Teoria e pratica, due perfetti sconosciuti.

Il divario tra teoria e pratica emerge quando ci si confronta con il tessuto economico di un luogo e il suo livello di arretratezza.
Quando una località è arretrata economicamente, inevitabilmente si eliminano tutti i dettagli, i costi aggiuntivi, il controllo qualità, le misure di sicurezza. Insomma tutte quelle buone regole dettate dalla teoria ma che risultano inapplicabili per
1) I tempi ristretti e contingentati richiesti dal mondo del lavoro
2) la minimizzazione dei costi su richiesta del cliente o per effetto della concorrenza
3) L'ignoranza del tessuto sociale locale

Se dunque le strade in certi paesi (non l'italia), non hanno buche o hanno tombini a livello del manto stradale non è perchè nel fare una strada si ragiona in termini di "purchè ci si possa camminare sopra" ma "purchè la strada rispetti tutte le indicazioni teoriche".

Purtroppo in Italia, riscontro questo gap teoria-pratica in tutti i settori. Ad esempio, come si può parlare continuamente di digitalizzazione ed informatizzazione, quando uno studente di informatica nel proprio percorso scolastico o universitario impara che la progettazione di un database deve prevedere un processo di normalizzazione, o che un qualunque algoritmo deve, oltre che risolvere un problema specifico, tendere ad una riduzione della complessità temporale o spaziale? (in realtà c'è sempre una sorta di legge di conservazione della complessità...ciò che togli in capienza di memorizzazione aggiungi ai tempi di elaborazione, e viceversa). ...

Tra SPID e Privati non mettere il dito.

Per esperienza diretta posso dire che lo SPID di livello 2 e 3 è un metodo di autenticazione abbastanza robusto, anzi talmente robusto, che a volte è anche una scocciatura eseguire i doppi o tripli passi necessari per l'autenticazione, dato che il livello 2 prevede oltre alla password anche un codice OTP inviato direttamente nello smartphone del titolare del profilo e il livello 3 addirittura fa uso di certificati elettronici oltre al PIN.

La polemica innescata dall'ipotesi del ministro dell'innovazione, quindi, non può essere mossa da un punto di vista dell' ignoranza tecnico-informatica e in particolare di sicurezza informatica o di privacy, perchè semplicemente non sussiste!

Tra l'altro ritengo personalmente, che le questioni sulla privacy non tengano conto di rischi ben più gravi. Ad esempio, andare ad installare un'estensione appartenemente innocua su un browser (es. un estensione che permette di scaricare video youtube) o un app su un telefonino è meno rischioso di usare la stessa password su più siti purchè questa risulti cifrata? Assolutamente NO. Il punto è che le app possono nascondere dei keylogger, che solo una doppia o tripla autenticazione come lo SPID può metterli fuori uso. E quanti di noi sono certi che le nostre password non sono memorizzate in chiaro ma sono cifrate nei database dei siti e-commerce? (visto ancora il livello di arretratezza dei siti web e i mancati aggiornamenti spesso non fatti da anni dai titolari!) ...

L' invarianza nel posizionamento

C'è chi pensa che l'attività di ottimizzazione o visibilità nei motori di ricerca consista nello studiare come generare la causa "posizionamento" per ottenere l'effetto "aumento delle visite/visualizzazioni". Io invece capovolgo causa ed effetto e dico che sono sempre le visualizzazioni a determinare il posizionamento.

Chissà quanti algoritmi di information retrival saranno stati inventati dai motori di ricerca nel corso degli anni. Decine e decine, se non centinaia e con le tecniche più disparate, e continui aggiornamenti: reti neurali, regole statistiche o proabilistiche, logica fuzzy, Nearest Neighbors, tecniche di machine learning, ecc. ecc.

Insomma i tecnici si saranno sbizzarriti, sfornando sempre nuovi algoritmi. Algoritmi che o sono complessi da capire, o a volte restano "segreti industriali" generando nei SEO una corsa a capirne il funzionamento, partendo dai risultati. ...

L' Elaborazione dell' Entropia

Come suggeriva De Crescenzo, in uno dei suoi libri, per frenare l'entropia, sarebbe opportuno non agitare col cucchiaino lo zucchero immerso nel caffè ma aspettare che questo si sciolga da solo. Un bel suggerimento per garantire la segretezza!

Cos'è l'entropia ? Nell'ambito della teoria dell'informazione, l'entropia misura l'informazione generata dall'alterazione di uno stato d'ordine di una sorgente. Più precisamente, data una variabile aleatoria che descrive un fenomeno, l'entropia è il valore atteso delle autoinformazioni (o quantità di incertezza) di tutti gli eventi in cui può manifestarsi il fenomeno.

E' una definizione tanto complessa quanto affascinante, ma si può spiegare con un esempio banale:

Se una moneta è posta su un tavolo ed è ferma, noi la vediamo in ordine e con una faccia ben nota rivolta verso l'alto e l'altra in contatto col tavolo. Non aggiungiamo quindi nulla di nuovo a quello che sappiamo già e cioè non aggiungiamo informazione al nostro stato di consapevolezza del fenomeno osservato. ...

Relazione tra sicurezza e consapevolezza

Una continua evoluzione dei livelli di protezione non sempre è sintomo di sicurezza, ma al contrario può rappresentare un senso diffuso di insicurezza. Parlo di sicurezza informatica e cerco di spiegare questo concetto in modo semplice: Che la sicurezza sia un miraggio ne sono consapevoli i più grandi esperti in materia, tanto che nei corsi accademici si insegna sempre che la sicurezza è un processo e non un prodotto.

Un processo che si pone come obiettivo quello di rendere quanto più difficile all'attaccante di potersi intrufolare e violare i sistemi, ma non di ottenere il 100% del risultato. Ora siamo sicuri che un aumento dei livelli di sicurezza è sintomo di sicurezza? Se la sicurezza è un miraggio, come dice Bruce Schneier, allora ciò deve farci capire che ogni nuova misura intrapresa è consapevolezza di nuova insicurezza.

Fino a qualche tempo fa, per effettuare operazioni di online banking, bastava un nome utente ed una password, inviati tramite una connessione protetta da protocollo https e certificato ssl. Spesso, però, gli attacchi informatici non sono scongiurati dalla sola robustezza dei metodi crittografici matematici. Il pericolo, spesso, si insinua nei comportamenti errati umani (es. usare password ricorrenti su più server).

Da qui, si sono introdotte nuove misure: impronte digitali, sms otp, spid ecc. ecc. non sanno più quali diavolerie inventarsi.

Recentemente anche poste italiane ha dichiarato che <<"si adeguerà alle indicazioni fornite dalla Direttiva Europea (UE) 2015/2366 sui servizi di pagamento (Payment Services Directive o “PSD2”). Oltre al nome utente e a una password più complessa vi sarà richiesto di inserire il vostro codice Poste ID o la vostra impronta digitale in App Postepay">>. ...

Una società sotto controllo

In questi giorni sono continuamente bombardato da input socio-ambientali che mi ricordano il grande dilemma della sicurezza informatica: e cioè trovare il giusto compromesso tra privacy e progresso sia commerciale che tecnologico.

Mi sto rendendo conto che la stragrande maggioranza della popolazione se posta davanti all'ipotesi di essere tenuta sotto controllo da parte di un grande fratello, si sente ovviamente "attaccata" e sarebbe contraria a strumenti di rastrellamento dei dati personali (salvo poi dover accettare forzatamente per usufruire di certi servizi aziendali) e magari ritiene che sia corretto avere una tutela legale della propria riservatezza, ma contemporaneamente delega ad altri il controllo di sicurezza, non presta attenzione alle azioni che intraprende, nè valuta i rischi quando è attratta da qualcosa di innovativo (come i bimbi quando vedono un giocattolo nuovo, che lo vogliono e basta!).

L'entrata in vigore del GDPR ha creato non pochi disagi alle aziende, le quali se potessero, eliminerebbero tutti i balzelli burocratici relativi alla privacy. Tuttavia, attraverso delle azioni virali le aziende riescono ad escogitare sempre nuovi sistemi per strappare dati ed elaborare informazioni e previsioni. Dall'altra parte abbiamo una platea di comuni cittadini che alla prima App che invecchia la faccia non presta attenzione a chi conferisce i propri dati e nel caso specifico la forma del viso e accetta, accetta, accetta qualunque cosa pur di provarla (Io no! non sono un accept man, ma questo non significa che non uso la tecnologia!)

Appena 24 ore fa, si è diffusa la notizia che dietro a quella app ci sia nientemeno che l'ombra della Russia e dei servizi segreti, e cioè che l'app sia forse uno strumento per rastrellare dati per il riconoscimento facciale e creare un'enorme mole di dati per l'addestramento di intelligenze artificiali, visto che i server dell'azienda che ha diffuso l'app, si trovano a San Pietroburgo. ...

Giustizia è fatta!

Da un punto di vista legale, la persecuzione giudiziaria di Assange è corretta. Chi commette crimini informatici deve essere perseguito. C'è però un particolare, che rende l'attività di Assange meno criminale agli occhi di chi cerca la verità: Assange non violava la privacy dei comuni cittadini (a cui non gliene fregava niente), violava i segreti dei potenti e dei governi. Viceversa, sappiamo che ci sono stati governi che hanno fatto dossieraggi su qualunque cittadino (anche quello più insignificante).

L'esempio più noto è l'attività della STASI nella DDR, ma non escludo che oggi i paesi che formalmente si dicono democratici e occidentali non lo facciano quanto o più di quelli li, anzi sicuramente visto che i servizi segreti servono anche a questo! (con l'ipocrisia che poi parlano o fanno leggi sulla privacy ridicole, come quelle che "per registrarti ad un sito internet, devi dare il consenso al rilascio dei dati". Ok, ma se non vuoi rilasciare il consenso, sei fuori da qualunque circuito o sistema, quindi è una presa per il culo). ...

Il paradosso logico del Debunking

Ho cercato di formalizzare il meccanismo che sta dietro al paradosso del debunking, cioè il modello logico che permette di confondere le idee all'opinione pubblica iniettando fake news che insabbiano verità scomode e devo dire che questo meccanismo lo ritrovo in quasi tutte le ipotesi di complotto in circolazione, ciò mi fa presumere che il modello funziona. Vediamo un pò:

Siano :
\(T\): una tesi vera da negare all'opinione pubblica
\(O\): un insieme di persone (immaginiamola come l'opinione pubblica)
\(I\): una tesi falsa diffusa come vera e tale che \(I \implies \neg T \)

Definiamo anche il predicato \(C(x,K)\) come segue:
\[C(x,K) = \{\mbox{x crede che K è vera}\}\]

1° fase:
Si diffonde la tesi falsa \(I\) con l'obiettivo di raggiungere lo scopo che
\[\forall x \in O:C(x,I) \implies I \implies \neg T \]

2° fase:
Finchè regge la fase 1 non si prendono provvedimenti, almeno che qualcuno scopra che \(I\) è falsa e riesce a dimostrarla senza possibilità di smentita. In tal caso accade che qualcuno comincia a pensare che :

\[\neg I \implies \neg \forall x \in O:C(x,I) \overset{\mbox{?}}{\implies} T \]

Quando accade ciò, si mette a rischio l'insabbiamento della verità, quindi, è urgente prendere provvedimenti, partendo proprio da questo primo passaggio errato ma possibile (nel senso che la negazione di \(I\) porta a rivalutare \(T\) a tal punto da considerarla una conseguenza, anche se logicamente è errato!) ...

Centro Impostazioni Privacy