quando vanno in giro. In altri casi ancora viene ottenuta guardando l’indirizzo IP di un’azienda e guardando dove si trova fisicamente la sede di quell’azienda.
Ma in alcuni casi non è possibile risalire all’ubicazione geografica precisa di un certo indirizzo IP e quindi nei registri di aziende come MaxMind si annotano, al posto delle coordinate geografiche reali, delle coordinate di default. Se si sa soltanto che un certo indirizzo IP si trova da qualche parte in una certa città, allora a quell’indirizzo IP verranno abbinate le coordinate geografiche del centro di quella città.
E se MaxMind non ha proprio nessun dato geografico da abbinare a un certo indirizzo IP, nasce un problema: qualcosa bisogna pur scrivere nel database delle coordinate, e così MaxMind assegna delle coordinate completamente arbitrarie. Specificamente, nel caso di qualunque indirizzo IP di cui sa solo che è statunitense, assegna le coordinate del centro geografico degli Stati Uniti, arrotondate per non avere troppe cifre decimali: 38 gradi nord, 97 gradi ovest.
Indovinate cosa c’è a quelle coordinate. Esatto: la fattoria degli Arnold.
In altre parole, qualunque reato o inadempienza fiscale associati a un indirizzo IP di cui MaxMind non ha informazioni geografiche punta a quella fattoria. Se funzionari governativi, inquirenti, ispettori delle tasse, forze dell’ordine chiedono a MaxMind dove si trova un certo indirizzo IP di cui MaxMind non sa nulla, l’azienda non risponde con un sincero “boh, non ne ho la minima idea”, ma fornisce le coordinate geografiche di James e Theresa Arnold. Che così si sono trovati accusati di reati informatici, furti di identità, molestie informatiche e persino di “detenzione di ragazze presso l’abitazione allo scopo di realizzare film pornografici”: così dicono i documenti legali.
Il giornalista informatico, Kashmir Hill, insieme all’esperto di sicurezza Dave Maynor, consulta un database pubblico di MaxMind e scopre che gli indirizzi IP di cui l’azienda non ha nessuna informazione reale di localizzazione sono oltre seicento milioni. Se uno di questi indirizzi IP viene usato da un truffatore o da un criminale informatico o da una persona in difficoltà che contatta un servizio di soccorso, MaxMind dirà che quel malfattore o quella persona nei guai sta a casa degli Arnold, a Potwin, in Kansas. Nessuno, alla MaxMind, si è chiesto se per caso alle coordinate geografiche di default immesse automaticamente nei loro archivi ci fosse qualcuno. Nessuno nell’azienda ha pensato di assegnare delle coordinate geografiche che non potessero causare problemi a persone innocenti e inconsapevoli.
Kashmir Hill, nel 2016, contatta i signori Arnold e spiega la sua scoperta. I coniugi, capita la causa dei loro problemi, avviano subito un’azione legale contro MaxMind, chiedendo un risarcimento di oltre 75.000 dollari. L’azienda si impegna a posizionare le coordinate di default nel centro di specchi d’acqua, boschi o parchi invece che davanti alle case delle persone. Ma molti dei clienti di MaxMind non aggiornano regolarmente i propri archivi, per cui la persecuzione non è ancora del tutto terminata.
La vicenda dei coniugi in Kansas non è l’unica del suo genere: il giornalista Hill cita molti altri casi, come quello del signor Tony Pav, che vive ad Ashburn, in Virginia, dove si trovano i grandi datacenter di Google e Facebook. Di conseguenza, oltre 17 milioni di indirizzi IP puntano ad Ashburn, e MaxMind aveva scelto, come coordinate geografiche generiche di Ashburn, proprio la casa di Tony Pav, che così una sera ha trovato la polizia che stava per sfondargli la porta alla ricerca di un laptop del governo che risultava trovarsi lì, perlomeno stando al suo indirizzo IP. Il povero signor Pav è perseguitato da situazioni di questo genere e teme che qualcuno che ha subìto un torto, prima o poi, venga di persona a casa sua a farsi giustizia sommaria. MaxMind ha cambiato anche queste coordinate.
E poi c’è anche il
caso
del signor Dobson di Las Vegas, che si vede perennemente incolpato
ingiustamente di aver rubato telefonini perché casa sua si trova proprio
davanti a un’antenna di telefonia mobile geolocalizzata.
Fra l’altro, questo non è un problema limitato agli Stati Uniti. Tre anni più tardi, nel 2019, a Pretoria, in Sud Africa, un uomo e sua madre si trovano accusati di rapimento da un investigatore privato che è sulle tracce di una bambina rapita ed è stato portato davanti alla casa dei due da un dispositivo di tracciamento che secondo lui è infallibile. La famiglia si trova spesso in situazioni del genere, a volte anche pericolosamente aggressive, perché la casa, come le precedenti, si trova in un punto geografico informaticamente maledetto.
In questo caso sudafricano, l’artefice della maledizione digitale è nientemeno che un’agenzia governativa di intelligence statunitense, la National Geospatial-Intelligence Agency.
CLIP: NGA
Quest’agenzia fa parte del Dipartimento della Difesa e fornisce anche servizi di geolocalizzazione aperti al pubblico. Per questi servizi ha scelto, per indicare l’intera città di Pretoria, le coordinate esatte della casa dei due malcapitati. E in questo caso non c’è nulla da fare, se non traslocare.
---
Questi episodi assurdi di persecuzione digitale dimostrano la noncuranza con la quale troppo spesso in informatica si scelgono valori predefiniti arbitrari senza pensare alle loro conseguenze nel mondo reale, ma mettono anche in luce due errori molto diffusi fra gli utenti: il primo è un’eccessiva e mal riposta fiducia nei servizi di localizzazione basati sugli indirizzi IP, che spesso contengono dati errati o inventati; il secondo è pensare che delle coordinate geografiche con tanti decimali siano precisissime, mentre in realtà quei decimali sono soltanto il risultato di approssimazioni e arrotondamenti.
Questi servizi, infatti, non sono pensati per trovare una specifica abitazione ma solo per dare un’indicazione approssimativa della zona geografica in cui dovrebbe trovarsi un certo dispositivo. Per cui se usate un sito come Iplocation.net, prendete i suoi risultati con molta cautela. A me, per esempio, dice che sono in questo momento a Zurigo, mentre in realtà mi trovo a Lugano, e dice di sapere dove mi trovo con ben dodici cifre decimali di precisione. In teoria, mi sta dicendo che sa dove mi trovo con una precisione di meno di un milionesimo di millimetro, ma in realtà sbaglia di circa 155 chilometri in linea d’aria.
Morale della storia: la geolocalizzazione è una cosa seria, ma se usata male può causare guai a non finire a persone che non hanno nessuna colpa. Per cui non andate a bussare a casa di sconosciuti perché la vostra app preferita di localizzazione tramite indirizzo IP vi ha portato davanti a una certa abitazione. E pregate di non abitare in una casa che qualche azienda, dall’altra parte del pianeta, ha scelto come coordinate di default per i propri archivi senza pensare alle conseguenze.
Fonti aggiuntive: Half As Interesting, Sophos, Ars Technica.
Nessun commento:
Posta un commento
Se vuoi commentare tramite Disqus (consigliato), vai alla versione per schermi grandi. I commenti immessi qui potrebbero non comparire su Disqus.