UK: Digital Economy Bill

La settimana scorsa il governo inglese ha pubblicato il Digital Economy Bill:

Today, the Bill is published. It is made up of the actions in the Digital Britain Final Report that need primary legislation. That means it covers a really wide range of areas – from digital radio, to copyright reform, to spectrum, and then some – all focused on supporting the nation’s digital future

Le sezioni 18 e 19, in particolare, parlano della gestione dei nomi di dominio (quindi di Nominet). Sono un po’ lunghe, però il concetto è che il governo può nominare il “manager” (credo intenda il CEO) del registry inglese, se creda sia opportuno e, in generale, se pensa che questo abbia “fallito in relazione ai suoi doveri”. Per fallimento si intende:

A relevant failure is serious, for the purposes of this section, if it has adversely affected or is likely adversely to affect—

• the reputation or availability of electronic communications networks or electronic communications services provided in the United Kingdom or a part of the United Kingdom, or
• the interests of consumers or members of the public in the United Kingdom or a part of the United Kingdom.

In altre parole, se Nominet non si attiva per proteggere l’interesse degli utenti finali di internet il governo potrebbe decidere che Internet non riesce a auto-regolamentarsi e che ha bisogno dell’intervento diretto del governo per funzionare come si deve.

A stretto giro di posta, la risposta di Nominet.

Vedremo come andrà a finire. La sensazione, qui, è che c’é in gioco qualcosa di più dello statuto di un’azienda.

Ok, stiamo parlando di cyber-attacco

Nemmeno il tempo di scrivere il post precedente e mi imbatto in questo articolo di Wired:

Future of Cyber Security: What Are the Rules of Engagement?

[...] there are numerous questions — ethical, legal and even bureaucratic — that need to be sorted out about the rules of engagement before the U.S. launches any cyber volleys in retaliation for an attack or otherwise. The most basic being, what constitutes an attack, how do we identify its source and what’s an acceptable response?

In a battle where the militarized zone exists solely in the ether(net) [...] how do we fight, let alone find, the enemy? [...]

And how do we know if the anonymous cyberwarrior attacking us is a soldier from the Red Army or just a Jolt-guzzling teen in his mother’s basement.[...]

Should the U.S. take action against a band of student hackers in China suspected of working for their government if Chinese authorities deny responsibility for their aggression?

Furthermore, if computers running NASDAQ trades are brought to a halt in a cyber attack, is that a criminal offense for the FBI to investigate or a national security incident worthy of a counterstrike?

E poi c’è la storia del team di brillanti ingegneri informatici che utilizzano, per primi, il nuovo algoritmo crittografico MD6. Poi si scropre che MD6 ha una falla, ma i bravi ingegneri lavorano sodo e creano una patch per la loro applicazione Windows, che quindi è pronta per diferendersi dagli attacchi informatici.

Peccato che questa applicazione si chiami Conficker.

Cyber-attacco o cyber-difesa?

Spesso diciamo che, in campo tecnologico, l’America è 10 anni avanti:

The U.S. government on Monday launched a national talent search for high school and college students interested in working in cybersecurity.

With the U.S. Cyber Challenge the goal is to find 10,000 young Americans to be “cyber guardians and cyber warriors,” according to a statement from the Center for Strategic & International Studies, which is sponsoring the event.

È una buona notizia, un governo che capisce l’importanza della rete nella società moderna, o è cattiva, con Internet che diventa “pericoloso” e i governi che si affannano a monitorarlo e controllarlo?

President Obama said in May that the U.S. government “is not as prepared” as it should be to respond to disruptions caused by Internet attacks. And last week, a study from the Partnership for Public Service concluded that shortages in federal cybersecurity workers and a lack of leadership threaten national security.

Io propendo per la seconda (via Alfonso Fuggetta).

Oxford: La mappa interattiva del crimine

L’Inghilterra, si sa, è il posto dove se ti ubriachi poi fai a pugni, sennò “che uomo sei?”

A quanto pare la città-tipo inglese è Oxford in termini di demografia, pericolosità e “abitudini serali”. In un tranquillo week-end (di paura?) la maggior parte dei crimini è legata all’alcol e ubriaca è la maggior parte delle persone che viene ricoverata al Radcliffe Hospital il venerdì sera.

Per descrivere cosa succede la sera in una “tipica” cittadina inglese, la BBC e la polizia hanno creato una mappa del crimine interattiva che mostra i “pattern criminali” (dove e quando si concentra la maggior parte dei crimini) e la loro evoluzione nel tempo. Come sempre, in questi casi, è più difficile da spiegare che da usare:

The Oxford Crime Map

PS: c’è una buona notizia, e cioè, da qualche anno questo tipo di crimini stanno diminuendo.

Intercettare Skype e il VoIP

Press release di Eurojust (via Repubblica):

Eurojust is a new European Union body established in 2002 to enhance the effectiveness of the competent authorities within Member States when they are dealing with the investigation and prosecution of serious cross-border and organised crime.

At the request of Direzione Nazionale Antimafia in Rome, the Italian Desk at Eurojust will play a key role in the coordination and cooperation of the investigations on the use of internet telephony systems (VoIP), such as “Skype”. Eurojust will be available to assist all European law enforcement and prosecution authorities in the Member States. The purpose of Eurojust’s coordination role is to overcome the technical and judicial obstacles to the interception of internet telephony systems, taking into account the various data protection rules and civil rights.

… siamo d’accordo che è impossibile, vero?

UPDATE

Quello che voglio dire è che non è possibile intercettare alcuna comunicazione via internet, se cifrata. A meno che…

…a meno che non vogliano vietare per legge la crittografia. Un po’ come succede tuttora negli USA per chiavi crittografiche di lunghezza superiore a 64 bit (che richiedono una specifica approvazione):

Mass market encryption commodities and software employing a key length greater than 64 bits for the symmetric algorithm [...] remain subject to the EAR and require review by BIS [...]

To request authorization for your “mass market” encryption products[...], you must submit a complete review request to BIS and the ENC Encryption Request Coordinator. The following guidance is designed to help you prepare and submit your requests for 30-day “mass market” encryption revie [...]

(fonte Bureau of Industry and Security US Department of Commerce)

UPDATE 2

… che poi, anche ammesso di voler percorrere una strada di questo tipo (limitare o bloccare specifiche applicazioni), non penseranno che la gente stia lì a guardare… oggi ne parla anche Stefano qui.

Facebook è un forum pubblico

Quella che segue è un post un po’ lungo che rielabora alcuni commenti che ho lasciato nel post di Giovy (ne stanno parlando in diversi):

Attenzione a Facebook: nuove “condizioni d’utilizzo” vessatorie

Tutto comincia con il cambio (in sordina) delle condizioni di utilizzo di Facebook: in pratica è stato eliminato un paragrafo che, secondo alcuni, dava la possibilità di rimuovere i propri dati da Facebook.

Ho letto attentamente:

• Il post e i suoi commenti
• Le condizioni di utilizzo di Facebook
• Le condizioni di utilizzo di Flickr, tanto per fare un confronto
• La risposta di Zuckerberg alle agitazioni degli ultimi giorni

e questa è l’idea che mi sono fatto.

PROPRIETÀ DEI CONTENUTI

La proprietà dei contenuti rimane all’autore. L’autore però permette a FB di utilizzare i suoi contenuti sempre e comunque senza bisogno di ulteriori autorizzazioni e a prescindere dalla licenza (diritti riservati o altro).

Ovvio, altrimenti chiunque potrebbe chiedere i diritti a FB/Flickr o a chiunque altro solo per il fatto di avere quel contenuto sul loro sito. Loro ci fanno affari con il nostro contenuto, ok, ma noi abbiamo il servizio gratuito. È normale, non vedo perché scandalizzarsi.

E se siete curiosi, date un’occhiata alle condizioni di utilizzo di Yahoo!/Flickr, paragrafo 8: http://it.docs.yahoo.com/info/utos.html

DATI PERSONALI SU FACEBOOK

Quella che segue è la mia opinione personale su come stiano esattamente le cose. Potrei sbagliarmi.

Se si pubblica un messaggio in un Forum, non si ha diritto di chiedere che venga rimosso perché è pubblico. Se il Forum necessita di registrazione per essere letto, continua a essere pubblico. Ecco, FB è un grande Forum pubblico sul quale vengono appoggiati veli di visibilità. Ma resta un forum pubblico.

In altre parole, le  varie aree (inbox, chat, wall, foto, etc.) sono pubbliche e unrestricted. Sono “tutti gli altri utenti”, piuttosto, che hanno visibilità limitata se cercano di accedere ad alcune aree, come ad esempio “messaggi per i quali non sono mittente né destinatario”. Il concetto di privacy, dunque, non è presente in FB come non lo è in un Forum pubblico.

Per questi motivi, non vedo un cambiamento sostanziale nelle recenti modifiche alle condizioni di utilizzo, né ci vedo un peggioramento.

COMMENTI FINALI

1. Quelli di FB, il profilo degli utenti cancellati se lo sono sempre tenuti, è storia vecchia
2. Sono convinto che FB sia il peggior social network che ci sia in termini di rispetto della privacy e dei dati personali
3. Zuckerberg è un furbo e ha tutto l’interesse a non fare troppa chiarezza sul concetto di privacy in FB

Il “Futuro del Social Networking”

Stavo scrivendo questo post e mi sono reso conto che capitava a fagiolo (che brutta espressione!) con il lancio di Google Latitude, il social network che promette di avere sempre sotto controllo la mappa (geografica) dei tuoi amici.

***

A Gennaio si è tenuto a Barcellona un Workshop sul Futuro del Social Networking sponsorizzato dal W3C e qualche giorno fa ne è uscito il report. È interessante leggere le considerazioni che sono state espresse a proposito della privacy nei social network (da notare che erano presenti molte aziende che operano nel settore):

“forcing users to create accounts and record their data across many of these networks was counter-productive…

A decentralized architecture… would allow the user to choose how many accounts and profiles she desires…

… social networking technologies needed to preserve the possibility for a user to fragment its identity across various profiles, and, in an increasingly context-sensitive setting, to hide, blur or lie about the user’s current context, as a minimal option to protect privacy…

the difficulty of getting users to recognize the privacy-implications of their behavior on social networks… was found to stand as a great obstacle to the deployment of any technical solution…”

In pratica, i produttori di social network si stanno lentamente accorgendo che gli utenti non sono “sterminate praterie di dati personali che aspettano solo di essere raccolti”. E si sono anche accorti resi conto che se gli utenti non comprendono le implicazioni delle loro azioni sulla privacy, questo, in ultima analisi, rischia di danneggiare l’azienda stessa, perché gli utenti potrebbero decidere di rigettarne l’applicazione (questa, in realtà, è una considerazione mia).

Naturalmente, non è che adesso tutti cominceranno ad andare nella direzione opposta, sia chiaro: in fondo, partecipare a un social network, “fare rete”, vuol dire, per definizione, rinunciare a parte della propria privacy. Però fa piacere che anche “là fuori” qualcuno stia cominciando a interessarsi a questo problema.

Google e StopBadware.org

UPDATE (18:55): dopo aver tentato di dare la colpa a StopBadware.org , a Google si sono accorti che qualcuno ha inserito ‘/’ fra gli indirizzi pericolosi e che questa semplice stringa sia stata interprata, più o meno, come “tutto il web è pericoloso”. A me questa spiegazione sembra debole.

Nel frattempo, leggo, sempre dal blog di StopBadware.org, che l’enorme traffico generato dalle pagine di errore di Google ha effettivamente bloccato il loro sito.

—

Questo uno screenshot di oggi pomeriggio della pagina dei risultati di Google a seguito della query “Repubblica.it” (vedi anche qui cosa è successo):

“This site may harm your computer” Oibò!!! Che qualche spiritosone abbia infettato i server di Repubblica.it? In realtà, qualche problema nei server di Google ha fatto sì che qualsiasi sito internet fosse considerato potenzialmente dannoso, da qui la scritta sotto a ogni risultato di ricerca e l’impossibilità di connettersi alla relativa pagina web.

A quegli impavidi che, noncuranti del pericolo, tentavano di raggiugere il tanto agognato sito web appariva questo:

Curiosando un po’ su Wikipedia si legge che:

StopBadware.org is a consumer-oriented nonprofit organization aimed at fighting malicious software, or “badware”. The organization is run by the Berkman Center for Internet and Society at Harvard Law School, and Oxford University’s Oxford Internet Institute. Support is being provided by Google, Mozilla, Lenovo, PayPal, VeriSign, and Sun Microsystems…

Per cui, molto probabilmente, quelli Google hanno fatto qualche esperimento, magari hanno provato qualche nuova funzionalità e la cosa gli è sfuggita di mano.

Per la cronaca, durante il “downtime” io ho utilizzato Yahoo. Mi chiedo quanti abbiano fatto la mia scelta e se Yahoo abbia sperimentato un picco delle richieste in questo periodo (così come deve essere successo a stopbadware.org, che al momento è raggiungibile a singhiozzo).

PS: sì, concordo con Luca de Biase, questi sono stati minuti di ansia.

UK e consultazione pubblica sul P2P

(via Linx)

Qualche mese fa il BERR (ministero inglese per il commercio, più o meno) ha avviato una consultazione pubblica sul tema del copyright su reti P2P.

Oggi sono usciti i primi risultati, contenenti le risposte fornite da chi ha compilato il questionario. A questo seguirà la pubblicazione, a fine mese, di una prima versione del Digital Britain Report, che sarà completato in Primavera.

Quello che salta all’occhio è una generale contrarietà al coinvolgimento degli ISP nella selezione degli utenti (o dei contenuti) che infrangono le leggi. Le motivazioni sono varie: difficoltà tecniche, dubbi sulla legalità di tali soluzioni e rischi legati alla privacy e sicurezza dei dati.

Come dicevo, sono tutti contro, fuorché i soggetti detentori di copyright…

***

In attesa del rapporto del governo, vi copio e incollo le 4 possibili alternative di regolamentazione del traffico P2P che sono state individuate dal governo e su cui è stata aperta la consultazione (consultation on legislative options to address illicit peer-to-peer (P2P) file-sharing):

1. Option A1: Streamlining the existing process by requiring ISPs to provide
   personal data relating to a given IP address to rights holders on request without them needing to go to Court
2. Option A2: Requiring ISPs to take direct action against users who are
   identified by the rights holder as infringing copyright through P2P…
3. Option A3: Allocating a third party body to consider evidence provided by
   rights holders and to direct ISPs to take action against individual users as required, or to take action directly against individual users
4. Option A4: Requiring that ISPs allow the installation of filtering equipment
   that will block infringing content…

Se posso dare il mio modesto parere, l’unica fattibile, legalmente e tecnicamente, mi sembra la A3. Poi, naturalmente, fra il dire e il fare…

Twitter e identità digitale nei social network

Che succede se qualcuno ti “ruba” l’account su Twitter? Nel momento in cui sto scrivendo, ad esempio, l’account “Microsoft” (http://twitter.com/microsoft) è vuoto e non appartiene all’azienda produttrice di Windows.

Uno “scherzo” come questo, nel campo dei domini internet, si chiama typosquatting (ne avevo già parlato da qualche parte): il nome (trademark) di un’azienda famosa (Microsoft, in questo caso) viene sfruttato per attirare traffico verso un sito o un servizio che con Microsoft non ha niente a che vedere. Il typosquatting non è legale e l’ICANN gestisce i casi dubbin tramite  attraverso l’UDRP.

Twitter è un giochino carino, a volte utile, ma non fondamentale per il funzionamento di Internet. E se un giorno diventasse importantissimo? Sarebbe corretto che l’account Microsoft non fosse assegnato a chi, normalmente, ne avrebbe diritto?

Un anno fa Steve Poland fa incetta di account Twitter con l’intento dichiarato di rivenderli quando avranno acquisito valore. Uultimamente, però, se li vede annullare uno a uno per essere restituiti ai “legittimi proprietari”. Io penso che la decisione sia stata corretta (Steve Poland è solo uno speculatore). In generale, però, Steve ha ragione quando si chiede

I’m just wondering, when does it end? My personal twitter account is STP — are you going to pull that from me when STP (motor oil company) or Stone Temple Pilots comes to you guys and claims trademark infringement? My initials are STP — as in, “Steven Thomas Poland.”

Stiamo parlando di identità digitale: FaceBook, MySpace, Second Life e qualsiasi applicazione Web 2.0 identifica i propri utenti tramite un nickname univoco. A lungo andare, si crea una relazione forte fra utente reale e suo alter ego digitale un po’ come capita già fra un’azienda e il suo marchio. Da qui nascono due problemi importanti e contrapposti:

1. Il problema della continuità, stabilità e persistenza del doppio virtuale dell’utente. La sicurezza, cioè, che un nickname o un account non venga cancellato, riassegnato e sospeso, magari perché inutilizzato per un certo periodo di tempo o perché richiesto da qualche entità terza che non ne abbia diritto.
2. Il problema del Yet Another Social Network, il rischio, cioè, che l’identità che è di un utente in un’applicazione (spesso, lo ripeto, consiste di un semplice nickname) sia assegnata (magari anche in modo legittimo) a un altro utente in un’altra applicazione (UPDATE: per l’appunto, qui si parla di Reverse User Name Hijacking)

Esistono delle proposte in questo senso (OpenID, ad esempio) ma, oltre a non essere soluzioni definitive, sono, per ora, gestite da compagnie private, che non è il massimo.

Io credo che il problema dell’identità digitale, con tutti i suoi risvolti tecnici e legali, non sia ancora stato compreso e affrontato adeguatamente e mi chiedo se sia necessario, nel prossimo futuro, iniziare una riflessione di ampio respiro su questo tema (di typosquatting, ad esempio, si parla da anni e ormai c’è anche una certa letteratura legale a riguardo. Ma il problema è ancora lungi dall’essere risolto).

Per ulteriori approfondimenti consiglio la lettura di Social Media User Names Becoming More Like Domain Names apparso su DomainNameNews qualche giorno fa.