Il caso delle foto di attrici e varie celebrità pubblicate stanotte su 4chan è interessante per un aspetto sopra gli altri. Sembra infatti assai probabile che siano state ottenute violando uno o più profili iCloud. Ora accedere in maniera fraudolenta a un account privato non cambia nella sostanza se questo avviene violando un computer fisso, un portatile, un cellulare o una cartella sulla cloud. Quello che è invece rilevante è che la nuvola è un luogo molto differente rispetto agli HD dei nostri aggeggi fissi o portatili e quando gli ambienti software la integrano in maniera strettissima (come avviene in IOS ma anche per esempio su Dropbox) rendono di default il passaggio di informazioni dalla periferia verso il centro. E di questo, in un numero rilevante di casi, gli utenti tendono a non saperne molto. In questo la dittatura del default è importante. Non importa fornire ai propri clienti delle splendide FAQ riguardo ai propri servizi sulla nuvola se poi simili servizi richiedono una abilità iniziale che riguarda non la loro accensione ma la comprensione di come si faccia a disattivarli se si decide di non utilizzarli.
Per esempio dentro IOS ci sono un numero rilevante di fastidiosi cortocircuiti che rendono complicato chiedere al sistema di rifiutare l’utilizzo di iCloud.

Le foto intime che Jennifer Lawrence aveva sul cellulare erano probabilmente pensate per rimanere custodite dentro i suoi privatissimi terminali. Forse la dittatura del default le ha messe in automatico da qualche parte in un luogo di rete dove il cretino che le ha pubblicate è andato a cercarle. I servizi di storage on line sono utilissimi e ormai inevitabili ma come per tutte le opzioni tecnologiche che oggi regolano le nostre vite è molto importante che i maghi del software non si facciano prendere la mano. Perché oltre ai cretini che violano gli account online delle star del cinema (l’ultimo si è beccato 10 anni di galera in USA) ci sono anche quelli che scrivono codice bellissimo ma riservato agli esperti. Nell’epoca della tecnologia per tutti non c’è vizio peggiore.

30 commenti a “La dittatura della nuvola”

  1. marshall dice:

    Non so chi sia Jennifer Lawrence ma il cloud è meno sicuro, i file rimangono in rete, e divora energia elettrica. Penso sia la più grande ipocrisia contemporanea.

    la vera domanda è a che serve

    se è musica o film, ci saranno tanti file duplicati su tante nuvole, con gran spreco d’energia, un sistema stupido, ci sono altri modi per ascoltare brani e vedere film in streaming

    per lavorare su progetti, meglio connettere i software e passarsi il progetto direttamente in modo più sicuro (progetto che comunque va scaricato dal cloud, tanto vale)

    i documenti pesano meno, ma significa lasciare documenti in rete, con tutto quel che comporta a livello di privatezza: il cloud per le aziende evita l’utilizzo di Echelon per lo spionaggio industriale (con tanto di indagine UE). Demenziale. PRISON TECHNOLOGIES: An Appraisal of the Technologies of Political Control.
    La nuvola dà l’idea della libertà e invece sa tanto di nuova prigione.

  2. Pier Luigi Tolardo dice:

    Sembra una colossale operazione pubblicitaria per promuovere l’ultimo film di Cameron Diaz che racconta la storia di una coppia che vede un proprio video erotico condiviso sul Cloud, per errore, con tutta la propria cerchia di amici,parenti e conoscenti…

  3. ArgiaSbolenfi dice:

    Le autorizzazioni per l’accesso e le modalità di condivisione sono sempre un ginepraio, specialmente quando un servizio diventa complicato e dotato di automatismi come il caricamento da cellulare nel caso delle foto. Guardate per esempio il pasticcio che è diventato Picasaweb + Google+ Foto. Dropbox sta giocando la carta del mantenere le cose semplici ma è al limite dell’user-friendly. Qualche feature in più e bisognerà in teoria leggere il manuale anche di Dropbox. Che Apple possa riuscire nel miracolo di costruire un software sofisticato e semplice da usare non ci credo più. Comunque non è una dittatura, perlomeno il dittatore ce lo si può scegliere e si può anche scegliere di rinunciare alle comodità e non averne nessuno.
    PS: ma qualcosa di Scarlett è uscito? :-)

  4. mORA dice:

    http://edue.wordpress.com/2013/10/29/fare-i-connessi-col-cloud-degli-altri/

  5. se-po dice:

    Sto installando ora Windows 8 su un PC, una delle impostazioni base e’ il backup automatico su SkyDrive di foto e documenti.
    Si puo’ disabilitare, ma solo smanettando sulle opzioni avanzate. Se uno clicca sempre su Next se lo ritrova attivo.

    Buono che ho letto questo articolo ;-)

  6. gregor dice:

    Però secondo siti americani la colpa di tutto ciò è stata di un bug su iCloud. Tutta colpa di Apple!

  7. ArgiaSbolenfi dice:

    Un colpo al cerchio..
    @Marshall: non è proprio come dici tu, ci sono forme di collaborazione online (es. i documenti di Google Drive) che sono terribilmente efficaci e si attivano immediatamente senza bisogno di sistemisti, progetti da approvare, software da acquistare; spesso poi non c’è un corrispettivo di pari qualità nel mondo del software libero per chi avesse le possibilità di fare da sé. Non è in generale possibile affermare che il cloud è meno sicuro. Non è una prigione, è uno scambio, può darsi benissimo che alcune realtà che hanno fatto questa scelta se ne pentiranno ma non puoi liquidare il tutto in questo modo.

    E uno alla botte..
    @se-po: non ho ancora installato Windows 8, ma sono sicuro che hai cliccato sul pulsante Accetto di qualche licenza illeggibile, o strappato qualche sigillo, dove dici che accetti di trasferire sul cloud di MS i tuoi dati personali. :-)

    Molti utenti/sudditi saranno grati al Signore di Windows (o di Google, ecc) per questi backup (sono convinto che la maggior parte delle persone non ha ancora imparato a fare backup regolari in locale). E un po’ di profilazione o potenziale spionaggio vale bene in cambio delle foto del piccoletto appena nato, perse assieme al notebook!

  8. Claudio dice:

    Il codice, per quanto professionale sia, ha un grave difetto alla base ovvero è creato dell’uomo.

    Se il tizio X, che ha creato il codice, ha passato il bug all’amico Z, tanto per giocare con qualche foto, tutto il sistema diventa a rischio.

    Anche il più sofisticato, criptato, super protetto sistema, ha la falla UOMO.

    Un amico molto serio e molto in gamba mi dice sempre:” tu puoi fare quello che vuoi ma se trovi quello che vuole vedere le tue informazioni un modo esiste, alla fine è solo codice”

    Non esiste nessuna chiave di crepitazione sicura, nessuna. Ogni chiave, ogni password, ogni sistema, può essere violato.

    E come ogni hacker vi dirà:” un computer protetto è un computer spento e con il cavo/batteria staccato” (esiste l’opzione di accensione da remoto)

    Se volete usare le memorie di massa, casalinghe o esterne, dovete mettere in conto che qualcuno che vede le vostre informazioni c’è sempre.

    Tutti gli organi di controllo, anche qui è stato detto, controllano ogni singolo bit che gira. Su parole chiave partono controlli in automatico.

    Anche le famose chiavette USB sono a rischio, cosa sempre saputa e sempre taciuta: http://www.corrierecomunicazioni.it/tlc/29132_badusb-il-bug-delle-chiavette-che-mette-a-rischio-miliardi-di-device.htm

  9. mORA dice:

    @Claudio

    Non esiste nessuna chiave di crepitazione sicura, nessuna. Ogni chiave, ogni password, ogni sistema, può essere violato.

    No.
    La cifratura con una chiave sufficientemente lunga e con un algoritmo opportuno non è violabile in tempo utile, e alcuni prodotti gratuiti rendono anche la presenza di partizioni criptate ripudiabili.

    Il problema è che il fattore uomo fa sì che la password sia 12345678, perché gli hanno detto che 12345 non va bene.

    E comunque prima di questo il fattore uomo fa sì che ovunque sia possibile la password NON si mette.

    E non c’è tecnologia che possa proteggere gli inconsapevoli. Resi edotti, gli inconsapevoli si possono benissimo chiamare “coglioni”.

    Ma non è né l’hacker più bravo del mondo né la Spectre il problema, ci sono sistemi di sicurezza la cui efficacia è eccellente; se usati.

    E se usabili.

  10. .mau. dice:

    per amor di precisione, si può dimostrare che una crittazione con una chiave monouso, lunga quanto il messaggio e composta di bit casuali è incraccabile (a meno che non si ottenga la chiave: ma allora non cracchi, decifri)

  11. marshall dice:

    Beh la NSA è oggi un dato di fatto che supera persino la fantasia della Spectre e quella di Orwell, anzi credo che ormai la fobia complottistica sia superata ampiamente dalla realtà anche perchè secondo me in generale il complottismo serve a terrorizzare e deviare l’attenzione. Pensiamo solo alla figura di Babbo Natale!

    Babbo Natale è un essere vivente che compare solo a Natale. E non invecchia. Darwin impazzirebbe.

    Dunque Babbo Natale: in cambio del servizio si prendono la briga di sistemare i dati privati, si accetta un’intermediazione di terzi, molto semplice, uno scambio, accattivante ma anche molto pervasivo. Ma non insostituibile grazie al cielo e non so quanto conveniente.

    La soluzione è sicuramente la tecnica crittografica, ma non so che cosa venga crittografato, perchè fare una copia di backup non crittografata e far credere all’utente che è tutto sicuro, con la sua bella password lunghissima

    I software professionali son pochi ma anche utilizzabili offline. Il problema è il diritto: fino a quando l’opera dell’ingegno non è conclusa ed è in lavorazione come può essere tutelata? E qui la questione diventa complessa, e anche aver delle prove per dimostrare qualcosa

    anche secondo me la tecnica crittografica è la soluzione

  12. mORA dice:

    @.mau.

    Sì, non volevo essere pedante, mi sono tenuto lontano da Shannon; dicendo

    La cifratura con una chiave sufficientemente lunga e con un algoritmo opportuno non è violabile in tempo utile

    non mi riferivo alla inviolabilità, ma appunto alla decrittazione in tempo utile con attacchi a forza bruta, contro sicurezza ottenuta con le normali tecniche alla portata di tutti (memorizzazione della chiave compresa).

    Sempre che la fattorizzazione non si scopra essere un problema polinomiale ;)

  13. marshall dice:

    Per quanto riguarda i tempi della crittoanalisi bisognerebbe fare dei calcoli sulla base della potenza di calcolo concreta esistente. Bisognerebbe comunque cominciare a chiedersi la data di scadenza: per quanto tempo. Ed informare i cittadini. Un tempo che logicamente è destinato a ridursi sempre più e per chiavi sempre più lunghe. E cercando di trovare continuamente un tempo approssimativo, e un ordine di grandezza, a seconda delle caratteristiche della chiave e della capacità di calcolo esistente, e non è banale. Potrebbe essere l’idea per un servizio informativo.

  14. Claudio dice:

    Vorrei essere cristallino, forse non lo sono stato.

    Una chiave temporanea (@.mau.), anche quelle delle banche che ti crea l’aggeggio, è il risultato di un’operazione; detta operazione è matematica ergo chiunque, con il tempo necessario (@ marshall ), trova il modo di entrare.

    @mORA -La cifratura con una chiave sufficientemente lunga e con un algoritmo opportuno non è violabile in tempo utile, e alcuni prodotti gratuiti rendono anche la presenza di partizioni criptate ripudiabili.-
    Non è così semplice arrivare al risultato ma se vuoi, e nel deep web ne trovi a dozzine, ci sono programmi e siti che ti possono stupire. Non parlo di semplici attacchi “brute” per avere la password per le foto zozze dello zio, parlo di codice sorgente nudo e crudo. Codice che valuta la struttura criptata come risultato e lo paragona a miliardi di codici campione di sistemi di atti a criptare (in pratica paragona il risultato ad altri risultati). Questi sorgenti una volta fatto il paragone e trovata la struttura più vicina affinano con altri sorgenti il risultato finale.

    Toglietevi la curiosità e andate ad un incontro dove ci sono persone che fanno solo quello (decifrano e violano), per fortuna lo fanno solo per gioco, e poi vedrete che ogni vostro dato lo tornerete a scrivere su carta e lo metterete sotto la piastrella di un casale abbandonato percorrendo la strada in una notte buia con nebbia.

    Ogni nuovo OS dopo 3 minuti ha il suo crack, ogni singolo sito FB, Google, Ebay, tutti ma proprio tutti, sono stati attaccati e abbattuti. Perfino il sistema sanitario americano è stato attaccato e abbattuto.

    Non si tratta di complotti, si tratta di bit. I bit, tutti, sono ovunque uguali ed è quella la più grande debolezza. Il codice è codice, ci puoi mettere tutto quello che vuoi ma la potenza di calcolo attuale è impressionante ed i sistemi per rendere sicuri i dati sono ancora molto legati a dinamiche di calcolo probabilistico molto elementare, ovviamente non è che ti metti con la calcolatrice a celle solari per risolvere le chiavi e step successivi.

    In ogni caso ho visto cose davvero bizzarre a quelli incontri, cose davvero bizzarre.

  15. ArgiaSbolenfi dice:

    La crittografia è come un set di coltelli dalle lame molto affilate, o un esplosivo instabile.. ci si può fare del male

  16. mORA dice:

    @Claudio

    Non so hai visto Voyager e sei rimasto giacobbizzato, ma io parlo di matematica e di algoritmi che resistono alla crittanalisi.

    Non è TV e non è gossip, è matematica.
    Gli algoritmi sono pubblici e lo sono perché tutti possano tentare di romperli e questo ad oggi non è successo.

    Ne segue che la sicurezza dei dati dipende solo dalla lunghezza della chiave.

    La potenza del calcolo deve sottostare al Teorema di correlazione polinomiale. Questo implica che scelto un modello di costo, la complessità non cambia ordine di grandezza al variare del modello computazionale.

    Le agenzie governative hanno più soldi e possono costruire macchine che siano fisicamente più potenti, ma non possono essere altro che macchine di Turing (o se preferisci modelli di von Neumann); il perché è appunto perché l’unico approccio è quello a forza bruta. Nessuna di queste sta in una valigetta e non le troverai mai ad un incontro perché riempiono stanze, se non altro per motivi di raffreddamento.

    Ad un incontro di ethical hacker presso il MiSE hanno dimostrato che le password possono essere scoperte con facilità da un programma da PC; ma con un attacco a dizionario, ovvero tentanto quelle più diffuse. La mia e quella di un collega della PCM non fu craccata perché non banale, non a dizionario e di 17 caratteri (la mia, il collega 20 :).

    Il risultato fu che gli EH, invece che dire agli altri che erano dei coglioni, fece i complimenti a noi.
    Approccio sbagliato, ma comprensibile, se avesse detto agli altri che erano dei coglioni non l’avrebbero più chiamato.

    Per dire cosa?
    Che hai ragione a dire che il fattore umano è determinante, ma lascia perdere Voyager, ‘ché l’informatica si basa sulla matematica non sulla digeribilità dei cibi.

  17. .mau. dice:

    @Claudio:
    Una chiave temporanea, anche quelle delle banche che ti crea l’aggeggio, è il risultato di un’operazione; detta operazione è matematica ergo chiunque, con il tempo necessario, trova il modo di entrare.

    Tu stai parlando di una specifica classe di algoritmi crittografici (quelli a chiave pubblica). Io ho parlato di una classe completamente diversa di algoritmi crittografici (il cifrario monoblocco).

  18. Emanuele dice:

    “Gli algoritmi sono pubblici e lo sono perché tutti possano tentare di romperli e questo ad oggi non è successo”

    Questo mi interessa. Come si fa a stabilire che non è successo?

  19. mORA dice:

    @Emanuele

    Premesso che ci sono migliaia di persone che per lavoro o per diletto non fanno altro che tentare di rompere quegli algoritmi, e premesso (così dovessi cercare in rete senza capire quel che trovi) che alcune implementazioni di quesgli algoritmi sono state rotte (del tutto o parzialmente, ad esempio AES fino all’ottavo passaggio di 12, di una implementazione commerciale) perché bucato il software che lo implementava, non l’algoritmo in sé, per il resto sono algoritmi, appunto.

    Se hanno una struttura logica (ce l’hanno) e se i passaggi di cui sono composti sono corretti in termini matematici (ovvero in termini di logica matematica), se i presupposti su cui si basano sono corretti (la fattorizzazione come problema non polinomiale, ad esempio, e questa è una congettura, ahinoi, ma ache l’ultimo teorema di Fermat lo era fino a vent’anni fa) e se il fine per cui vengono usati è quello di targa (ovvero non uso un algoritmo per cifratura per aprire lattine, ma per cifrare i dati, perché nel primo caso sarebbe inefficace, appunto), bene se tutto quanto sopra è dato, si tratta di trovare un errore logico.

    Ad oggi, non si è trovato.

    Ci sono centinaia di migliaia di pubblicazioni scientifiche in merito, e nessuna, con approcci diversi, ha trovato un errore negli algoritmi.
    Approcci cosiddetti laterali, come la crittanalisi, appunto, si sono dimostrati inefficaci, in altrettante pubblicazioni.

    Se noi, infine, non ho detto non succederà, ho detto fino ad oggi non è successo.
    E non perché io sia prudente, ma proprio perché alcuni di essi si basano su una congettura (fattorizzazione) che finora è sempre stata inattaccabile, ma non è un teorema. Però è come asserire, senza poterlo dimostrare, che nessuno può sputare fin sulla Luna partendo dalla Terra.

    Per altri, perché non li conosco o non abbastanza bene da poterne parlare.

    Però è tutto molto più complicato di quanto si possa discutere qui, se non altro per limiti miei.

    * * *

    C’è la possibilità che questi algoritmi siano stato rotti dalla Spectre che non ce lo dice?

    Ecco, visto che sono tanti ed in tutto il mondo quelli che ci si dedicano direi che si sarebbe comunque saputo. Tenderei ad escluderlo per motivi statistici. E poi, ripeto, un teorema, una volta dimostrato non c’è più molto da discutere. Qui i margini di dubbio stanno nelle premesse (in alcuni casi) non nell’algoritmo.

  20. marshall dice:

    @Argia non esser criptico, cosa intendi concretamente? non ‘impressioniamoci’, cerchiamo di quantificare

  21. marshall dice:

    ‘bucato il software che lo implementava’

    concordo, e tanto per stare in topico questo è proprio il problema di un certo “spensierato” cloud

  22. Claudio dice:

    @mORA

    Se ci limitiamo a dire che vedo barzellette in tv non ci sono argomenti che tengano.

    Il giorno che invece ci spiegherai come hanno fatto i Cinesi a carpire i dati sanitari di milioni di cittadini Americani sarà un’altra storia.

    Non ho mai parlato di decodificare un elemento X che è stato criptato. Ho detto chiaramente che tutti i software di gestione sono righe di codice, tutti.

    È il software la parte vulnerabile non il prodotto che genera.

  23. mORA dice:

    @Claudio

    Ti ricordo che molto prima di pensare a software sofisticatissimi che decrittano e rubano dati di milioni di persone, ci sono persone che passano i dati ad altri dai tempi dell’invenzione della ruota.

    Prima che a Snowden, che li ha passati a noi, pensa a Bradley Manning.

  24. marshall dice:

    I dati contenuti in mail, facebook, cloud sono a diretta disposizione di chi offre il servizio e a disposizione delle agenzie governative, senza particolari programmi ed elaboratori

    ma se vengon caricati file crittografati allora la storia cambia, ma si tratterebbe solo di metter in rete dei file, non di modificarli con software collaborativi. Sarebbe molto complesso garantire un certo grado di sicurezza. Insomma penso sia difficile conciliare crittografia con software collaborativi, e non so quanto utile poichè attraverso un elaboratore connesso in gruppo è comunque possibile svelare il contenuto

    Ci vuole una diversa consapevolezza, non c’è niente da fare, in relazione allo strumento utilizzato e nella concezione di nuovi strumenti

    Potrebbero benissimo vendere un piccolo box per la crittazione e decrittazione automatica dei file in una memoria usb senza l’ausilio del PC (che magari non è tanto “sano”), con una chiave preimpostata e modificabile, quattro porte usb (con riconoscimento di tastiera e mouse), una porta vga. Velocizzando così la crittografia con password lunghissime

  25. marshall dice:

    Per cose importanti meglio avere altri elaboratori dedicati e offline.
    offline Q.B.quanto basta

  26. E se succedesse a tua figlia? Riflessioni sulle foto di Jennifer Lawrence dice:

    […] poi un’altra riflessione importante che andrebbe fatta (la fa, tra gli altri, Massimo Mantellini) ed è quella sulla consapevolezza che ognuno di noi ha degli effetti che possono avere le nostre […]

  27. Emanuele dice:

    mORA la prima parte non rientra nelle mie competenze quindi la salto a piè pari e la do per buona. Riguardo alla Spectre.. affermazioni come “direi che si sarebbe saputo” francamente mi lasciano il tempo che trovano perché presuppongono di sapere cosa c’è e come funzionano veramente le varie Spectre mondiali, perlomeno le principali. E noi quanto ne sappiamo veramente?
    Mi torna vagamente in mente la storia del DES e della crittanalisi differenziale (si scrive così)? che se ricordo bene è stato un caso perfetto di intelligence che per un po’ ha fregato la comunità scientifica mondiale.

  28. mORA dice:

    @Emanuele

    Hai presente il rasoio di Occam?

  29. Manuele dice:

    Si ma quando si parla di organizzazioni che hanno fondi e potere quasi illimitati non mi fido di niente che non sia dimostrabile almeno al 99,9%.
    Probabilmente prima di Snowden si sarebbero considerate fantasie anche realtà venute fuori in questi ultimi anni.

  30. Utenti non si nasce, si diventa - Enrico Giammarco dice:

    […] di default assai nocive come quelle che Massimo Mantellini ha ben descritto in un suo post. Il presunto aiuto ad alfabetizzare il vulgo, usando delle interfacce semplificate, si trasforma […]