Nuovi gTLD? non prima di qualche anno

…la risposta di Robin Gross, Chair di ICANN’s Noncommercial Users Constituency (NCUC), alla domanda di Gray Chynoweth per CircleID.

Le altre interviste qui.

Ok, stiamo parlando di cyber-attacco

Nemmeno il tempo di scrivere il post precedente e mi imbatto in questo articolo di Wired:

Future of Cyber Security: What Are the Rules of Engagement?

[...] there are numerous questions — ethical, legal and even bureaucratic — that need to be sorted out about the rules of engagement before the U.S. launches any cyber volleys in retaliation for an attack or otherwise. The most basic being, what constitutes an attack, how do we identify its source and what’s an acceptable response?

In a battle where the militarized zone exists solely in the ether(net) [...] how do we fight, let alone find, the enemy? [...]

And how do we know if the anonymous cyberwarrior attacking us is a soldier from the Red Army or just a Jolt-guzzling teen in his mother’s basement.[...]

Should the U.S. take action against a band of student hackers in China suspected of working for their government if Chinese authorities deny responsibility for their aggression?

Furthermore, if computers running NASDAQ trades are brought to a halt in a cyber attack, is that a criminal offense for the FBI to investigate or a national security incident worthy of a counterstrike?

E poi c’è la storia del team di brillanti ingegneri informatici che utilizzano, per primi, il nuovo algoritmo crittografico MD6. Poi si scropre che MD6 ha una falla, ma i bravi ingegneri lavorano sodo e creano una patch per la loro applicazione Windows, che quindi è pronta per diferendersi dagli attacchi informatici.

Peccato che questa applicazione si chiami Conficker.

Cyber-attacco o cyber-difesa?

Spesso diciamo che, in campo tecnologico, l’America è 10 anni avanti:

The U.S. government on Monday launched a national talent search for high school and college students interested in working in cybersecurity.

With the U.S. Cyber Challenge the goal is to find 10,000 young Americans to be “cyber guardians and cyber warriors,” according to a statement from the Center for Strategic & International Studies, which is sponsoring the event.

È una buona notizia, un governo che capisce l’importanza della rete nella società moderna, o è cattiva, con Internet che diventa “pericoloso” e i governi che si affannano a monitorarlo e controllarlo?

President Obama said in May that the U.S. government “is not as prepared” as it should be to respond to disruptions caused by Internet attacks. And last week, a study from the Partnership for Public Service concluded that shortages in federal cybersecurity workers and a lack of leadership threaten national security.

Io propendo per la seconda (via Alfonso Fuggetta).

Oxford: La mappa interattiva del crimine

L’Inghilterra, si sa, è il posto dove se ti ubriachi poi fai a pugni, sennò “che uomo sei?”

A quanto pare la città-tipo inglese è Oxford in termini di demografia, pericolosità e “abitudini serali”. In un tranquillo week-end (di paura?) la maggior parte dei crimini è legata all’alcol e ubriaca è la maggior parte delle persone che viene ricoverata al Radcliffe Hospital il venerdì sera.

Per descrivere cosa succede la sera in una “tipica” cittadina inglese, la BBC e la polizia hanno creato una mappa del crimine interattiva che mostra i “pattern criminali” (dove e quando si concentra la maggior parte dei crimini) e la loro evoluzione nel tempo. Come sempre, in questi casi, è più difficile da spiegare che da usare:

The Oxford Crime Map

PS: c’è una buona notizia, e cioè, da qualche anno questo tipo di crimini stanno diminuendo.

PhD in digital identities

Nel caso qualcuno fosse interessato: PhD studentships at Oxford Brookes University.

Vi segnalo, in particolare, il tema sulle digital identity, che mi vedrà, iin parte, coinvolto. Per informazioni l’email la trovate qui.

Digital Identity
Supervisors: Prof David Duce, Dr Faye Mitchell

In the digital age, the question of what constitutes “identity” becomes ever more complex, and the threat of identity theft continues to alarm. There is a growing literature on the problems of identity management and issues such as trustworthiness and privacy. In the past, solutions based on central authorities have been explored, but the difficulty of reconciling them with a networked world which is completely decentralised by its very nature has led to only partial adoption of these solutions. A practical line of development is by federating heterogeneous identity management frameworks. But there are much deeper research questions that should be addressed: what is a digital identity for Internet users, companies and for other institutions; is a digital identity unique in the Internet or is it only meaningful within a certain scope, such as a geographical locality or a limited time window; how does identity interact with privacy and how is trust defined among identities.

Nuovi domini registrati a nome di Michael Jackson

A proposito, ho scritto un post sul blog di Nominet a proposito di un picco di registrazioni di nomi di domini “.uk” che sfruttano la morte del cantante. Ve lo riporto integralmente.

The day following the death of Michael Jackson, Google published a graph showing that their system were heavily hit by queries related to this news. Details can be found on the Google Official Blog.

Our experiments suggest that Nominet systems experienced an analogous, although orders of magnitude smaller, phenomenon. The following figures show the number of new registrations per hour of domain names that contain the name of Michael Jackson (or part of it) and the number of WHOIS queries that Nominet systems received in the same period.

The two graphs are highly correlated because it is common practice for domain name owners to make WHOIS lookups around the period of time they register new domains. The peak around the 27 of June in the second graph is probably related to news stories concerning suspicions about Michael’s death.  Apparently, it did not lead to an immediate rise in the number of domain name registrations.

We have conducted an informal analysis of the domain names that were registered in the last week. The majority of them belong to three categories: parking pages, commercial pages and commemorative sites such as blogs and forums. At the moment, we have no evidence of domain names used for scam or phishing.

In general, this episode confirms (again) that the dynamics of the Domain Name System follow those of the “real world”. A question that is still partially unanswered is at which degree these dynamics are followed by Internet users, i.e. how much their navigation behaviour depends on news stories. In the following months we plan to study the correlation between DNS data and other public events. Google has done something similar in the past, by correlating Google searches for flu-related terms with the spread of flu in North America. The results are very interesting and definitely merit extension to other data sources such as DNS traffic.

Typosquatting: the “curse” of popularity

Con colpevole ritardo, riemergo da un po’ di viaggi in giro per l’Europa. Sono stato ad Atene, alla Web Science Conference, dove ho presentato un poster su typosquatting. Poi sono volato a Milano, al Security Summit 2009, a cui sono seguiti un paio di giorni “back home”. Una settimana in Inghilterra e ora di nuovo in Italia, per un po’ di meritate (spero ) vacanze.

So che non c’è niente di peggio di un report arrivato fuori tempo massimo, tuttavia, vi prometto che nei prossimi giorni posterò qualche nota e commento su queste due conferenze che mi hanno molto positivamente colpito.

Oggi, cominciamo dal mio paper, che un po’ di “self-advertising” non guasta mai

• Typosquatting is the practice of registering a domain name with the intent to confuse it with the name of a trademark or a famous domain name (trademark infringement on domain names).
• The neighbourhood N_d(x) of a domain name x is the set of all domain names in the registry whose distance d() from x is lower than a threshold th_d and we denote its cardinality as |N(x)|.
• A distance function d() is a transformation in the space of domain names.

Ad esempio, googgle.co.uk e goog1e.co.uk fanno parte del neighbourhood di google.co.uk. Abbiamo effettuato un po’ di esperimenti sul registro ‘.uk’ e i risultati sono abbastanza interessanti.

Infine, qualche considerazione sugli effetti che una pratica come quella del typosquatting potrebbe avere sul concetto di identità digitale:

• Social networks and Web 2.0 applications rely on a loose concept of digital identities based on simple identifiers
  • Which are the risks associated to typo-squatting in these scenarios?
  • How would they benefit from a cluster-based analysis?
• We should move towards a concept of digital identity associated to a cluster in some identifier space
• The cluster comprises a primary identifier and secondary identifiers that are mapped to it

Se questo argomento vi incuriosisce, lasciatemi pure un commento o scrivetemi una mail. Oppure date un’occhiata al full paper o al poster (entrambi scaricabili gratuitamente dal sito della conferenza).

Web Science 2009 Conference

Dal 18 al 20 Marzo sarò alla Web Science 2009 conference (http://websci09.org/). È la prima conferenza sulla “Scienza del Web” organizzata dalla Web Science Research Initiative (WSRI). Durante l’evento di apertura, il WWW forum, ci saranno Tim Berners-Lee e Joseph Sifakis che discuteranno del futuro del web.

La conferenza è stata pensata in un’ottica multidisciplinare perché multidisciplinare è l’ambito a cui la “Scienza del Web” si rivolge. Dal call for paper (grassetto mio):

Web Science focuses on understanding, designing and developing the technologies and applications that make up the World Wide Web. But the WWW does not exist without the participation of people and organizations [...]

… e chi sono, cosa fanno e come partecipano queste persone e queste organizzazioni?

How do people and organisations behave on-line – what motivates them to shop, date, make friends, learn, participate in political life or manage their health or tax on-line?

Which Web-based designs will they trust? [...]

How can the dark side of the Web – such as cybercrime, pornography and terrorist networks – be both understood and held in check without compromising the experience of others? [...]

And how can the design of the Web of the future ensure that a system on which – as Tim Berners-Lee put it – democracy and commerce depends remains ’stable and pro-human’?

Facebook è un forum pubblico

Quella che segue è un post un po’ lungo che rielabora alcuni commenti che ho lasciato nel post di Giovy (ne stanno parlando in diversi):

Attenzione a Facebook: nuove “condizioni d’utilizzo” vessatorie

Tutto comincia con il cambio (in sordina) delle condizioni di utilizzo di Facebook: in pratica è stato eliminato un paragrafo che, secondo alcuni, dava la possibilità di rimuovere i propri dati da Facebook.

Ho letto attentamente:

• Il post e i suoi commenti
• Le condizioni di utilizzo di Facebook
• Le condizioni di utilizzo di Flickr, tanto per fare un confronto
• La risposta di Zuckerberg alle agitazioni degli ultimi giorni

e questa è l’idea che mi sono fatto.

PROPRIETÀ DEI CONTENUTI

La proprietà dei contenuti rimane all’autore. L’autore però permette a FB di utilizzare i suoi contenuti sempre e comunque senza bisogno di ulteriori autorizzazioni e a prescindere dalla licenza (diritti riservati o altro).

Ovvio, altrimenti chiunque potrebbe chiedere i diritti a FB/Flickr o a chiunque altro solo per il fatto di avere quel contenuto sul loro sito. Loro ci fanno affari con il nostro contenuto, ok, ma noi abbiamo il servizio gratuito. È normale, non vedo perché scandalizzarsi.

E se siete curiosi, date un’occhiata alle condizioni di utilizzo di Yahoo!/Flickr, paragrafo 8: http://it.docs.yahoo.com/info/utos.html

DATI PERSONALI SU FACEBOOK

Quella che segue è la mia opinione personale su come stiano esattamente le cose. Potrei sbagliarmi.

Se si pubblica un messaggio in un Forum, non si ha diritto di chiedere che venga rimosso perché è pubblico. Se il Forum necessita di registrazione per essere letto, continua a essere pubblico. Ecco, FB è un grande Forum pubblico sul quale vengono appoggiati veli di visibilità. Ma resta un forum pubblico.

In altre parole, le  varie aree (inbox, chat, wall, foto, etc.) sono pubbliche e unrestricted. Sono “tutti gli altri utenti”, piuttosto, che hanno visibilità limitata se cercano di accedere ad alcune aree, come ad esempio “messaggi per i quali non sono mittente né destinatario”. Il concetto di privacy, dunque, non è presente in FB come non lo è in un Forum pubblico.

Per questi motivi, non vedo un cambiamento sostanziale nelle recenti modifiche alle condizioni di utilizzo, né ci vedo un peggioramento.

COMMENTI FINALI

1. Quelli di FB, il profilo degli utenti cancellati se lo sono sempre tenuti, è storia vecchia
2. Sono convinto che FB sia il peggior social network che ci sia in termini di rispetto della privacy e dei dati personali
3. Zuckerberg è un furbo e ha tutto l’interesse a non fare troppa chiarezza sul concetto di privacy in FB

Il “Futuro del Social Networking”

Stavo scrivendo questo post e mi sono reso conto che capitava a fagiolo (che brutta espressione!) con il lancio di Google Latitude, il social network che promette di avere sempre sotto controllo la mappa (geografica) dei tuoi amici.

***

A Gennaio si è tenuto a Barcellona un Workshop sul Futuro del Social Networking sponsorizzato dal W3C e qualche giorno fa ne è uscito il report. È interessante leggere le considerazioni che sono state espresse a proposito della privacy nei social network (da notare che erano presenti molte aziende che operano nel settore):

“forcing users to create accounts and record their data across many of these networks was counter-productive…

A decentralized architecture… would allow the user to choose how many accounts and profiles she desires…

… social networking technologies needed to preserve the possibility for a user to fragment its identity across various profiles, and, in an increasingly context-sensitive setting, to hide, blur or lie about the user’s current context, as a minimal option to protect privacy…

the difficulty of getting users to recognize the privacy-implications of their behavior on social networks… was found to stand as a great obstacle to the deployment of any technical solution…”

In pratica, i produttori di social network si stanno lentamente accorgendo che gli utenti non sono “sterminate praterie di dati personali che aspettano solo di essere raccolti”. E si sono anche accorti resi conto che se gli utenti non comprendono le implicazioni delle loro azioni sulla privacy, questo, in ultima analisi, rischia di danneggiare l’azienda stessa, perché gli utenti potrebbero decidere di rigettarne l’applicazione (questa, in realtà, è una considerazione mia).

Naturalmente, non è che adesso tutti cominceranno ad andare nella direzione opposta, sia chiaro: in fondo, partecipare a un social network, “fare rete”, vuol dire, per definizione, rinunciare a parte della propria privacy. Però fa piacere che anche “là fuori” qualcuno stia cominciando a interessarsi a questo problema.