Electronic Frontier Foundation:

If Mr. Trump carries out these plans, they will likely be accompanied by unprecedented demands on tech companies to hand over private data on people who use their services. This includes the conversations, thoughts, experiences, locations, photos, and more that people have entrusted platforms and service providers with. Any of these might be turned against users under a hostile administration.

Dal permettere accesso anonimo a un sito (senza costringere durante la registrazione a utilizzare nome e cognome), al cancellare i dati raccolti in background durante la navigazione, se proprio debbono essere raccolti in primo luogo.

Suggerimenti simili li aveva dati Maciej Cegłowski, durante uno dei suoi talk.

Firefox ha aggiornato Firefox Focus, precedentemente solo un content blocker, trasformandolo in un browser completamente privato per iOS:

Firefox Focus is set by default to block many of the trackers that follow you around the Web. You don’t need to change privacy or cookie settings.  You can browse with peace of mind, feeling confident in the knowledge that you can instantly erase your sessions with a single tap – no menus needed.

Quando nel 2007 Google acquistò il network pubblicitario DoubleClick, promise che i dati raccolti tramite l’ad tracking non sarebbero stati mischiati con gli altri dati che Google già ha sui propri utenti, grazie ai servizi che offre. In altre parole, Google promise che non avrebbe dato un nome e un cognome ai dati che avrebbe raccolto online: ai siti che visitiamo, o a come ci comportiamo e dove clicchiamo su questi siti.

Nel corso dell’estate, questa promessa è sparita dalla privacy policy:

But this summer, Google quietly erased that last privacy line in the sand – literally crossing out the lines in its privacy policy that promised to keep the two pots of data separate by default. In its place, Google substituted new language that says browsing habits “may be” combined with what the company learns from the use Gmail and other tools. […]

The move is a sea change for Google and a further blow to the online ad industry’s longstanding contention that web tracking is mostly anonymous. In recent years, Facebook, offline data brokers and others have increasingly sought to combine their troves of web tracking data with people’s real names. But until this summer, Google held the line.

La conseguenza è che ora, grazie alle pubblicità di DoubleClick sparse in giro per il web, e grazie a Gmail e agli altri servizi che l’azienda offre, Google può fornire pubblicità ancora più mirata e costruire profili dettagliati sui suoi utenti — basati su quello che scriviamo nelle email, sulle ricerche che facciamo e, ora, anche sui siti che visitiamo.

Verso inizio giugno sono apparsi sul dark web i dati — inclusa password e email — di 117 milioni di account creati su LinkedIn, ottenuti durante l’attacco che LinkedIn subì nel 2012 (potete controllare se anche il vostro account venne compromesso su haveibeenpwned.com).

Come spiega Arstechnica, ogni volta che c’è un leak di queste dimensioni e entità (recentemente: Ashley Madison) gli hacker diventano un po’ più bravi a indovinare le nostre password su altri siti — dato che possono fare affidamento ai dati già collezionati (sia su noi stessi, preferenze e dettagli, sia sulle password), compilando così lunghissime liste di potenziali combinazioni e password:

Back in the early days of password cracking, we didn’t have much insight into the way people created passwords on a macro scale. Sure, we knew about passwords like 123456, password, secret, letmein, monkey, etc., but for the most part we were attacking password hashes with rather barbaric techniques—using literal dictionaries and stupid wordlists like klingon_words.txt. Our knowledge of the top 1,000 passwords was at least two decades old. We were damn lucky to find a password database with only a few thousand users, and when you consider the billions of accounts in existence even back then, our window into the way users created passwords was little more than a pinhole. […]

When you take both RockYou and LinkedIn and combine them with eHarmony, Stratfor, Gawker, Gamigo, Ashley Madison, and dozens of other smaller public password breaches, hackers will simply be more prepared than ever for the next big breach.

Maciej Ceglowski sul perché il settore tecnologico dovrebbe smetterla di collezionare quanti più dati possibili sui suoi utenti — evitando così che, per paura e terrore, in un futuro un governo possa richiedere di farne pessimo uso.

We tend to imagine dystopian scenarios as one where a repressive government uses technology against its people. But what scares me in these scenarios is that each one would have broad social support, possibly majority support. Democratic societies sometimes adopt terrible policies.

When we talk about the moral economy of tech, we must confront the fact that we have created a powerful tool of social control. Those who run the surveillance apparatus understand its capabilities in a way the average citizen does not. My greatest fear is seeing the full might of the surveillance apparatus unleashed against a despised minority, in a democratic country. […]

We have to stop treating computer technology as something unprecedented in human history. Not every year is Year Zero. This is not the first time an enthusiastic group of nerds has decided to treat the rest of the world as a science experiment. Earlier attempts to create a rationalist Utopia failed for interesting reasons, and since we bought those lessons at a great price, it would be a shame not to learn them.

There is also prior art in attempts at achieving immortality, limitless wealth, and Galactic domination. We even know what happens if you try to keep dossiers on an entire country.

Craig Federighi ha spiegato al keynote di ieri che Apple userà tecniche di “privacy differenziale” per rendere privati e sicuri i dati degli utenti di cui ha bisogno per migliorare e offrire i suoi servizi. In tal modo, se un governo o un’entità terza dovesse entrare in possesso di questi dati non dovrebbe essere in grado di ottenere alcuna informazione certa su un individuo specifico:

We believe you should have great features and great privacy. Differential privacy is a research topic in the areas of statistics and data analytics that uses hashing, subsampling and noise injection to enable…crowdsourced learning while keeping the data of individual users completely private. Apple has been doing some super-important work in this area to enable differential privacy to be deployed at scale.

In termini molto semplici (e vaghi): invece di anonimizzare un dataset (cosa che non funziona, dato che spesso questi dataset vengono de-anonimizzati senza problemi) Apple introduce per esempio dei dati falsi al suo interno, rendendo così inaffidabili le risposte dei singoli utenti. I pattern generali d’uso emergono, ma i comportamenti specifici a un utente possono rivelarsi fasulli.

Spiega Wired:

Differential privacy, translated from Apple-speak, is the statistical science of trying to learn as much as possible about a group while learning as little as possible about any individual in it. With differential privacy, Apple can collect and store its users’ data in a format that lets it glean useful notions about what people do, say, like and want. But it can’t extract anything about a single, specific one of those people that might represent a privacy violation. And neither, in theory, could hackers or intelligence agencies. […]

As an example of that last method [noise injection], Microsoft’s Dwork points to the technique in which a survey asks if the respondent has ever, say, broken a law. But first, the survey asks them to flip a coin. If the result is tails, they should answer honestly. If the result is heads, they’re instructed to flip the coin again and then answer “yes” for heads or “no” for tails. The resulting random noise can be subtracted from the results with a bit of algebra, and every respondent is protected from punishment if they admitted to lawbreaking.

Il documentario, andato in onda su HBO, di Vice con Edward Snowden.

Il nuovo video di Kurzgesagt ci ricorda le conseguenze sulla nostra privacy, sulla libertà individuale, e sui nostri diritti quando in preda al panico e alla paura ci affidiamo alla sorveglianza di massa per far fronte al terrorismo, con grande insuccesso.

Lo Snooper Charter è una proposta di legge del Segretario di Stato Theresa May che obbligherebbe gli operatori telefonici e i produttori di smartphone che operano in Inghilterra a mantenere per 12 mesi un archivio del traffico dati degli utenti, delle email inviate, delle comunicazioni avvenute sui social network e delle chiamate effettuate e ricevute.

Bravi. Wired ha un lungo articolo a riguardo:

Encryption is widely available to anyone motivated to use it, but WhatsApp is pushing it much farther into the mainstream than anyone else. Apple, for instance, encrypts the data sitting on an iPhone, and it uses end-to-end encryption to hide the messages that travel over its own iMessage texting service. But iMessage is only available on iPhones. Over the years, Apple has sold about 800 million iPhones. But it’s hard to know how many are still in use, or how many people who have them are communicating via iMessage anyway. WhatsApp runs on just about every kind of phone. Plus, Apple’s techniques have some gaping holes. Most notably, many users back up their iMessages to Apple’s iCloud service, which negates the end-to-end encryption. WhatsApp, meanwhile, has a billion users on its service right now.

Farhad Manjoo:

Consider all the technologies we think we want — not just better and more useful phones, but cars that drive themselves, smart assistants you control through voice, or household appliances that you can monitor and manage from afar. Many will have cameras, microphones and sensors gathering more data, and an ever-more-sophisticated mining effort to make sense of it all. Everyday devices will be recording and analyzing your every utterance and action. […]

But if Apple is forced to break its own security to get inside a phone that it had promised users was inviolable, the supposed safety of the always-watching future starts to fall apart. If every device can monitor you, and if they can all be tapped by law enforcement officials under court order, can anyone ever have a truly private conversation? Are we building a world in which there’s no longer any room for keeping secrets?

“This case can’t be a one-time deal,” said Neil Richards, a professor at the Washington University School of Law. “This is about the future.”

Mantellini:

La scelta di Tim Cook mi pare abbia due caratteristiche interessanti. La prima è che non è recentissima. È stata ingegnerizzata (per scrivere software ci vuole tempo) almeno un paio di anni fa e resa pubblica a settembre 2014 con la presentazione di iOS 8. E quando è stata presa una simile decisione di irrobustire le difese crittografiche dei prodotti Apple? Semplice: appena ci si è resi conto – grazie alle rivelazioni di Edward Snowden – che il governo USA attraverso la sua Agenzia per la Sicurezza Nazionale aveva rubato o era in grado di rubare tutti i dati contenuti in tutti i telefoni Apple in tutto il pianeta. In quei giorni avevamo realizzato di essere finalmente tutti uguali: tutti potenziali terroristi dentro un gigantesco database pienissimo di informazioni irrilevanti e nostre.

La seconda caratteristica che mi pare degna di nota è che quella di Apple non è la semplice reazione dell’amante tradito ma una strategia di lungo periodo, l’unica possibile per mantenere il proprio rapporto fiduciario con la clientela. L’idea secondo la quale backdoor di Stato introdotte nei sistemi operativi dei nostri telefoni (che sono ormai parti pulsanti fra le più importanti della nostra vita di relazione) siano lecite e possano essere tollerate in nome della presunta autorevolezza di agenzie come NSA (o peggio delle prerogative di tecnocontrollo di decine di regimi sanguinari in tutto il pianeta) è talmente naïve da poter convincere forse alcuni commentatori occasionali ma per il resto del tutto priva di senso. Le implicazioni a cascata di simili scelte, dentro l’attuale era della sorveglianza, sono talmente tante e talmente rapide da scardinare qualsiasi modello di business legato alla comunicazione e questo in nome di una presunta sicurezza tutta da verificare e già mille volte smentita dai fatti, dalle Torri Gemelle fino ad oggi.

Non riguarda un singolo iPhone

Un riassunto per capire meglio la vicenda FBI/Apple. Prima di iniziare, però, una citazione di Bruche Schneier:

In generale, la privacy è qualcosa che le persone tendono a sottovalutare finché non ce l’hanno più. Argomenti come “io non ho nulla da nascondere” sono comuni, ma non sono davvero validi. Chi vive in un regime di costante sorveglianza sa che la privacy non è avere qualcosa da nascondere. Riguarda la propria individualità e la propria autonomia personale. Riguarda l’essere in grado di decidere cosa rivelare di se stessi e in quali termini. Riguarda l’essere liberi come individuo, senza essere costretti a giustificarsi continuamente a qualcuno che ci osserva.


L’FBI vuole accedere a dei dati contenuti dentro l’iPhone 5c di Syed Rizwan Farouk, uno degli attentatori di San Bernardino. Questi dati — messaggi, foto, etc.; cifrati — non sono stati salvati su iCloud ma si trovano dentro l’iPhone. Apple ha già dato accesso all’FBI ai dati che si trovavano su iCloud ma l’FBI ha avuto problemi a bypassare le misure di sicurezza dell’iPhone e, di conseguenza, ad accedere ai dati che risiedono solo sul device in questione.

Per accedere ai dati di un iPhone 5c sono necessari “solo” due ingredienti: il passcode dell’utente e il codice del device. A complicare le cose sono le misure di sicurezza adottate da Apple: il fatto che i dati vengano cancellati dopo 10 tentativi, o che fra un tentativo e l’altro sia necessario aspettare 5 secondi. Ci vorrebbero dunque anni per l’FBI a indovinare il codice tramite brute force (provando ogni possibile combinazione del codice).

L’iPhone in questione è un 5c, quindi senza Secure Enclave. Come spiega Ben Thompson, la Secure Enclave è un chip A7 che agisce come computer indipendente, con un proprio sistema operativo, che renderebbe molto più complesso l’accesso ai dati. Nel caso di un iPhone 6s, dotato di Secure Enclave, sarebbero necessari tre ingredienti per decrittografare i dati: la chiave del device, il passcode dell’utente e una chiave casuale, generata dalla Secure Enclave, sconosciuta a Apple stessa. Se l’attentatore avesse avuto un iPhone 6s o uno qualsiasi degli iPhone più recenti, sarebbe stato impossibile per Apple cooperare con l’FBI — anche se avesse voluto — se non inserendo una backdoor ancora più insicura e terrificante nel sistema operativo: una chiave fissa e unica. Si può fare, però, e il pericolo principale è che l’FBI sfrutti questo caso come precedente — per chiedere un qualcosa di ancora più insicuro.


L’FBI, dunque, come spiega Fabio Chiusi, vuole tre cose da Apple:

  1. Rimuovere o disabilitare la funzione di auto-distruzione dei contenuti.
  2. Consentire all’FBI di provare a inserire la password corretta (in sostanza, abilitare tentativi infiniti di trovarla, una tecnica detta “brute force”).
  3. Garantire che non ci siano le attese (delay) tra un tentativo e l’altro attualmente previste da iOS, a meno di quelle necessarie al funzionamento dell’hardware.

L’FBI chiede a Apple di disabilitare la funzione che elimina tutti i dati di un iPhone dopo dieci tentativi di accesso falliti — in modo da poter provare tutte le combinazioni possibili e accedere al device tramite brute force. Apple non può semplicemente disabilitare la funzionalità: solo l’utente (che l’ha attivata) può farlo. Affinché questa misura di sicurezza possa essere bypassata, è necessario che Apple scriva un software che sia in grado di disabilitare una delle funzionalità di sicurezza di iOS.

Il che significa — punto e basta, senza sfumature — creare una backdoor. La Casa Bianca si è difesa spiegando che in realtà vuole l’accesso a un solo, singolo, device — l’iPhone 5c in questione — ma Cook è stato ben chiaro: non è così semplice.

Il governo suggerisce che questo strumento potrebbe essere usato solo una volta, su unico telefono. Ma è semplicemente falso. Una volta creata, la stessa tecnica potrebbe essere usata ancora e ancora, su un qualunque numero di device. Nel mondo fisico, sarebbe l’equivalente di un passe-partout, in grado di aprire centinaia di milioni di lucchetti – di ristorante e banche, negozi e case. Nessuna persona ragionevole lo accetterebbe.

Una volta che Apple sviluppa questo software, crea un precedente e lo rende disponibile a qualsiasi soggetto e situazione. Rende tutti gli iPhone — di tutti i cittadini — insicuri. Potenzialmente un qualsiasi hacker potrebbe sfruttare questa falla per ottenere i dati di un qualsiasi altro utente. Non solo: un governo meno democratico potrebbe a sua volta sfruttare questa porta ai dati dei cittadini. Quando si trattano questi temi bisogna sempre ricordarsi che le misure che prendiamo dalle nostre parti hanno ripercussioni in luoghi meno liberi del pianeta.


La Electronic Frontier Foundation (nota a margine: è il momento di fare una donazione a loro se non l’avete mai fatto — io ho impostato a inizio anno una donazione ricorrente di $10. Vi mandano pure a casa una bellissima maglietta, per ringraziarvi) è intervenuta a sostegno di Apple:

Supportiamo Apple perché il governo sta chiedendo più di un semplice aiuto da parte di Apple. Per la prima volta, il governo sta chiedendo a Apple di scrivere un nuovo codice che elimina le funzioni di base di sicurezza dell’iPhone — funzioni che proteggono tutti noi. Essenzialmente, il governo sta chiedendo a Apple di creare una master key così che possa accedere a un singolo telefono. Una volta che questa chiave esiste, siamo certi che il governo chiederà di farne uso ancora e ancora, per altri telefoni, e utilizzerà questo precedente contro qualsiasi altro software o device che decida di offrire una protezione maggiore.


(Nota a margine numero due: quello che scrive Beppe Severgnigni questa mattina sul Corriere è uno schifo. Non ha senso, e dimostra che non ne capisce nulla di come funziona tecnicamente la crittografia. È approssimativo — crea disinformazione e danni attorno a un argomento già poco chiaro e complesso per il cittadino comune, spesso affrontato con disinteresse perché liquidato con un “ma io non ho nulla da nascondere”.)


Tutto ciò non ha a che fare con l’iPhone 5c in questione. Come la vicenda dell’NSA e di Snowden dovrebbe aver insegnato, l’FBI sta utilizzando il terrorismo come scusa per potere accedere ai dati di chiunque quando gli pare e piace, quando ritengono necessario.

Apple si trova in una posizione unica rispetto alle altre aziende tecnologiche di simili dimensioni: il suo business model non dipende minimamente dai dati degli utenti e per questo può lottare per lasciarli a chi appartengono. La risposta del CEO di Google è — in confronto — debole: piena di could (e fornita via twitter…???).


La crittografia va difesa anche se a farne uso sono anche i terroristi. L’anche, in quella frase, è importante: perché la crittografia giova innanzitutto noi, i cittadini.

Anche se Apple venisse costretta a inserire una backdoor nell’iPhone un’organizzazione terroristica troverebbe (o potrebbe sviluppare) alternative per comunicare in sicurezza. Così facendo, il cittadino normale ci rimetterebbe senza alcun vantaggio per la sicurezza generale.

Come spiega Dan Gillmor:

Un giorno si potrebbe venire a sapere che un terrorista ha usato sistemi potenti di criptaggio, e la risposta giusta sarebbe: “Sì, lo ha fatto, ma dobbiamo comunque proteggere questi sistemi di criptaggio, perché indebolirli peggiorerebbe soltanto le cose.” Perché? Perché il criptaggio è davvero una questione semplice, non importa quanto funzionari legislativi desiderosi di diffondere la paura o politici codardi e ostinatamente ignoranti vadano sbandierando sul bisogno di backdoor nelle comunicazioni protette. La scelta è fondamentalmente binaria per molti esperti in materia. Non si possono alterare i sistemi di criptaggio in maniera significativa senza renderci tutti meno sicuri, perché i cattivi poi sfrutteranno le vulnerabilità introdotte nel processo. Non è una questione di sicurezza verso privacy, come gli esperti hanno spiegato ormai innumerevoli volte, è una questione di sicurezza contro sicurezza.

Sono passati vent’anni da quando John Perry Barlow scrisse la Dichiarazione d’indipendenza del Cyberspazio. La lesse a Davos, in Svizzera, l’8 Febbraio del 1996. In questo video, del 2013, la rilegge:

Quanto dichiarato è ancora attuale e valido — le motivazioni dei governi per limitare la libertà in rete sono le stesse di allora: copyright e sicurezza (terrorismo). È un discorso che può suonare altisonante, retorico, ma che personalmente mi ha lasciato — tutte le volte che l’ho letto — speranzoso e combattivo.

In un post su Boing Boing dell’altro giorno, Barlow ha riflettuto sul testo a vent’anni di distanza:

Actually, things have turned out rather as I expected they might 20 years ago. The War between the Control Freaks and the Forces of Open-ness, whether of code, government, or expression, remains the same dead heat it’s been stuck on all these years.

Which is enough to make me believe that my vision of an Internet that will one day convey to every human mind the Right to Know all that curiosity might propel them toward, a “world where anyone, anywhere may express his or her beliefs, no matter how singular, without fear of being coerced into silence or conformity.”

Vincenzo Latronico:

Sì, sappiamo che dovremmo usare password più lunghe e difficili, e usarne di diverse in ogni diversa occasione, e aggiornare regolarmente tutti i software, e installare sempre gli antivirus che spesso non servono a niente, perché le minacce più gravi sono le più nuove. Dovremmo, dovremmo.

Però poi ci diciamo: perché qualcuno dovrebbe attaccare proprio me? Perché dovrebbero provare a indovinare la mia password, a infilarsi nella mia USB stick? Luciano Floridi, uno dei massimi teorici di etica informatica, ha detto che in rete nessuno si sente Moby Dick: tutti si sentono sardine, protetti dal banco tutt’intorno. Con uno spirito simile spesso lasciavo aperta la porta del mio vecchio appartamento, quando dovevo prestare le chiavi a degli ospiti, confidando che nessuno sarebbe arrivato all’ultimo piano della mia scala nella mia palazzina solo per provare la maniglia di una porta a caso nella speranza di trovarla aperta.

Come moltissime analogie usate per capire le questioni della rete, anche questa sembra intuitiva ma non funziona.