Scritto da © Pest Writer - Gio, 12/03/2015 - 17:52
Sto per pubblicare un articolo avente come titolo “Keep calm… che ti frego le password”, che in pratica sarà la versione scritta di un video che sto per mettere su YouTube.
Articolo e video mostreranno come il browser Google Chrome poteva, molto pericolosamente, rendere disponibili ad altri sia l'elenco dei nostri link preferiti e la cronologia delle nostre “frequentazioni”, infrangendo così ogni elementare regola di protezione della privacy, sia, ancora più grave, le nostre credenziali di accesso (utente e password) ai vari servizi web che possiamo aver memorizzato nel nostro browser per evitare di doverle digitare ogni volta: posta elettronica, account del social network che frequentiamo, servizi bancari on line e quant'altro.
Dico “poteva” perché mi è capitato un fatto un po' strano. Pare che Google abbia risolto il problema.
“Strano”? Che c'è di “strano”? Ogni giorno migliaia di programmi vengono corretti o migliorati, ne sappiamo qualcosa, per esempio, con la fastidiosa frequenza con cui sia Windows che Linux scaricano aggiornamenti pressoché quotidiani. Perché dovrebbe essere “strano” che Google abbia finalmente corretto un suo bug?
Già.
Il punto è questo: ho avuto sentore di questo pericoloso comportamento qualche mese fa, in seguito ad una chiamata di un mio collega d'ufficio (una grossa fetta del mio lavoro consiste nel correre a risolvere problemi legati all'uso del computer nell'ente in cui lavoro – sono un impiegato comunale, settore innovazione tecnologica) che lamentava un fenomeno strano: il suo capo, in ufficio, al suo computer, vedeva la sua posta (non sua “sua”, bensì quella del mio collega); e lui, a casa, vedeva quella del capo. Nel prossimo articolo lo descrivo più in dettaglio. Avendo poco tempo a disposizione (lavoro, famiglia, altri progetti in cantiere), ho rinviato l'analisi del problema. Ora, finalmente, ero riuscito a ritagliarmi qualche ora per fare delle prove, e, finalmente, giorno 10 marzo 2015 (un paio di giorni fa, quindi), produco il video che mostra ciò che accade. Ero al settimo cielo: aver scoperto una magagna del genere avrebbe potuto farmi diventare famoso, con tutto quello che ciò comporta. A cominciare dal fatto che forse avrei potuto vendere qualcuno dei libri che ho pubblicato e che il mondo intero ha finora ignorato. Perché, non so se solo in Italia, o anche nel resto del mondo, non solo si legge poco, ma si legge pure strano. Se un calciatore, o un ex protagonista del Grande Fratello, pubblica un libro, si fa la fila per accaparrarsene una copia, a prescindere del valore letterario che una simile opera, con simili premesse, possa garantire. Se pubblica un libro uno che fa solo quello, scrive, appunto, il fatto viene totalmente snobbato. Perché un libro si vende, e pertanto un editore è disposto a pubblicarlo, non se, o perché, è scritto bene, ma solo se chi l'ha scritto è uno famoso. Un po' come se uno decidesse di farsi curare una carie da un neurochirurgo perché celebre ed affermato. Ma è così che funziona, e non c'è molto da fare.
Ed ora sarei stato famoso!
Solo che il video era venuto uno schifo. Soprattutto, il mio commento vocale. Scrivere è quello che so fare meglio, e non è neppure detto che lo faccia bene. Parlare in pubblico, una delle cose che mi riesce meno, quindi figuriamoci il risultato! Ed io stavo potenzialmente parlando a milioni di ascoltatori. Così avevo pensato di rifarlo, sperando di far tesoro della precedente esperienza. Alle sei del mattino di giorno 11 marzo, attivo il registratore dello schermo (Debut Video Capture), avvio la sequenza delle operazioni da registrare… e non funziona più niente.
Google aveva corretto il bug… o ha semplicemente alterato le condizioni in cui questo si scatena, ma chi ce l'ha il tempo, e la voglia, di rimettersi a fare prove?
Questo, il giorno dopo le mie prove, e la registrazione di ciò che accadeva. Dopo almeno mesi dall'attivazione di questa funzionalità.
Se avessi la vocazione del complottista, potrei sostenere che ormai ogni nostra azione quotidiana viene controllata da un Grande Fratello (quello di Orwell, non di Canale 5). Che le mie manovre erano state intercettate, e che questo immenso controllore era corso frettolosamente ai ripari. Pare che adesso si rifiuti addirittura di memorizzare la “sua” password di accesso. Ma dovrei essere un complottista spinto: pensare che miliardi, ormai, di individui possano essere spiati in ogni istante della loro presenza al proprio computer… impresa impossibile: occorrerebbero risorse di calcolo immense, risorse finanziarie altrettanto smisurate, un esercito di addetti…
Beh, a risorse di calcolo… chi più di un colosso come Google? E denaro… accidenti, non è che all'azienda californiana gliene manchi. E personale… beh, potrebbe essere sostituito con programmi idonei, sul genere intelligenza artificiale, capaci di scandire in microsecondi il lavoro che ciascuno di noi svolge nello spazio di alcune ore…
Accidenti, sto parlando come Castle (quello dell'omonima serie di telefilm, chi la segue potrà capirmi)…
No, è molto più semplice, e ragionevole, pensare ad un caso, una coincidenza… oltre che ad una massiccia dose di sfortuna.
Tuttavia, non tutto è perduto.
Fino al 10/03/2015, ed almeno per qualche mese, quella bestia ha funzionato. E, magari, un po' di gente si è trovata a subirne gli effetti, com'è capitato a quel mio collega di ufficio ed al suo capo. In quel caso, un semplice fastidio ed un curioso rompicapo. Ma non sempre distribuire le proprie password ha conseguenze così modeste. Per cui il mio lavoro potrebbe servire almeno a mettere in allarme chi si è trovato nelle condizioni descritte dal video, e magari pensa oggi di poter dormire sonni tranquilli. Che potrebbe aver lasciato le proprie credenziali di accesso in un Internet cafè, o a casa di un amico poco sincero, o potrebbe essersele lasciate trafugare semplicemente per aver concesso a qualcuno di inviare un'email o consultare la propria posta elettronica dal suo computer. Allarmare, e convincerlo almeno a fare velocemente una cosa: cambiare tutte le password che ha memorizzate nel proprio browser. Magari, prima che lo faccia qualcun altro. E poi tornare a dormire.
Sarà un articolo un po' “tecnico”, e questo potrebbe scoraggiare qualcuno dal leggerlo. Per questo, propongo ora un “prologo” dal carattere propedeutico, più divulgativo, meno ostico… spero.
Mi auguro che molto di quello che sto per spiegare sia già di vostra conoscenza, vorrà dire che siete pronti per l'articolo vero e proprio. In caso contrario, spero lo sarete dopo aver letto questo.
Prima di tutto, vediamo cos'è oggi Internet. Una cosa molto diversa da quello degli albori. Allora, era una specie di bazar delle meraviglie, dove ti collegavi ed avevi mezzo mondo davanti: musica, immagini, programmi, informazioni… ogni ben di Dio a disposizione. Bastava un click, ed era tutto tuo. Magari anche qualche virus, ma si sa, niente e nessuno è perfetto a questo mondo.
Anche oggi è così, in un certo senso. Solo che allora eri solo uno spettatore, il cliente molto privilegiato di un fantastico mercatino del tutto (o quasi) gratis. Oggi sei anche attore, protagonista. Internet non è più solo una spettacolare vetrina, ma uno strumento attraverso il quale puoi immettere contenuti ed effettuare operazioni. Puoi creare un blog, e pubblicare quello che vuoi, diventando autore, e non più semplice fruitore, del materiale esposto; puoi, attraverso i social network, scambiare informazioni, opinioni, sensazioni, commenti, tutto quello che ti passa per la testa con i tuoi contatti sparsi per il mondo; puoi gestire il tuo conto corrente bancario, prenotare viaggi, frequentare corsi… inutile, e forse anche impossibile, fare un elenco completo di tutte le attività che si possono svolgere con una semplice connessione.
Per ciascuna di queste attività, tipicamente, bisogna registrarsi ad un servizio disponibile sul web, e quindi accedervi quando serve, o lo si desidera, effettuando quello che si chiama “login”: nel browser che utilizzate (sapete cos'è un “browser”, vero? È il programma di cui vi servite per navigare nella rete: Internet Explorer, Mozilla Firefox, Google Chrome, per citare i più famosi) compare, da qualche parte, una “form” che vi invita ad inserire Utente e Password. Il nome Utente è quello con cui vi siete registrati al servizio, e la password è quella parola segreta (così segreta che non viene nemmeno visualizzata quando la digitate) che scegliete e dovete conoscere solo voi per evitare che qualcun altro si “logghi” al vostro posto, ed al posto vostro faccia cose che, probabilmente, voi non fareste: pubblicare oscenità su Facebook, acquistare un biglietto d'aereo per una località dove non avete nessuna intenzione di recarvi, svuotare il vostro conto bancario, ecc.
Magari nel computer dell'ufficio no, ma al sicuro della vostra casetta, sul vostro pc, avrete, immagino, l'abitudine di fare un paio di cosette.
La prima è far memorizzare al vostro browser gli indirizzi ai quali vi collegate più frequentemente, per evitare di digitarli ogni volta (e quanto è seccante scrivere quegli indirizzi assurdi!). In Internet Explorer e Google Chrome, gli elenchi di questi url (in gergo, si chiamano così) sono detti “Preferiti”; in Mozilla Firefox vengono chiamati “Segnalibri”. Se volete collegarvi a Facebook non dovete scrivere ogni volta https://www.facebook.com/ nella barra degli indirizzi (e quello di Facebook, alla fine, non è niente di particolare, ma ne esistono altri che sono a dir poco raccapriccianti), ma cliccare semplicemente sulla voce registrata in questi elenchi.
La seconda, è quella di memorizzare, una volta per tutte, nome utente e password per accedere ai vari servizi cui siete registrati. Un'altra seccatura, specie se siete stati accorti e, per proteggere efficacemente i vostri accessi, avete scelto password efficaci, quindi piuttosto lunghe, contenenti caratteri sia maiuscoli che minuscoli, cifre, segni di punteggiatura, e prive di un qualsiasi significato (non “pippo”, quindi, ma qualcosa come “a4X?7@pZ99h”), e da digitare al buio, senza avere neppure la possibilità di vedere cosa state scrivendo… In questo caso, se, per esempio, dopo esservi collegati, volete entrare in Facebook, non avete ogni volta la necessità di scrivere l'indirizzo email o il numero di telefono con cui vi siete registrati, e la mostruosa password che vi siete inventati: i campi di login vengono riempiti in automatico, e basta cliccare su “Accedi” per essere dentro. Addirittura, neppure questo, se avete a suo tempo spuntato la casellina con accanto la dicitura “Resta collegato”.
Preferiti (o Segnalibri) e password vanno ovviamente difesi col sangue. I primi, per una semplice questione di privacy. Le seconde, per ovvi motivi di sicurezza. A meno che non vi faccia paura restare senza un centesimo in banca o farvi buttare giù dal letto dall'antiterrorismo, alle cinque del mattino, per le minacce di natura islamica apparse su Twitter o Facebook con la vostra firma.
Esattamente le informazioni che un uso poco attento… o molto, e criminosamente, attento… di Google Chrome rischiava di consegnare nelle mani sbagliate.
Prima di chiudere, vorrei spendere qualche parola sul servizio di webmail. Era la trappola più insidiosa che il nostro amabile browser poteva utilizzare per farci fuori i nostri segreti più intimi… e dispendiosi.
Forse il primo dei servizi resi disponibili con la nascita della rete è quello di posta elettronica. Suppongo sia inutile spiegare di che si tratti.
Esistono, oggi, due modi per gestire le nostre e-mail.
Il primo è quello di installare, o semplicemente utilizzare, visto che è installato di default con quasi tutti i sistemi operativi, un programma definito “client di posta”. Ne esistono di gratuiti, come Outlook Express, Thunderbird, Live Mail, e a pagamento, come l'Outlook della Microsoft. In questo caso, una volta configurato con i parametri del nostro account, il programma si collega al server che gestisce la nostra casella di posta elettronica, e scarica sul nostro pc le e-mail che ci sono state inviate, tipicamente rimuovendole dal server (se non si è impostato il contrario), in modo da lasciarlo sempre vuoto ed evitare che, a lungo andare, si riempia, e non sia più in grado di ricevere altre missive. Le e-mail che invece spediamo noi sono archiviate nel nostro pc, e vengono inoltrate al server solo perché questo le invii ai destinatari. È un sistema molto comodo ed efficiente per gestire la nostra corrispondenza, con, credo, una sola controindicazione: se vogliamo consultare le nostre e-mail, o spedirne di nuove, dobbiamo essere davanti al nostro computer.
Il secondo modo consiste nell'utilizzare un servizio che praticamente ogni provider di posta elettronica oggi offre, chiamato webmail. In quest'altro caso, ci si collega con un browser al sito che offre il servizio, così come ci colleghiamo a Facebook, a rossovenexiano, al nostro conto bancario on line, inserendo le proprie credenziali di accesso, e si gestisce la posta direttamente sul server: nella cartella “Posta in arrivo” troviamo le e-mail che ci sono state inviate, e se ne mandiamo una noi questa viene conservata, sempre sul server, nella cartella “Posta inviata”.
Il punto a sfavore di questa soluzione è che non possiamo conservare per sempre la nostra corrispondenza, perché questa occupa spazio, e con il passare del tempo consuma quello che il provider mette a nostra disposizione. Quindi bisognerà preoccuparsi di cancellare sistematicamente ciò che non serve più per evitare di riempire la nostra casella e quindi bloccarla: una volta piena non sarà in grado di ricevere altra posta (non saprebbe “dove” metterla), né noi potremo spedire altre e-mail visto che queste dovrebbero essere conservate nella cartella “Posta inviata” della stessa casella. Certo, anche il nostro pc ha un limite del genere, ma tipicamente di un paio di ordini di grandezza superiore di quello imposto dal server. Per fare un esempio, credo che il provider più generoso in termini di spazio sia Google, che offre oggi fino a 15 GB. Il computer meno dotato oggi in commercio credo parta con un disco da 500 GB, e con una sessantina di euro è possibile comprare un disco esterno da 1 TB (1 Terabyte = 1000 Gigabyte).
Il punto a favore è che, oltre ad essere più semplice da utilizzare (niente impostazioni sul client, niente parametri strani ed incomprensibili ai più da impostare), con questo sistema è possibile controllare la propria posta elettronica in qualsiasi posto nel mondo, basta avere davanti un pc con un browser ed un collegamento ad Internet. Puoi essere nella sala computer di una università, in un Internet cafè, a casa di un amico, nel tuo o in un altrui ufficio… Basta chiedere il permesso al proprietario, collegarsi alla propria webmail, e fare quello che si desidera o necessita.
Qualcosa che molti di noi avranno fatto un mucchio di volte, chiedendo, o permettendo a qualcun altro, di controllare la propria posta…
Una innocente cortesia che, d'ora in poi, dopo la lettura del mio prossimo articolo, sarebbe stato bene negare. Ora, forse non più.
Almeno, fino a prova contraria.
»
- Blog di Pest Writer
- 923 letture