amethyst-platform1Ho selezionato i contenuti di maggior qualità che ho trovato in rete, per quanto riguarda il
referendum contro la modifica dei tempi di gestione concessioni petrolifere. No, non userò lo slogan #stoptrivelle perché, nonostante la vulgata, le trivelle non sono oggetto del referendum! 😀 Nei pozzi interessati del referendum, le trivelle sono ormai passate parecchi anni fa, durante la fase di scavo, e da altrettanti anni sono state rimpiazzate dai tubi di estrazione! 🙂
Quindi, per ripulire il dibattito e la riflessione da immagini totalmente inutili alla comprensione, togliamoci dalla testa trivelle, fusilli, sorelle, catastrofi occupazionali ed altre amenità comunicative.

Come al solito, trovare contenuti di qualità decente, nonché accessibili ad un non esperto, è complicatissimo. La partigianeria, il conformismo e la parola vacua la fanno da padroni, soprattutto nei testi prodotti dalla parte politicamente più rumorosa.
Invece, in queste tre produzioni, si mantiene un livello sufficiente di serietà, almeno secondo il mio parere di lettore non esperto.

1. Intervista al giurista che ha proposto il referendum riguardante le concessioni petrolifere. Articolo giornalistico con argomenti concreti a supporto della tesi, dal tono talmente serio e moderato da apparire quasi imparziale 😀 http://www.internazionale.it/notizie/2016/03/23/trivelle-referendum-quesito-spiegato

2. Articolo estremamente esaustivo, forse il migliore in quanto a completezza dei contenuti. La tesi e l’antitesi sono argomentare dal punto di vista politico, tecnico, sociale ed economico. Il punto di vista dell’autore, favorevole al no, emerge solo alla fine, rendendo questo articolo un testo argomentativo quasi da manuale. La qualità della costruzione, però, pone questo contributo quasi al livello di un articolo imparziale: http://stradeonline.it/innovazione-e-mercato/1939-il-referendum-del-17-aprile-da-cima-a-fondo

3. Articolo di parte, a sostegno del sì al referendum, uno dei pochissimi che risulti anche ben scritto e con dati a sostegno (dati, peraltro, parzialmente contestati nei commenti, sui quali vi consiglio di dilungarvi un po’ nella lettura) http://ilcappellopensatore.it/2016/03/referendum-trivelle-chiariamoci-idee/

4. Articolo di parte, a sostegno del no al referendum. Concordo a sufficienza con gli argomenti, molto meno con il tono, che trovo troppo aggressivo soprattutto nel finale. Per fortuna, la concretezza delle argomentazioni non viene annullata da una tendenza al dileggio man mano più marcata: http://stradeonline.it/innovazione-e-mercato/1902-il-cervello-accenderlo-non-consuma-petrolio

Annunci
Link | Pubblicato il di | Contrassegnato , , | 1 commento

Dipré & Tommasi: non circonvenzione di incapace, ma marketing web tra persone consenzienti

L’ultima cosa che avrei pensato di inserire in questo blog è un articolo riguardante le gesta di Andrea Dipré e Sara Tommasi. Anzi, nell’ultimo periodo, mi rifiutavo di guardare i video dell’avvocato, sia per evitare di contribuire al dileggio di quella che ritenevo una persona incapace di intendere e volere, sia per evitare di generare introiti al canale Youtube di Dipré tramite “i suoi mezzucci”.

Spinto da un amico, però, stavolta sono venuto meno ai miei propositi. Vi cito le sue parole:

Solo un genio poteva segnare un limite del trash così basso nell’era del trash. Lui ci è riuscito. Applausi. [..] Pensavamo di essere assuefatti al trash. Questo video segna un’epoca. È sociologia pura. Descrive ciò che siamo più di qualsiasi tipo di letteratura.

Chi mi conosce sa che un’argomentazione del genere, per me, è irresistibile. Quindi, ho visto il video e, sin dai primi secondi, ho abbandonato immediatamente ogni moralismo. Qui Dipré, oltre a far fare al suo trash il tonfo di qualità di cui parla l’amico mio, ha fatto venire allo scoperto la sua operazione di web marketing. Ma bando alle ciance, per ora. Buona visione, riprenderemo il discorso dopo il video.

Guardate il video con distacco. Se non l’avete guardato con distacco, abbandonate un attimo la compassione umana per “la povera Sara Tommasi” e provate un approccio più analitico.

Adesso, ripensate al percorso della coppia Dipré-Tommasi sul web nel suo insieme. Ripensate alla sequenza delle loro pubblicazioni. Chi ha visto Dipré in passato, sa già che lui conosce perfettamente i meccanismi con cui si costruiscono dei personaggi sul web. Dipré ha una piena padronanza del trash, proprio perché è il trash fatto persona.

Ora, dopo questa pubblicazione estrema, comincio a pensare che la Tommasi non sia più la persona incapace di intendere e volere che era in passato, ma che abbia capito con chi ha a che fare e che ne abbia sposato appieno il progetto, decidendo di non mettere una pietra sopra ai propri trascorsi, ma di sfruttarli, insieme alle idee di Dipré, per far soldi.

Non mi stupirebbe se Dipré e Tommasi fossero soci in affari e se emergesse che sanno entrambi molto bene quello che fanno. Con tutte quelle visualizzazioni, tra l’altro, scatta il partenariato con Youtube, il che vuol dire guadagno ad ogni visualizzazione.

Consideriamo che, senza collaborazione attiva da parte della Tommasi, e se ci fosse stata anche la più minima interferenza da parte del mondo esterno (famiglia Tommasi, in primis), non sarebbe stato possibile realizzare questo video, e non sarebbe neanche uscito. “E il film porno?”, mi chiederete, “Anche quello uscì”. Sì, è vero, ma c’è anche da dire che alcune delle persone coinvolte nella produzione e nella ripresa furono arrestate pochi mesi dopo. Invece, nonostante si parli da parecchio tempo di circonvenzione di incapace, Dipré è ancora a piede libero. Perché non è mai partita un’azione penale al riguardo? Perché quest’ultimo video è lì, indisturbato? La risposta che mi sono dato è la seguente.

Se “nessuno aiuta la Tommasi”, è perché lei ha deciso di fare la diva del trash come lavoro.
Se “nessuno aiuta la Tommasi”, è perché chi le sta vicino sa, a differenza nostra, che lei sta lavorando e che sta costruendo un personaggio con cui far soldi per un po’.
E se “nessuno denuncia e nessuno interviene”, è perché, probabilmente, quello tra Dipré e Tommasi è un rapporto di lavoro certificato, in cui Dipré organizza l’aspetto del marketing web e la Tommasi si presta scientemente ad un ruolo.

Del resto, è il mondo dello spettacolo, cari lettori. È un mondo dello spettacolo alternativo a quello delle TV ed alternativo anche a quello dei locali, ma sempre mondo dello spettacolo è. È una nicchia di espressione differente, che però funziona con gli stessi meccanismi di finzione e costruzione del personaggio.

Ripenso, inoltre, all’intervista con la Lucarelli, una delle più grandi influencer web. Secondo me, quello è stato un colpo di genio e la Tommasi è stata un’ottima interprete: quell’intervista sarebbe diventata inevitabilmente virale e la Lucarelli, data la sua logorrea web (qualità indispensabile per il suo lavoro), non avrebbe potuto non scriverne.

Insomma, secondo me, qui non siamo davanti ad una circonvenzione di incapace. Dipré è diventato un genio del web marketing e della viralità e, secondo me, la Tommasi ne ha sposato SCIENTEMENTE il progetto. Poi, magari, fanno anche una vita dissoluta. Ma lo fanno da persone coscienti e consenzienti, secondo me.

Pubblicato in Uncategorized | Contrassegnato , , , , , , , , | Lascia un commento

La controinformazione e la teoria della montagna di merda

Chiunque di voi ha letto i miei articoli in passato, noterà che questo post contrasta un po’ con le mie produzioni più datate. La stessa cosa verrà notata da chi, per qualche strano motivo, decidesse di farsi un giro sul mio blog e vedere cosa scrivevo quattro anni fa 😀 In ogni caso, la risposta è la stessa: col tempo si cresce, si matura, si mette da parte un po’ di massimalismo imberbe, si conosce meglio il mondo e, quindi, se ne parla anche con più cognizione di causa, abbandonando man mano i semplicismi e le visioni aprioristiche da giovane studente.

Dopo quasi un anno di silenzio, spinto da quattro letture avvenute per puro caso nella tarda serata di oggi, ho deciso di parlare di controinformazione. Per completezza, riporto gli articoli a cui mi riferisco:

Questi quattro articoli, estremamente correlati tra di loro, hanno costituito una lettura molto piacevole, della durata di 15 minuti, riguardante storia e stato attuale di complottismi, bufale e satira, e che ha approfondito criticità che emergono quando un’utenza priva della necessaria attitudine al filtraggio ha a che fare con questi contenuti.

Visto il mio passato di lettore di controinformazione in ambito geopolitico ed economico, questa lettura è stata una sorta di amarcord, che mi ha portato a ricordare quale è stato il mio rapporto con la controinformazione, come ne sono uscito e quali sono state le riflessioni, invero piuttosto amare, che ne sono scaturite.

Quando ancora fruivo di controinformazione in ambito geopolitico ed economico, ad un certo punto ho sbattuto il naso contro il fatto che, quando parlavo di quei temi con chi quella roba l’aveva studiata, mi ritrovavo a non capire nulla delle risposte che mi venivano fornite, soprattutto quando si trattava di economia. La mia comprensione nulla non era dovuta al fatto che i passaggi della risposta erano logicamente scorrelati, ma al fatto che l’esperto “andava veloce” e io non avevo conoscenze pregresse sufficienti per legare tra loro i concetti della risposta.

Ogni volta, ogni singola volta, la semplicità delle argomentazioni che leggevo e riproponevo contrastava con la complessità delle risposte utilizzate per confutarle. Man mano, quindi, le analisi contenute nelle mie letture mi apparirono sempre più semplicistiche.
Inoltre, mi accorgevo del fatto che chi mi rispondeva usava un taglio analitico molto differente da quello usato nelle mie letture: in particolare, gli elementi alla base del suo ragionamento erano realmente “elementari” e numerosi, a differenza degli assiomi piuttosto grossolani e delle “reductio ad unum” largamente presenti nella controinformazione.

Decisi di smettere completamente con la controinformazione quando, durante il terremoto in Emilia, sentendo in TV che l’epicentro era molto superficiale, per qualche secondo mi balenò l’idea che fossimo sotto attacco statunitense (se vi sfugge questo passaggio, buon per voi, vuol dire che avete evitato di perdere tempo leggendo cose tipo HAARP e terremoti artificiali con epicentro poco profondo 😀 ).

Passati quei 5 secondi, tornai in me e decisi che quelle letture stavano cominciando ad alienarmi. Troncai con la controinformazione, di netto, anche aiutato dal fatto che Informazione Scorretta aveva chiuso da poco. Sì, forse quella sarebbe stata l’unica fonte che mi sarebbe mancata. Infatti, nonostante qualche discesa di troppo nel complottismo, mi aveva comunque aperto gli occhi sulla geopolitica, sul mercato del petrolio, sulle crisi a W, sulla finanza speculativa (in particolare, naked CDS) e sui false flag. In ogni modo, per un ingegnere informatico come me, che al massimo aveva fatto un micro-corso di due mesi, all’università, imparando concetti iper-elementari di macroeconomia e di analisi degli investimenti, stare appresso a tutte quelle informazioni, verificare le fonti, filtrare ed elaborare una visione sensata richiedeva troppo tempo. Inoltre, stando a contatto con una percentuale alta di frescacce, a fronte di una quantità piuttosto ridotta di informazioni verosimili, si stavano comunque facendo largo i germi del complottismo becero. Insomma, il gioco non valeva la candela e richiedeva anche troppo tempo per essere giocato.

Fu inevitabile, comunque, pensare alla montagna di articoli e post che avevo letto, nonché alla quantità enorme di persone che, insieme a me, si era nutrita di quei concetti, applicandovi però molto meno spirito critico. Fu inevitabile pensare a quanta fatica avrebbe fatto, il mio amico esperto, se avesse ipoteticamente deciso di tirar fuori dal complottismo tutti quegli altri fruitori. Pensai a quanto sarebbe stato complicato fornire risposte esaustive e corrette nello stesso linguaggio semplice della controinformazione. Pensai alla lunghezza enorme degli articoli o dei post che ne sarebbero derivati. Infine, pensai a quelli che non gli avrebbero creduto per partito preso.

Pochissimi mesi dopo, un altro mio amico mi fece leggere l’articolo che, per me, segnò l’acquisizione di un nuovo livello di consapevolezza riguardo lo stato dell’informazione in internet. L’originale non si trova più ma, per fortuna, è stato copiato ed incollato integralmente da più parti. In pratica, metteva in forma organica quei pensieri un po’ scomposti che avevano seguito l’abbandono della controinformazione e che ho elencato sommariamente nell’ultimo capoverso. Visti lo stile di scrittura, i riferimenti tecnici e quella particolare goliardia nel lessico che mi ricorda l’università, direi che è opera di un ingegnere, e si chiama “La teoria della montagna di merda”.

Se non ne avete mai sentito parlare, vi consiglio fortemente di leggerlo, perché vi regala una consapevolezza nuova sulle reali possibilità e capacità di informarsi che abbiamo, spingendovi a diffidare definitivamente di semplificazioni, divulgazioni e, in generale, di tutto ciò che parla di temi complessi ma che vi viene reso comprensibile al volo.
Buona lettura: http://www.blogzero.it/2014/11/10/la-teoria-della-montagna-di-merda/

Pubblicato in Notizie e politica | Contrassegnato , , , , , , , , , , , , , , , , | Lascia un commento

Come funziona il filtro di Facebook per scegliere i contenuti da mostrarci, e come ne risentono i nostri status

Tra Luglio ed Agosto 2014, sono stati pubblicati i risultati di due esperimenti, uno tecnico e uno sociologico, condotti su Facebook. Il primo, perfettamente riproducibile ma condotto soltanto su un profilo di prova, è più un’osservazione interessante che un esperimento vero e proprio. Il secondo, invece, è uno studio con tutti i crismi, che soddisfa i vincoli di riproducibilità e ampiezza del campione.

  1. Esperimento tecnico: come Facebook sceglie i contenuti da mostrare nella home
  2. Esperimento sociologico: come i nostri status vengono influenzati dagli status altrui
  3. Giocare con il filtro di Facebook

 

1. Esperimento tecnico: come Facebook sceglie i contenuti da mostrare nella home

Come tutti quanti si saranno accorti, Facebook opera un filtraggio piuttosto massiccio sui contenuti che possono esserci potenzialmente mostrati. E’ un’operazione piuttosto recente: infatti, quando creai il mio profilo, nella primavera del 2011, mi venivano ancora proposti integralmente tutti i post dei miei amici e delle pagine che mi piacevano, a meno di filtrarle manualmente.

Con il desiderio di semplificare sempre di più l’interazione con l’utente, pian piano Facebook ha introdotto meccanismi automatici di filtraggio, basati su ciò che il sito riesce a capire riguardo i gusti dell’utente. Tra l’altro, contrariamente a quanto credono in molti, il fatto di passare dalla modalità “Notizie principali” a quella “Più recenti” NON DISATTIVA il filtro. Semplicemente, modifica l’ordine in cui vengono presentati i contenuti già filtrati.

Come fa Facebook a intuire i nostri gusti? Ovviamente, lo fa analizzando le nostre interazioni, cioè i “Mi piace”, le condivisioni e i commenti. Con questo esperimento, diventano un po’ più chiari i criteri di analisi delle interazioni. In particolare, viene mostrato come la selezione che viene fatta su Facebook web sia diversa da quella che viene fatta su Facebook mobile. A quanto pare, infatti, la versione mobile è ritenuta molto più remunerativa, quindi contiene molti più link sponsorizzati e molti più contenuti di aziende alla cui pagina abbiamo messo “Mi piace”.

A questo punto, però, basta con le presentazioni. Eccovi il procedimento dettagliato e risultati dello studio: http://dailystorm.it/2014/08/14/l-esperimento-facebook-accade-se-mettete-mi-piace-tutto/

 

2. Esperimento sociologico: come i nostri status vengono influenzati dagli status altrui

Si dice che pubblicare aspetti della nostra vita privata sia dovuto, in modo più o meno inconscio, alla necessità di soddisfare una certa dose di narcisismo e alla necessità di generare approvazione (o invidia). Ironia e commenti più o meno seri su “quanto sembri bella la vita altrui, su Facebook” sono all’ordine del giorno.

Pensandoci un attimo, però, in questo ambito, non ci sono molte differenze tra Facebook e vita reale. Anche nella vita reale, ci sono differenze e, soprattutto, omissioni sostanziali tra ciò che accade e ciò che raccontiamo. Inoltre, se ci viene raccontata una vicenda a lieto fine, il fatto che essa ci susciti gioia o invidia dipende da noi e dal rapporto che abbiamo con il protagonista della vicenda. Non faccio molta fatica ad immaginare che la stessa dinamica si riproponga su Facebook.

Di conseguenza, fare studi sul fatto che certi contenuti suscitino invidia o approvazione lascerebbe il tempo che trova. Molto più interessante, invece, studiare qualcosa di più tangibile, cioè la quantità di reazioni osservabili, tralasciando per un attimo il sentimento che le genera. Quando si ragiona sui grandi numeri, infatti, soprattutto quando c’è un discorso economico alla base, l’azione indotta (eventualmente remunerativa) è molto più importante del sentimento con cui viene compiuta.

Il risultato di questo esperimento (perché, lo ricordo, è un esperimento con tutti i crismi) evidenzia che le reazioni della nostra audience sono molto più orientate all’empatia che al contrasto. Sottoporre gli utenti a status con sentimenti positivi indurrà quegli utenti a pubblicare status positivi, e viceversa.

Facebook stessa ha condotto questo esperimento, selezionando dei profili e modificando, solo e soltanto per loro, il meccanismo di selezione dei contenuti da mostrare (operazione pienamente permessa dai Termini e Condizioni di Facebook). I risultati sono tra l’affascinante e l’inquietante: http://dailystorm.it/2014/07/05/lesperimento-di-facebook-emozioni-contagiose-e-utenti-ingenui/

 

3. Giocare con il filtro di Facebook

L’aspetto interessante dei meccanismi proposti è che possiamo giocarci noi stessi. Con un’estensione di Chrome, FB Mood Manipulator, che si poggia sullo stesso meccanismo di filtraggio di Facebook, possiamo impostare un “mood” finto e sperimentare i comportamenti del servizio: http://dailystorm.it/2014/07/26/facebook-mood-manipulator-decidi-tu-lumore-tuo-news-feed/

Pubblicato in Scienza | Lascia un commento

HeartBleed: origine, spiegazione e rimedi

Logo di heartbleed

HeartBleed logo

In questi giorni, è stata diffusa la notizia della presenza di una falla di sicurezza nel meccanismo di crittografia più diffuso al mondo, cioè OpenSSL. La falla si chiama HeartBleed e, vista la gravità, è stato anche creato un sito omonimo: http://heartbleed.com/

Gli informatici con nozioni di crittografia possono saltare direttamente alla sezione Descrizione della falla di sicurezza.

OpenSSL viene usato ovunque nel mondo e, soprattutto, in quasi tutti i casi in cui è richiesta crittografia: in particolare, viene usata nell’HTTPS, cioè il meccanismo con cui viene criptato l’accesso alle pagine web. Se ci fate caso, buona parte delle pagine di login (Google, Facebook, Windows Live e simili) hanno un indirizzo che inizia con https:// . Ecco, questo vuol dire che il vostro browser, nel connettersi a quella pagina, sta usando HTTPS.

Anche chi scarica la posta con Outlook o Windows Mail, spesso, usa SSL. Molti provider di posta moderni, infatti, richiedono che Outlook/Windows Mail scarichi ed invii la posta crittando il traffico.

Anche quelli più fissati per la navigazione criptata, volenti o nolenti, usano SSL. La rete Tor, quella su cui si poggia il famoso TorBrowser, è costituita da collegamenti criptati con questa tecnologia.

Ma che cos’è in pratica, HeartBleed?

Brevissimi cenni di crittografia

Prima di spiegare conseguenze e rimedi della falla, spiego molto brevemente cos’è la crittografia.

Tutte le informazioni manipolate dai sistemi informatici sono dei numeri, anche quando sono in chiaro. Sì, magari noi le vediamo come immagini e caratteri alfabetici. Di contro, “lì sotto”, ci sono sempre e solo numeri.

Cosa vuol dire, in pratica, criptare una di queste informazioni? Vuol dire:

  • prendere il numero corrispondente;
  • elevarlo ad un certo esponente (chiamato chiave pubblica);
  • dividere il risultato per un certo numero, uguale per tutti.

Il resto di questa divisione è l’informazione criptata.

Cosa vuol dire decrittare? Vuol dire:

  • prendere il resto di prima, cioè l’informazione criptata;
  • elevarlo ad un altro esponente (chiamato chiave privata), avente determinate relazioni matematiche con l’esponente di prima;
  • dividere il risultato per lo stesso numero di prima;
  • prendere il resto.

Se le proprietà matematiche sopra citate sono soddisfatte, il resto di quest’ultima divisione è esattamente il numero originale (cioè l’informazione originale).

La sicurezza di tutto questo meccanismo sta nel fatto che, anche se la chiave pubblica è nota, calcolare la chiave privata, cioè il numero che soddisfa le proprietà matematiche sopra citate, richiede qualche anno di calcoli, rendendo obsolete le informazioni criptate raccolte nel frattempo. Questo fatto, in realtà, mi porta ad aprire una parentesi, che chiuderò immediatamente: per quanto tempo desidero che una certa informazione privata o personale rimanga riservata? Pochi mesi? Pochi anni? Tanti anni? Dalla risposta, dovrebbe conseguire una politica di rinnovamento chiavi e/o password con tempistiche appropriate. Fine parentesi.

Tornando al discorso originale: quando una compagnia mette in piedi un sito o un servizio, e desidera criptare il traffico, non può scegliere due esponenti a caso ed usarli come chiavi. Deve rivolgersi ad un’autorità di certificazione, cioè una società esterna, che:

  • generi la coppia di chiavi, chiamata certificato;
  • dichiari di essere l’emettitrice della coppia di chiavi;
  • si faccia garante del fatto che, ad una certa chiave pubblica, corrisponde la società che vuole criptare il sito/servizio.

 

Funzionamento normale di una connessione HTTPS

Il contenuto di questa sezione può essere esteso, a parte pochi dettagli, a tutti i casi in cui è solo il server a dover dimostrare la propria identità.

Per spiegare bene ciò che intendo, faccio sempre l’esempio della pagina di login, che tipicamente è raggiungibile ad un indirizzo che inizia per https:// (ad esempio, https://www.facebook.com ).

Quando mi connetto ad https://www.facebook.com, il fatto usare OpenSSL per connettermi ad un sito per il quale è stato richiesto un certificato mi dà la garanzia che io mi sto connettendo realmente al server di Facebook, e non a qualcun altro che ne ha rubato l’identità.

Di contro, il server di Facebook non sa nulla di me. O meglio, sa qualcosa di me solo dopo che mi sono loggato. In un meccanismo di mutua autenticazione, invece, il server di Facebook sarebbe in grado di identificarmi (o meglio, identificare il mio computer) già prima che io mi logghi, con la certezza ragionevole (vi rammento la riflessione sulla politica di cambio chiave/password periodica) che si tratti esattamente del mio computer, e non un dispositivo che ne mima il comportamento.

La tipica connessione HTTPS, però, come dicevo, fa parte del primo tipo di connessione: solo il server garantisce la propria identità, mentre sul client non si sa nulla. Ora, cosa accade?

Nel momento in cui, nell’indirizzo, c’è scritto https://, il mio browser sa che, prima di contattare il sito, deve aprire una connessione SSL. Di conseguenza:

  • il browser apre la connessione SSL;
  • il server, per farla semplice, risponde con la chiave pubblica e con l’identificativo dell’autorità di certificazione;
  • il browser riconosce l’identificativo dell’autorità di certificazione, quindi si fida della chiave pubblica ottenuta, e può prendere per certo il fatto che sta parlando realmente con Facebook;
  • Di conseguenza, comincia a chiedere i contenuti del sito. Non lo fa, però, in chiaro. Ogni richiesta viene criptata usando come esponente la chiave pubblica del server. Tra le richieste ci sono, ad esempio, quella di mostrare l’home page, tipicamente corredata da username e password del richiedente;
  • il server riceve le informazioni criptate e le decritta con la chiave privata. Se sono username e password, e se il browser ha richiesto l’home page, il server risponde con la home page del servizio. Non mi dilungo sul modo in cui viene criptata la risposta.

Meccanismo di Heartbeat

Mentre noi utenti leggiamo la home page del servizio, smettiamo di inviare richieste al server. La connessione SSL alla base, invece, nella maggior parte dei casi, è configurata per rimanere sempre attiva. Di conseguenza, in assenza di click dell’utente, il browser invia dei pacchetti, per due motivi:

  • per assicurarsi che il server sia ancora “vivo” e
  • per dire al server che anche lui è ancora pronto a connettersi.

Questo meccanismo, chiamato “Heartbeat” (battito cardiaco), consiste nell’invio di “parole” casuali al server. Il server, se è “vivo”, risponde con la stessa parola, a mo’ di eco. Ad esempio, il browser invia la parola “ehi”. La richiesta reale assomiglia più a qualcosa del tipo: (“ehi”, 3), dove “3” è la lunghezza della parola inviata. Il server, quindi, se è “vivo”, risponde con (“ehi”, 3).

Non mi dilungo sul motivo tecnico per cui è necessario specificare la lunghezza della parola. E’ roba per informatici come me, ai quali consiglio questo link, che riporta appieno le spiegazioni tecniche del bug: http://blog.cryptographyengineering.com/2014/04/attack-of-week-openssl-heartbleed.html

Descrizione della falla di sicurezza

Il client chiede al server di ripetere una parola, indicandogliene anche la lunghezza. Se, però, la lunghezza indicata è maggiore della lunghezza reale, il server risponde con la parola, più il contenuto dell'area di memoria contigua, fino al raggiungimento della lunghezza indicata

Spiegazione HeartBleed

In che cosa consiste la falla di sicurezza? Il fumetto precedente, raggiungibile a questo link ( http://m.xkcd.com/1354/ ) è estremamente esplicativo; in ogni caso, a scopo di massima chiarezza, vi accompagno nella lettura.

Il trucco, purtroppo banale, consiste nel chiedere al server una parola e di specificare una lunghezza più alta del reale. Ad esempio, gli chiediamo (“ehi”, 640). Così facendo, il server comincia a “parlare troppo”.

Cosa vuol dire “parlare troppo”? Quando il server riceve la parola da ripetere, la posiziona in una zona della sua memoria, in attesa di ripeterla al client. Se viene indicata una lunghezza maggiore del reale, il server invia al client la parola, più il contenuto della porzione di memoria contigua, fino al raggiungimento della lunghezza indicata (con un valore totale massimo di 65535).

Cosa c’è in questa memoria contigua? Non lo si può sapere a priori, perché OpenSSL supporta 70 piattaforme diverse, ed ognuna gestisce la memoria in modo diverso.

Nella peggiore delle ipotesi, in quella porzione di memoria sono salvate la chiave pubblica e la chiave privata del server.

Di conseguenza, il client si vede arrivare l’informazione più preziosa e riservata di quel server, cioè la chiave privata. Questa fuoriuscita è talmente grave da indurre gli scopritori a chiamare il bug “HeartBleed” (storpiatura di “Heartbeat”), cioè “emorragia cardiaca”.

Domanda da programmatore (non-programmatori, potete saltare questo pezzo a pié pari): ma in una situazione del genere, non dovrei vedermi sbattere in faccia un bel segmentation fault, come succede a me ogni volta che sbaglio a gestire la terminazione di stringa? Domanda sensatissima. La risposta la dà Theo de Raadt qui: http://article.gmane.org/gmane.os.openbsd.misc/211963.
Come si vede, OpenSSL wrappa la malloc(), a causa della cattive performance di questa chiamata di sistema su alcune piattaforme, disabilitandone anche il bound control e, in generale, il controllo sulle porzioni di memoria allocata.

Conseguenze

Quali sono le conseguenze?

Un client in possesso della chiave privata di un server è in grado di decrittare tutte le comunicazioni in entrata a quel server.

La cosa peggiore è che una falla del genere non lascia traccia. Vale a dire, non c’è modo di sapere se un server ha subito questo prelievo di informazioni.

Di conseguenza, l’unica politica di sicurezza degna di questo nome è assumere che tale prelievo sia avvenuto e che ci sia qualcuno in grado di decrittare i nostri messaggi.

Rimedi per chi gestisce dei server

Anche se non siete gestori di server, ma semplici utenti, leggete lo stesso, perché così capite quali sono i doveri di chi gestisce le vostre informazioni private e i vostri account.

Qual è il rimedio?

Per quanto riguarda le vecchie informazioni transitate, una politica seria di sicurezza impone al gestore di assumerle già decriptate e “rubate”. Di conseguenza, non possono più essere sottratte all’eventuale “spione”.

Per quanto riguarda le informazioni che transiteranno in futuro, invece, ci si può tutelare.

Aggiornamento di OpenSSL

Il primo passo è installare l’aggiornamento OpenSSL sul server, per la precisione la versione 1.0.1g.

Non appena è stata individuata questa falla, infatti, gli sviluppatori di questa libreria hanno provveduto a “tapparla”, rilasciando immediatamente l’aggiornamento. Installare l’aggiornamento di OpenSSL, quindi, mette i gestori di server al riparo da futuri prelievi di chiave. Di contro, se la chiave è stata già prelevata, come bisogna assumere in una politica di sicurezza degna di questo nome, il traffico del server è ancora spiabile.

Revoca vecchio certificato e richiesta nuovo certificato

Una volta tappata la falla, quindi, bisogna cambiare chiave privata, in modo da criptare il traffico con un altro esponente, impedendo all’eventuale “ladro di informazioni” di spiare il server con la vecchia chiave privata.

Nella pratica, “cambiare chiave” equivale a:

  1. Rivolgersi all’autorità di certificazione;
  2. Revocare il vecchio certificato, cioè dichiarare invalida la vecchia coppia <chiave pubblica, chiave privata>;
  3. Richiedere un nuovo certificato, cioè una nuova coppia di chiavi;
  4. Installare sul server il nuovo certificato

Rimedi per gli account personali

Finora ho parlato di chi gestisce. Cosa deve fare, invece, colui che ha un account da qualche parte, sia esso di Google, di Twitter, di Facebook, di gioco, e chi più ne ha più ne metta?

Ogni singola persona, infatti, per tutelarsi, dovrebbe applicare a se stessa una politica di sicurezza come quella indicata.

Se ci fate caso, quasi tutti i siti su cui ci logghiamo hanno una schermata di login protetta con HTTPS. Di conseguenza, anche loro, molto probabilmente, sono stati soggetti all’attacco HeartBleed. Anzi, più informazioni critiche/private contengono, più è facile che siano stati attaccati. Di conseguenza, come abbiamo detto nella sezione dei server, in assenza di tracce di intrusione, bisogna assumere che quei servizi siano stati attaccati.

Quindi:

  1. in prima battuta, bisogna informarsi per capire se i gestori dei servizi presso cui abbiamo un account hanno già provveduto ad aggiornare l’infrastruttura di crittografia;
  2. poi, visto che, tra le informazioni che potrebbero essere state spiate grazie alla falla, potrebbero esserci le nostre password:
    1. se i gestori del servizio non hanno aggiornato i server, bisogna disattivare l’account, per evitare qualsiasi uso indesiderato;
    2. se, invece, i gestori del servizio hanno aggiornato i loro server, bisogna cambiare la password del proprio account su quel server.


Nel caso di modifica della password, questa può essere l’occasione per abituarsi ad un meccanismo di login ancora più sicuro: l’autenticazione in due passi.

Io la uso ovunque essa sia a disposizione: consiste nel loggarsi normalmente, con username e password e poi, su richiesta del sito, inserire un codice di conferma, che viene inviato per SMS, o che viene fornito da un’app di autenticazione da installare sul proprio smartphone. Quest’app si chiama Authenticator, almeno per i dispositivi con Android e può essere usata per securizzare gli account Google, gli account Microsoft, gli account Facebook e, wow, anche l’account WordPress di questo blog. La lista è limitata alle mie sole conoscenze attuali, quindi i servizi securizzabili tramite quest’app potrebbero essere molti di più.

Pubblicato in Scienza, Uncategorized | Contrassegnato , , , , , , | 3 commenti

Stop Vivisection, Stamina e la carenza di una formazione epistemologica diffusa

Il dibattito riguardo Stop Vivisection e Stamina, a cui mi sono interessato piuttosto di recente, mette in luce due carenze formative in larga parte dell’opinione pubblica.

La prima è più generica, e riguarda l’aspetto epistemologico. Il metodo scientifico, in teoria, viene insegnato in tutte le scuole. Inoltre, in tutti i licei dove si studia filosofia, viene affrontato il concetto dell’epistemologia: in questo ambito, vengono inquadrati tutti i filosofi che hanno, con tempo e fatica, formalizzato il metodo scientifico. Nonostante ciò, le persone che, sia in età adulta, sia in età scolare, hanno fatto proprio il concetto di come si costruisca un esperimento e come si validi una teoria sono veramente poche. Ancora di meno sono le persone che sono a proprio agio con i concetti di “ripetibilità dell’esperimento”, “peer review” e “condizioni a contorno”.
La seconda carenza è di natura probabilistica e statistica e, se vogliamo, è anche naturale che sia diffusa, visto che queste materie vengono insegnate con dettaglio sufficiente solo all’università. La probabilità e la statistica inferenziale sono le materie che “forniscono i numeri”, e che permettono di stabilire come e quanto vada ripetuto un esperimento. In questo caso, intervengono i concetti di “numero di osservazioni”, “identica distribuzione” e “livello di confidenza”. Per capirci, questa parte stabilisce i criteri che rendono accettabile l’ambiente in cui si effettuano le osservazioni e indica quante osservazioni vanno effettuate affinché si possa essere sufficientemente certi della non tossicità o non inefficacia di un trattamento.

Senza questa formazione alla base, è normale che manchi piena cognizione di causa sui numeri in gioco. E, senza questa cognizione di causa, è normale non avere idea di quanto costi e di quali siano i numeri dietro un esperimento. E’ altrettanto normale, quindi, non avere idea dello sforzo necessario a circoscrivere le condizioni di validità di un enunciato. Nel caso particolare di Stop Vivisection, ciò si traduce in non avere idea di cosa vuol dire, in pratica, sperimentare direttamente sull’uomo, e quali sono i numeri e i problemi etici in gioco.

Rimaniamo nell’ambito specifico di Stop Vivisection.
Se si prova empatia nei confronti degli animali, è normale desiderare che non finiscano in un laboratorio. La maggioranza di coloro che firmano contro la sperimentazione animale è composta proprio da persone caratterizzate da un sentimento di empatia. Purtroppo, se si arriva a firmare per Stop Vivisection solo sulla base di questa empatia, vuol dire che si è state vittime un ragionamento emotivo, spesso mascherato da ragionamento fintamente razionale, basato su una scarsa conoscenza dei numeri in gioco.
In questa maggioranza, si ritrovano persone di ogni tipo:

  • la persona civile, che firma di impulso, ma che ha la compiacenza di smettere di argomentare, quando si accorge di non conoscere abbastanza l’ambito;
  • la persona fastidiosamente disinformata, che insiste ad argomentare, come se fosse esperta, senza rendersi conto delle imprecisioni sparse nei suoi argomenti, praticamente impossibili da confutare una ad una. Questo è il caso tipico di chi perora l’argomento delle sperimentazioni in vitro che possono rimpiazzare al 100% la sperimentazione animale.
  • la persona demenzialmente complottista, di quelle che dicono che la sperimentazione animale conviene alle case farmaceutiche, quando invece questa, per loro, è un costo non da poco.

Se, poi, si diventa consci di quali sono le conseguenze di rinunciare alla sperimentazione animale, e si “toccano con mano” i numeri (e già qua si finisce in una minoranza), le strade sono due:

  • ci si accontenta del male minore, come hanno fatto le associazioni animaliste serie con l’accordo delle 3R;
  • si arriva a dire che si rinuncia al progresso, perché la vita di “n” persone non vale quella di animali usati per la sperimentazione.

Quest’ultima frangia è la più pericolosa, perché è composta da quell’animalismo militante, a tratti misantropico, che oscilla tra “non abbiamo il diritto di maltrattare animali per il nostro vantaggio” a cose tipo “gli animali sono esseri migliori degli uomini”. Qui si mischiano disinformazione a, invece, cognizione di causa accompagnata da idee aprioristiche sul rapporto tra noi e la natura. Tipicamente, a questa frangia appartengono gli attivisti, i vandali che fanno irruzione nelle strutture di allevamento e sperimentazione, nonché coloro che costituiscono la base di opinione per la proposizione di leggi.

Sia che si tratti di persone disinformate, sia che si tratti di attivisti, sono persone che mettono a repentaglio la salute della specie umana. Per questo motivo, il mio istinto di sopravvivenza mi porta a non sentire affatto il bisogno di essere tenero nei loro confronti.

Nel primo caso, mi viene da invitarle, anche con un certo vigore, a costruirsi una cognizione di causa prima di firmare o parlare. Questo è il motivo per cui ritengo i medici un avamposto di formazione scientifica del paziente, e non troverei affatto scandaloso se appendessero presso i loro studi/ambulatori un manifesto tipo quello in foto.

Perché, checché se ne dica, non tutte le opinioni hanno pari dignità. Il discrimine non è nel contenuto, ma nel percorso di con cui si sono formate. Non tutti i percorsi di formazione sono epistemologicamente sensati, quindi non tutti i risultati sono degni della stessa considerazione. Una formazione epistemologica degna di questo nome, se fosse diffusa, aiuterebbe parecchio e toglierebbe di mezzo un po’ di buonismo lì dove causa più danni che benefici.

Nel secondo caso, si tratta di persone che vanno rese inoffensive con la forza dei numeri. Nella pratica, si tratta di creare anticorpi culturali diffusi, per cui vengano immediatamente identificati come persone un po’ disadattate e un po’ disamorate del genere umano, e non venga data loro troppa attenzione.

Ora, una formazione del genere, che, ripeto, è soprattutto epistemologica, perché riguarda i fondamenti del metodo scientifico, dovrebbe essere già diffusa. Il motivo è che siamo in un Paese dove, per parecchi anni, la maturità scientifica è andata letteralmente “di moda”. Invece, è estremamente raro che la scuola formi a dovere. Spesso, per esperienza, non è nemmeno colpa della qualità dell’insegnamento; di solito, è colpa della qualità dello studio, troppo bassa per far tesoro di ciò che si sta apprendendo e costruire un’occasione di formazione.

Pubblicato in Uncategorized | Lascia un commento

Una panoramica su Stop Vivisection

Questo post vuole essere solo una breve introduzione all’articolo L’Inganno di STOP VIVISECTION #stopstopvivisection (http://difesasperimentazioneanimale.wordpress.com/2013/10/15/linganno-di-stop-vivisection-stopstopvivisection/)

Io non sono animalista, quindi l’iniziativa Stop Vivisection mi preoccupa dal punto di vista scientifico (aspetto coperto nella prima parte dell’articolo linkato).

Di contro, anche gli animalisti dovrebbero guardare con molto sospetto questa campagna. Molti dei sostenitori sono produttori di cibo per animali carnivori, interessati alla riduzione di prezzo che subirebbero gli animali “da cibo” non appena la domanda di animali “da sperimentazione” venisse ridotta per effetto del provvedimento.

Inoltre, per coloro che se ne escono con trovate geniali tipo “sperimentiamo sui pedofili e sugli stupratori” e simili, a parte la cultura giuridica degna del ‘600 e dell’Inquisizione Spagnola, per la quale vi faccio i miei complimenti vivissimi, c’è un problema di ordine pratico: non c’è materiale umano sufficiente per mettere in piedi una popolazione sperimentale degna di questo nome.

C’è un problema numerico: fortunatamente, non ci sono abbastanza pedofili e stupratori in giro (basta fare un confronto tra numero di topi impiegati e numero di reati).

C’è un problema etico: le popolazioni sperimentali devono essere numerose, in modo da ripetere l’esperimento un numero sufficientemente alto di volte per abbassare il rischio di inefficacia/tossicità sotto una certa soglia. Quindi, tali “popolazioni umane da laboratorio” (potrei fermarmi qua, visto l’abominio scritto tra virgolette) andrebbero fatte riprodurre, e non voglio immaginare come. Inoltre, tali popolazioni, per essere sperimentalmente accettabili, devono presentare una variabilità genomica il più bassa possibile. In pratica, devono essere riprodotte tramite rapporti tra consanguinei. Inoltre, per testare la tossicità durante la gravidanza, il farmaco andrebbe testato sulle puerpere di tale “popolazione umana da laboratorio”.

C’è un problema temporale: per essere tempestiva, la sperimentazione deve avere dei tempi ragionevolmente rapidi. Il ciclo di vita di un essere umano è di 70/80 anni, quello di un topo è di 3. Visti i tempi e i numeri richiesti, nella maggior parte dei casi un ricercatore non sopravviverebbe al proprio esperimento e, per produrre una cura, sarebbe necessaria più di una generazione umana (un secolo e mezzo/due, in pratica).

E’ un articolo lungo, ma fa chiarezza sugli interessi economici in gioco e sulle conseguenze del provvedimento. Inoltre mette in luce il successo sorprendente della campagna in Italia. Nel nostro Paese, infatti, il numero di firme, autentiche e false, supera di dieci volte quelle del Paese secondo in classifica. E’ una lettura utile, sia per i non animalisti, affinché aumentino la propria cognizione di causa, sia per gli animalisti, affinché mitighino le pulsioni di empatia nei confronti degli animali con considerazioni pratiche sulle conseguenze disastrose nei confronti della ricerca farmacologica e dell’umanità in generale.

In ogni modo, buona lettura.
http://difesasperimentazioneanimale.wordpress.com/2013/10/15/linganno-di-stop-vivisection-stopstopvivisection/

Pubblicato in Uncategorized | Contrassegnato , , , , , | Lascia un commento