Quantcast
Channel: KEIN PFUSCH, BITTE!
Viewing all articles
Browse latest Browse all 561

Una rete basata sulla fiducia.

$
0
0
Gli ultimi post, quelli sulle darknet e quelli sulla questione di PRISM, hanno lasciato l'amaro in bocca a molti, quando poi e' saltato fuori che PRISM indicizza anche dati presi dai vostri cellulari, e qui salta fuori una palese responsabilita' di Google e Apple (no, il traffico viene contato abbastanza bene sia dal lato radio che dopo l' APN, e se tutti i cellulari trasmettono roba verso gli USA, da qualsiasi rete telefonica, con qualsiasi equipaggiamento - dai bts sino agli APN/MSC/GGSN , chi lavora attaccato ad un analizzatore di protocollo tutto il giorno se ne sarebbe accorto), per cui il discorso si estende, ma si estende in un modo che risultera' spiacevole. Nel senso che e' un palese esempio del fallimento di quella "cultura anglosassone" del "se fai del male, chi fa del bene ti sorpassa sul mercato".




Esiste una cultura anti-statale, di origine angloamericana, che dice che delle agenzie private possano fare da "arbitro". Significa che anziche' avere un giudice, voi pagate uno specialista per fare la sentenza. Significa che anziche' avere lo stato che da' il rating alle aziende, avete delle agenzie private. Significa che vi fidate del vostro DNS. Significa che vi fidate dei ROOT DNS. Significa che vi fidate delle Certification Authority. Significa che vi fidate di Microsoft, di Apple, e nessun governo ha il diritto di prendere il codice , esaminarlo, e dire "no, nel mio paese questa merda spionistica non la vendi".

Eppure le cose non sono sempre cosi'. Se volete costruire un'auto, dovete produrne 25 esemplari - almeno - e chiedere alla motorizzazione civile se puo' girare sulle stesse strade di tutti. Se volete aprire un negozio, lo stato puo' impedirvi di vendere un prodotto insalubre. Puo' controllarvi. Puo' fare ispezioni.

Per un qualche motivo, la cultura angloamericana ha buttato fuori lo stato da ogni questione relativa allo spionaggio IT. Se per fare un'autostrada ho bisogno di fior di ingegneri che la disegnino, e dello stato cui vada bene , per fare un backbone posso usare il software che voglio, l'hardware che voglio, e i livelli di servizio che voglio. Come mai questa discrepanza?

Come mai devo portare alla motorizazione civile (qui in Germania a TÜV, che ha l'appalto di ogni controllo di qualita' dallo stato) un nuovo modello di auto se dentro c'e' un nuovo computer nella centralina, e poi posso vendere milioni di computer che spiano l'utente, e se lo stato ha qualcosa da dire quasi quasi le aziende si scandalizzano?

Come mai lo stato e' cosi' solerte nel bloccare il gambling, e ancora non ha preso provvedimenti chiedendo la chiusura del traffico verso gli "Over the top", sino a quando non sara' chiarita la questione dello spionaggio?

Il problema e' che tutto lo stack di software che viene usato per l' IT e' frutto di una fiducia scellerata e piuttosto immotivata verso venditori di sistemi operativi e di software che hanno mostrato, sia in passato che oggi, assai pochi scrupoli.

Davvero possiamo fidarci di IBM? E possiamo veramente essere certi che Cisco, non certo nota per essere user-friendly, abbia costruito qualcosa che non offrea backdoor al governo USA, o al governo che paga la backdoor?

Quando usate il computer, state facendo un atto di fede, anzi, molti:

  1. Sapete bene che il vostro sistema operativo controlla con la casa madre se ci siano updates. Cioe', manda dati sul vostro computer. Ovviamente voi pensate che non mandera' mai dati personali, ma perche' ne siete certi? Ne siete certi perche' c'e' un punto nella finestra che compare dove si dice che nessuno dei vostri dati sara' inviato. Meraviglioso. Ovviamente vi aspettate che se invece questi dati venissero inviati, vi appaia un popup con scritto "tutti i tuoi segreti sono mandati all' NSA per futuri ricatti o sputtanamenti , o per farci i cazzi tuoi".
  2. Aprite applicativi elefantiaci come Office , e non vi chiedete come mai per un word processor siano necessari 4 GB di software installato. Ci furono periodi nei quali office si installava dai floppy, e l'utente medio ci faceva piu' o meno quel che ci fa adesso. (Ok, Ok: Fame, Malattia, Guerra , Morte, Powerpoint e Visio non erano ancora parte della "suite"). Se anche si volesse disassemblare quella catastrofica badilata di merda su un muro bianco che e' Office, per capire cosa faccia, occorrerebbero tempi enormi. Non si capisce che diavolo faccia quel codice, anche se adesso probabilmente lo sappiamo: vi spia, o aiuta a spiarvi.
  3. Anziche' compilarvi il codice generando codice macchina, che almeno e' disassemblabile in assembler e teoricamente vi potrebbe dire cosa fara' la CPU, fate girare applicativi scritti in JAVA, dei quali anche leggendo il bytecode non sapere che diavolo fara' poi la JVM. Idem per .net. Quindi usate un compilatore bytecode fornito da ORACLE, per creareb bytecode che poi gira su una macchina virtuale fornita da ORACLE, affidate magari OGNI dato ad un database di ORACLE, e poi vi chiedete "ma come fara' mai NSA a sapere i cazzi miei". Mah, che c'entri ORACLE?
  4. Dopo aver messo il vostro codice scritto in Java a girare su una macchina virtuale scritta da oracle, potreste in teoria fidarvi SOLO del vostro hardware. Invece prendete il tutto e lo piazzate su un bel cloud. Che bello, il cloud. E' come un mainframe dove avete controllo sull' hypervisor, solo che non sapete dove girino di preciso le istanze. Poi scoprite che NSA sa tutto di quel che succede sulle vostre istanze. Chissa' dove girano, eh? Che bello, non sapere di preciso dove sia il nostro codice e dove siano i nostri dati. E poi sentite dire che NSA li conosce, e vi chiedete "chissa' dove girano gli applicativi cloud".
  5. Quando avete finito, prendete il vostro cellulare e lo dite al capo. Sul cellulare girano due sistemi operativi che per prima cosa si collegano con un cloud per sapere quali dei software che usate sul telefono siano da installare o da aggiornare. Quindi sanno quali software avete installato, dove vi trovavate quando li installavate, e quando. Poi si collega con un altro cloud per aggiornare la vostra rubrica telefonica, ove avrete avuto cura di segnalare i vostri "preferiti": tanto per capire chi siano i vostri amici e chi no.
  6. Per testare il vostro nuovo sito, aprite un browser. Che contiene delle CA affidabili. Perche' sono piu' affidabili del vostro kebabbaro di fiducia? Non si sa. Arrivano col browser, vuoi che nessuno se ne sia mai accorto? Ognuna di quelle CA potrebbe dare la chiave privata a NSA; permettendo loro di creare falsi certificati, e di leggere il vostro traffico "sicuro" praticamente senza sforzi. 
  7. Ovviamente, la prima cosa che fate e' linkare a Facebook e Twitter il vostro sito, aiutando una serie di CDN a contenere cookies ed informazioni di autenticazione. NSA sa tutto su di voi e sui vostri clienti, ma sicuramente se lo sanno e' perche'  hanno tecniche matematiche segrete per decrittare - in tempo reale!(1) - tutto il traffico criptato.

POI,  QUANDO SNOWDEN DICE CHE NSA RIESCE AD AGGIRARE LA CRITTAZIONE, MI VENITE A DIRE CHE SICURAMENTE, E RIPETO SICURAMENTE, HANNO COSTRUITO UNA SUPERBATTERIA DI SUPERCOMPUTER PER SUPERCAZZOLARE I QUANTI DELLA CRIPTAZIONE: NO, SIGNORI, HANNO SI' COSTRUITO UNA SUPERBATTERIA, MA UNA SUPERBATTERIA DI POLLI! GLI UTENTI.

La verita' e' che l'intera tecnologia IT, per come funziona, e' totalmente basata sulla fiducia, e a dire il vero l' intero mondo IT e' basato sulla fiducia. Nel momento in cui questa fiducia e' spezzata, non c'e' NULLA, e ripeto NULLA che possiate farci: che voi criptiate il traffico , che scriviate suite per la sicurezza al fine di proteggere un server che gira sul cloud - ove giri non lo sapete di preciso, magari gira sulla scrivania del capo della NSA, ma adesso avete la suite anti-intrusione installata!  SIETE-FICHI! - , perche' avete concesso tanta di quella fiducia incosciente che ormai siete compromessi.

E' una scena gia' vista con le cosiddette "agenzie di rating". Tutta la finanza si basava su di loro, perche' insomma, loro sono le agenzie di rating. Se solo osavi dire che non le conoscevi e che ti saresti fidato di piu' del tuo droghiere, ti rispondevano saputi che "erano le grandi agenzie inglesi, dove c'e' la morale protestante e poi se solo si sospettasse qualcosa sarebbero rovinati in 24 ore!". Beh, adesso non solo sospettiamo qualcosa, ma ci sono processi in corso e condanne, e .... le 24 ore sono passate. Niente.

Allo stesso modo, quando si faceva presente che fidarsi di Microsoft che ti piazza backdoor nel codice era da folli, ti rispondevano che "si, figuriamoci, se ne sarebbero accorti! Figurati se qualcuno non se ne accorge. E basta che qualcuno se ne accorga e Microsoft chiude domani". Beh , si, adesso qualcuno se n'e' accorto, anzi lo ha detto. E Microsoft e' ancora li'.

Apatia.

La risposta piu' stupida che mi sento dire quando parlo di snowden e' "ma io non ho niente da nascondere", e che soltanto pedofili e terroristi hanno paura di PRISM. A queste persone rispondo "allora dammi la password, username e server della tua posta elettronica, oppure sei un pedofilo anche tu? HAi qualcosa da nascondere, forse?".

La verita' e' che una gigantesca parte del mondo dell' IT, cosi' come del mondo della finanza, cosi' come del modo di vedere a "common law" degli angloamericani e' fondata SUL NULLA. E' fondata su una fiducia mal posta.

Non esiste alcuna cazzo di "morale protestante degli affari" che abbia impedito alle agenzie di rating di abusare del loro potere, non esiste alcuna "etica anglosassone del business" che abbia impedito ai produttori statunitensi di piazzare nei loro software delle backdoor, non esiste nessuna "common law"  per la quale sia sanzionato pubblicamente "dallo scandalo" chi abusi della propria posizione.

La verita' e' che tutte queste leggi non scritte sono miti inventati per non avere leggi scritte. Se chiedete come mai non ci sia una costituzione in UK vi rispondono che a loro non serve perche' Cromwell blabla, ma la verita' e' semplicemente che questo mito gli evita la presenza SCOMODA di una costituzione scritta.

Quando chiedevate per quale ragione le agenzie di rating non dovessero essere invece enti governativi, e per quale ragione non dovesse esserci uno standard codificato dal legislatore per il rating, vi dicevano che la "rigida morale anglosassone blabla", perche' con questa scusa riuscivano a tenere fuori l'ingombrante presenza della LEGGE, dello stato e delle REGOLE.

E quando chiedete per quale ragione continuiamo a usare software ed hardware straniero senza mai pretendere che il codice sia aperto, senza mai pretendere di disassemblarlo, senza pretendere che ci sia lo stato a dire OK dopo aver esaminato quel che fanno questi prodotti, vi dicono che "l'etica del mercato e del business anglosassone blablabla", ed e' solo una scusa per tenere fuori i controlli.

La verita' e' che i miti stanno cadendo, e pur di non assistere alla caduta dei loro dei, i fedeli sono ben disposti a tenere la testa sotto la sabbia.

Ma questo produce solo cadute piu' dolorose.

Uriel

(1) Se lo fai contro il terrorismo, tempi lunghi non sono accettabili. Non e' che arrivare il 13 dicembre 2008 dicendo "ehi, Al Qaeda vuole dirottare aerei per colpire le torri gemelle di New York" sia una genialata.

Viewing all articles
Browse latest Browse all 561

Trending Articles