Connect with us

Editoriali

Intervista a Antonio Sanso: “il signore delle Password” ci spiega la crittografia delle multinazionali

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 3 minuti.

Oggi parliamo di autenticazione. Ogni volta che accediamo ai nostri profili social, cosa accade? Le nostre password sono accessibili dalle multinazionali con cui ogni giorno condividiamo informazioni e servizi? 

Abbiamo raccolto tanti pareri in giro per il web, ma abbiamo ritenuto necessario ascoltare chi lavora ogni giorno con sistemi di crittografia per analizzare il futuro dell’autenticazione e quindi abbiamo raggiunto Antonio Sanso per intraprendere una conversazione piacevole. Lavora come ricercatore di sicurezza presso Adobe Research Switzerland. I suoi interessi lavorativi spaziano dalla crittografia alla sicurezza delle applicazioni web. È coautore del libro “OAuth 2 in Action”. Antonio ha riscontrato vulnerabilità in software popolari come OpenSSLGoogle Chrome ed è incluso nella hall of fame di Google, Facebook,Github, etc. È anche autore di più di una dozzina di brevetti per la sicurezza informatica e paper accademici applicati alla crittografia. Attualmente è dottorando in crittografia presso la Ruhr-University.

Password alfanumeriche oppure biometriche? La risposta è nell’intervista che segue

La proposta del ministro Pisano di usare un account unico statale come la giudica dal punto di vista teorico e come valuta l’eventualità di unire una password di servizi statali con quelle di servizi commerciali?

Non credo sia una cosa fattibile

Perchè non è fattibile?

Ovviamente uno Stato puo’ assegnare un’username a tutti i cittadini e far si che questo account venga usato per loggarsi ai servizi statali ma non credo si possa andare oltre a questo in maniera coercitiva. Lo Stato non può imporre una cosa del genere. Il problema non è tecnico, seppur si possa fare.

Perchè non si può imporre legalmente? cosa lo vieta?

A che pro?

Tutti hanno l’obbligo di una carta di identità quindi sarebbe utile ad associare lo spazio digitale a quello reale ovviamente.

Qual e’ il problema che si sta cercando di risolvere?

Semplificazione burocratica immagino e promozione dell’identità digitale

Infatti da quel punto di vista si può e si deve fare ma non sostituire tutti gli account privati con uno pubblico. Se mi connetto in un sito di proprietà dello Stato ho bisogno di un “account statale”, ma tutto qui, non vedo fattibile che io acceda su Twitter usando il mio account pubblico. Sono cose diverse e tali devono restare.

A proposito di questo, la domanda da un milione di dollari è: possono Facebook, Amazon e questi grandi siti che oramai monopolizzano lo spazio digitale mondiale avere accesso alle nostre password in chiaro?

Le password non le salvano in chiaro, ma le hanno in chiaro, nel senso le ricevono in chiaro ma poi le salvano come hash.

Cosa è un hash?

Una funzione univoca: dato un input (che e’ password in chiaro) genera un output che sembra una stringa random. però fare il contrario e’ impossibile e quindi dall’output non si risale all’input.

Quindi se chiamo Facebook, o se l’autorità chiama Facebook, e vuole sapere la password del mio profilo non può farlo?

Ripeto le password non le conservano in chiaro, ma per qualche frazione di secondo ce l’hanno in chiaro. E’ una loro scelta quella di non salvarla in chiaro per evitare guai.

Guai che si sono già verificati in passato dove db di password in chiaro sono stati violati. Giusto?

Si, molte volte, ma sempre meno per grossi providers.

E una volta che le nostre password diventano degli hash, come avviene il processo di autenticazione sui portali che la utilizzano?

Si confrontano gli hash (quello memorizzato e l’altro in arrivo)

Quindi possiamo sostenere che le multinazionali non hanno accesso alle nostre password? ma il futuro dell’autenticazione quale sarà secondo te? sotituite definitivamente dai dati biometrici oppure bisogna trovare un’altra strada?

Non credo nell’autenticazione biometrica, pensi un attimo, si può cambiare una password, ma non una retina o un dito: il futuro e’ la crittografia.

La crittrografia non rende tutto più complesso per l’utente che già oggi fatica con l’autenticazione a due fattori?

La crittografia si puo’ rendere semplice basti pensare che viene usata dalle persone tutti i giorni in whatsapp

Quindi anche sotto questo punto di vista da fiducia totale ad applicazioni come whatsapp nonostante il rischio di essere spiati e le notizie, sporadiche, di gravi violazioni?

e come si e’ spiati con Whatsapp ? ha un encryption end to end e in quel caso Facebook anche se volesse non riuscirebbe ad avere il contenuto delle conversazioni.

O con un bug del telefono oppure con un bug dell’applicazione, non trova?

Beh in quel caso e’ game over in ogni caso, se si ha un telefono od un computre compromesso tutto e’ possibile.

Facebook Amazon e co, possono accedere nei nostri profili senza conoscere le nostre password?

Facebook non ha bisogno della mia password di Facebook per avere accesso al mio account di Facebook.

Commenti da Facebook

Editoriali

Greenpass: dopo l’inchiesta di Matrice Digitale, il Garante Privacy avvia indagini con GDF

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 3 minuti.

L’inchiesta di matricedigitale sui mille Greenpass italiani scaricabili nel web di due settimane fa ha colpito nel segno. La notizia data in esclusiva sulla diffusione dei 2000 greenpass italiani che giravano su Telegram tramite un link che rimandava ad una piattaforma di file sharing, ha scaturito azioni governative di indagine. Il Garante della Privacy ha annunciato di aver avviato tutte le procedure necessarie per accertare l’origine dei green pass trafugati, collegati a vaccinazioni, perfettamente funzionanti.

Guardia di Finanza avvia indagine sui 1000 green pass

Il comunicato del Garante descrive “Migliaia di green pass, apparentemente autentici, disponibili on line all’interno di una nota piattaforma di file sharing e scaricabili da chiunque, con il serio rischio che possano essere manipolati o commercializzati. Considerata la gravità e la pericolosità di questa illecita diffusione di dati personali particolarmente delicati, il Garante per la protezione dei dati personali ha avviato d’urgenza un’indagine per accertare le modalità con le quali questi dati siano finiti in rete e ha dato mandato al Nucleo Speciale Tutela Privacy e Frodi tecnologiche della Guardia di Finanza di acquisire gli archivi on line e accertarne la provenienza“.

Ringraziamo pubblicamente la redazione di Open

In un momento dove ognuno fa sua la notizia dicendo di aver scoperto per primo questa falla, giornalisti o addirittura intere redazioni per intenderci, c’è un dovere morale da parte nostra nel ringraziare pubblicamente la redazione di Open , colpevole di aver commesso un atto ignobile secondo il buoncostume giornalistico degli ultimi anni: ha citato la fonte in tempi non sospetti in questo articolo. In più c’è anche chi ha fornito una notizia molto importante sul placement di archivi digitali all’interno di piattaforme di altre piattaforme di file sharing come Emule e precisamente il sito Insicurezza Digitale che vi riportiamo qui.

Le app di Verifica non ufficiali alimentano i certificati esposti in rete?

VerificaC19 è l’app ufficiale del Governo per controllare la validità dei greenpass in circolazione, ma non tutti utilizzano quella consigliata dal Governo. Il sospetto degli ultimi giorni, che mette in dubbio la teoria espressa a caldo da matricedigitale sull’origine unica dei mille certificati verdi ipotizzando una farmacia o un hub vaccinale, è quello che, secondo Michele Pinassi, c’è un rischio ancora più grande rappresentato da app che verificano il green pass, ma allo stesso tempo ne rubano tutti i dati presenti clonando il pdf o il qrcorde all’insaputa degli utenti. Questa notizia è stata dichiarata possibile anche da altri ricercatori come @Odisseus e @sonoclaudio e rappresenta una novità sulla vicenda dei 1000 greenpass italiani che tengono banco da due settimane, con esperti che li riciclano come se fossero molti altri quelli esposti continuamente, ma pur di non citare le fonti di tale notizia, la fantasia aiuta a sfornare nuove informazioni basate su fatti oramai vecchi e accertati da altre testate come la nostra almeno due settimane fa.

Nel mentre la GDF farà luce sulla vicenda, su cui siamo anche noi curiosi a questo punto di sapere maggiori dettagli, avremmo gradito più della citazione dovuta, un apprezzamento e la condivisione della nostra campagna di sensibilizzazione sociale dove invitavamo a scaricare i 1000 greenpass, ma siamo consapevoli che nel giornalismo moderno, chi arriva prima, buca gli altri, che successivamente utilizzano i propri mezzi per appropriarsi delle notizie che non sono stati in grado di anticipare, soprattutto quando si tratta di poteri editoriali muniti anche di grande portata economica.

Meglio così, la soddisfazione più grande è che dopo una denuncia precisa tramite un nostro articolo giornalistico, che va oltre il futile dibattito del circo mediatico di questi giorni, l’Ente preposto al controllo ed alla tutela dei dati personali ha dato mandato all’Autorità Giudiziaria di fare luce sull’episodio sollevato da una attività giornalistica della nostra testata.

Commenti da Facebook
Prosegui la lettura

Editoriali

DAZN e pirateria: il vittimismo che regge la malafede

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 2 minuti.

Dopo aver affrontato la questione spinosa di DAZN e dei suoi disservizi tecnici, oggi parliamo dell’ultima trovata che l’emittente digitale via streaming ha provato a far passare nell’indignazione totale del pubblico italico.

La tv che ha in concessione il campionato italiano, di cui trasmette i diritti, ha annunciato l’abbattimento della doppia utenza simultanea. Una motivazione che ha fatto andare molti utenti su tutte le furie ed ha essenzialmente fatto da apripista a polemiche social che si sono susseguite a raffica.

L’indignazione generale è scaturita dalla decisione di vincolare l’utilizzo di un account DAZN in modalità multiutente solo ed esclusivamente se i dispositivi connessi si trovassero all’interno di una stessa wifi.

In poche parole, se ci troviamo in casa due dispositivi con altrettante sim, ognuno dei due appoggiati su rete telefonica, la società ne staccherebbe la visione di una delle due partite. Alle proteste che si sono presentate puntuali e in massa, DAZN ha fatto sapere che la scelta era obbligata da un uso scorretto che veniva fatto della licenza multiuso. Ha tirato in ballo anche la pirateria per risultare comprensibile agli occhi di tutti, ma il discorso non può essere circoscritto in questo caso all’equazione consumatore=criminale.

Perchè i pirati sono quelli che usano DAZN senza pagare il canone e sono coloro che non verrebbero colpiti da un intervento del genere, anzi, chi ci andrebbe a perdere forse sarebbe proprio DAZN per via di un calo di utenti che potenzialmente potrebbero acquistare il loro abbonamento dopo averlo provato a casa di un amico.

Ci andrebbe a perdere anche lo sporto perché se in casa padre e figlio hanno un interesse diverso in termini di squadre del cuore, sarebbero impediti nel visualizzare con lo stesso contratto due partite differenti in simultanea.

Ricordiamo anche al lettore che il campionato italiano è tutto in mano ad un unico tycoon, quindi DAZN è essenzialmente un monopolista che nulla ha a che vedere con il mercato italiano su cui incide da pochissimi anni e male. Un giudizio ancor più negativo è stato espresso alla luce della sua dichiarazione, proprio perché a margine di uno scandalo precedente sulla qualità della tecnologia messa a disposizione per gli utenti, che si sono lamentati finanche della qualità dei contenuti informativi messi a disposizione. Questo è un altro problema o forse no? Se DAZN esprimesse maggiore qualità forse gli abbonamenti raddoppierebbero, perché non investire commisuratamente al servizio fino ad oggi offerto da Sky per evitare che il monopolio passi definitivamente ad Amazon?

Proprio come sostiene Lapo Elkan.

Commenti da Facebook
Prosegui la lettura

Editoriali

Facebook presenta il suo Metaverso, oppure è il nostro?

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 3 minuti.

Mark Zuckerberg presenta il progetto Metaverse, metaverso, che porta l’azienda social per eccellenza ad una trasformazione storica. Non sarà più Facebook Inc. ma Meta e questo, per fugare tutti i dubbi, non porterà al cambiare nome, almeno nel breve termine, alle app social Facebook, Instagram o Whats App, ma semplicemente creare un contenuto innovativo e tecnologico dove dalle piattaforme sopracitate, ci si darà appuntamento in un livello superiore. O semplicemente diverso?

Cos’è un metaverso?

Citando la definizione pubblicata dalla Treccani in rete, metaverso è “un termine coniato da Neal Stephenson nel romanzo cyberpunk Snow crash (1992) per indicare uno spazio tridimensionale all’interno del quale persone fisiche possono muoversi, condividere e interagire attraverso avatar personalizzati.” Mark Zuckerberg propone proprio questo e lo fa a distanza di anni dal fallimento di Second Life dove gli internauti si muovevano tramite gli avatar e facevano capitalizzazioni in denaro nell’aggiudicarsi immobili o addirittura isole. Oggi tutto questo è ancora vivo grazie alla criptovaluta Decentraland che si appoggia a un progetto simile dove è possibile capitalizzare in moneta virtuale degli investimenti immobiliari in un ambiente non reale.

Il metaverso di Zuck non è altro che una trasposizione della realtà quotidiana in quella virtuale, dove le persone si connetteranno tra loro vedendosi ed interagendo sulla piattaforma Horizon che in un decennio promette di connettere un miliardo di persone ospitandole negli spazi virtuali.

Il problema tecnologico

Se ai tempi di Second Life non c’era la connessione veloce e la comunicazione avveniva prevalentemente in modalità testuale, oggi Mark va oltre e cala tutti nella realtà virtuale dove è richiesta una attrezzatura hardware di tutto rispetto come visori 3D che ci immergeranno nelle scenografie ospitate sul cloud Horizon dove le persone si incontrano. Non bisogna escludere dalle criticità una buona connessione Internet che, nonostante i grandi passi avanti nella distribuzione della banda larga, non sempre è scontata. Per questo motivo, il dato di un miliardo di persone previsto in 10 anni è poco, forse anche troppo se consideriamo il numero di utenti dei social network afferenti all’universo di Zuck sia pari a 3-4 volte in più: non tutti hanno ed avranno le possibilità di accedere al nuovo “vecchio” mondo.

Le opportunità

Le opportunità di lavoro saranno tantissime. Gli architetti o gli interior designers potranno ricollocarsi nella realizzazione di scenari nuovi con l’aiuto delle tecnologie “futuristiche”. Anche il portare avanti la baracca infrastrutturale prevede tantissime assunzioni nel campo informatico. E’ un nuovo business dove l’indotto è potenzialmente enorme, ma potrebbe svuotarne altri. Dal punto divista sociologico cambierà anche il modo di vedere il mondo e di frequentarlo, ottimizzando ancora di più gli spazi necessari agli incontri di lavoro, concerti e momenti intimi.

I rischi

I rischi sono chiari, per chi vi scrive, perché la storia si ripete. Se la prima giornalista televisiva “digitale” in Italia, Barbara Carfagna, espone a un problema importante: gli ambienti di lavoro, i concerti, le riunioni pubbliche e private nel metaverso che avvengono tra soggetti del territorio europeo dovranno avere non solo la garanzia di trattenimento delle informazioni nello spazio cibernetico Comunitario, ma è anche giusta la provocazione di portare l’Unione Europea a chiedere dei soldi. Il parere di chi vi scrive, invece, è ancora più cinico. Dopo aver colonizzato internet con Google, social media e commercio elettronico di vario genere, gli Usa lanciano l’assalto alla nuova dimensione prevista e necessaria per via dell’implementazione della realtà virtuale. L’America esperta di guerre, militari e commerciali, ripete l‘impresa compiuta agli albori di internet. Questa volta, che la storia si ripete, verrà affossata dall’Europa oppure accolta con la solita inerzia facendo scoppiare il bubbone 10 anni dopo quando tutto sarà già deciso ed immutabile? Tutti i problemi che abbiamo oggi sul rispetto dei confini territoriali, sarà amplificato con la presenza del metaverso. Non siamo ancora in grado di individuare il nostro universo digitale, saremo in grado di avere il controllo di quello parallelo? Inoltre, c’è il fattore principale che viene messo sempre in secondo piano a quello commerciale ed è quello psicologico. Come cambierà l’umanità dinanzi allo spostamento dell’essere umano, e della materia di cui è composto, in una dimensione parallela ed immateriale? Una volta entrato lì, siamo sicuri che riuscirà ad uscire? Domanda lecita se consideriamo il fatto che la nostra vita la spendiamo sempre più sui social network, regno indiscusso di Zuckerberg e degli USA.

Commenti da Facebook
Prosegui la lettura

Letture consigliate

telegram matrice digitale

Tendenza