Cina, Google, GoDaddy e la politica

GoDaddy.com è uno dei più grandi registrar di domini Internet. Di certo non un “cattivo” nel senso internettiano del termine, ma non è nemmeno una pecorella: questa notizia, ad esempio, è datata, ma fa capire che il business dei domini internet ha luci e ombre e non c’è molto spazio per i “buoni”.

Fatta questa premessa, quando vado a leggere che:

In response to new rules, GoDaddy to stop registering domain names in China

anche se mi dovrei stupire, non mi stupisco affatto e mi convinco sempre più che la zona grigia di cui parla Massimo Russo, tanto grigia non è.

Early Career Fellow in Digital Forensics

http://www.jobs.ac.uk/job/AAO504/early-career-fellow-in-digital-forensics-/

Il tema è relativamente libero, in genere si parla di abuse detection su Internet, incluso (ma “not limited to”, come si dice) mining di traffico DNS.

Main duties:
To undertake independent research in digital forensics. Contribute to the management of and where appropriate lead on research projects in this area.

…

Closing date: 19 February 2010
Interview date: 17 March 2010

La deadline è un po’ vicina, ma se qualcuno è interessato faccia un fischio.

Che cosa protegge l’anonimato protetto?

Update: avevo dimenticato il titolo al post!

***

Seguo da un po’, e con interesse, il dibattito sull’anonimato protetto. Prendo spunto da un commento (non molto chiaro, devo dire la verità) ad un post di Stefano Quintarelli e mi chiedo:

Qual è la tipologia di illeciti che si vuole prevenire introducendo l’anonimato protetto nelle reti wireless?

La sicurezza di un sistema informatico non puo’ essere garantita al 100%. Una quasiasi “misura di sicurezza” puo’ bloccare solo quegli illeciti per cui il rapporto costo per aggirarla/beneficio nell’averla aggirata non è (sufficientemente) favorevole.

In altre parole, è vero che l’anonimato protetto permette l’identificazione di un utente che si connette ad un Access Point, ma è anche vero che previene solo quegli illeciti per cui non vale la pena affidarsi a un qualsiasi decente servizio di anonimizzazione.

In questa ottica mi chiedo:

• Qual è il reale beneficio che l’anonimato protetto puo’ portare alla sicurezza informatica?
• Siamo sicuri che non diventi solo un impiccio per chi vuole avere una rete wireless, sia essa domestica o commerciale?

Sinceramente, se la legislazione fosse un pochino più chiara, sarei più che felice di aprire la mia rete domestica, che per la maggior parte del giorno rimane inutilizzata (non lo faccio, non sono coraggioso come Bruce Schneier); e sarei grato a chi facesse lo stesso quando sono io a essere fuori casa. Unica accortezza, vorrei un programmino che fosse in grado di switchare ad una rete protetta quando mi connetto.

UK: Digital Economy Bill

La settimana scorsa il governo inglese ha pubblicato il Digital Economy Bill:

Today, the Bill is published. It is made up of the actions in the Digital Britain Final Report that need primary legislation. That means it covers a really wide range of areas – from digital radio, to copyright reform, to spectrum, and then some – all focused on supporting the nation’s digital future

Le sezioni 18 e 19, in particolare, parlano della gestione dei nomi di dominio (quindi di Nominet). Sono un po’ lunghe, però il concetto è che il governo può nominare il “manager” (credo intenda il CEO) del registry inglese, se creda sia opportuno e, in generale, se pensa che questo abbia “fallito in relazione ai suoi doveri”. Per fallimento si intende:

A relevant failure is serious, for the purposes of this section, if it has adversely affected or is likely adversely to affect—

• the reputation or availability of electronic communications networks or electronic communications services provided in the United Kingdom or a part of the United Kingdom, or
• the interests of consumers or members of the public in the United Kingdom or a part of the United Kingdom.

In altre parole, se Nominet non si attiva per proteggere l’interesse degli utenti finali di internet il governo potrebbe decidere che Internet non riesce a auto-regolamentarsi e che ha bisogno dell’intervento diretto del governo per funzionare come si deve.

A stretto giro di posta, la risposta di Nominet.

Vedremo come andrà a finire. La sensazione, qui, è che c’é in gioco qualcosa di più dello statuto di un’azienda.

Ok, stiamo parlando di cyber-attacco

Nemmeno il tempo di scrivere il post precedente e mi imbatto in questo articolo di Wired:

Future of Cyber Security: What Are the Rules of Engagement?

[…] there are numerous questions — ethical, legal and even bureaucratic — that need to be sorted out about the rules of engagement before the U.S. launches any cyber volleys in retaliation for an attack or otherwise. The most basic being, what constitutes an attack, how do we identify its source and what’s an acceptable response?

In a battle where the militarized zone exists solely in the ether(net) […] how do we fight, let alone find, the enemy? […]

And how do we know if the anonymous cyberwarrior attacking us is a soldier from the Red Army or just a Jolt-guzzling teen in his mother’s basement.[…]

Should the U.S. take action against a band of student hackers in China suspected of working for their government if Chinese authorities deny responsibility for their aggression?

Furthermore, if computers running NASDAQ trades are brought to a halt in a cyber attack, is that a criminal offense for the FBI to investigate or a national security incident worthy of a counterstrike?

E poi c’è la storia del team di brillanti ingegneri informatici che utilizzano, per primi, il nuovo algoritmo crittografico MD6. Poi si scropre che MD6 ha una falla, ma i bravi ingegneri lavorano sodo e creano una patch per la loro applicazione Windows, che quindi è pronta per diferendersi dagli attacchi informatici.

Peccato che questa applicazione si chiami Conficker.

Typosquatting: the “curse” of popularity

Con colpevole ritardo, riemergo da un po’ di viaggi in giro per l’Europa. Sono stato ad Atene, alla Web Science Conference, dove ho presentato un poster su typosquatting. Poi sono volato a Milano, al Security Summit 2009, a cui sono seguiti un paio di giorni “back home”. Una settimana in Inghilterra e ora di nuovo in Italia, per un po’ di meritate (spero 🙂 ) vacanze.

So che non c’è niente di peggio di un report arrivato fuori tempo massimo, tuttavia, vi prometto che nei prossimi giorni posterò qualche nota e commento su queste due conferenze che mi hanno molto positivamente colpito.

Oggi, cominciamo dal mio paper, che un po’ di “self-advertising” non guasta mai 🙂

• Typosquatting is the practice of registering a domain name with the intent to confuse it with the name of a trademark or a famous domain name (trademark infringement on domain names).
• The neighbourhood N_d(x) of a domain name x is the set of all domain names in the registry whose distance d() from x is lower than a threshold th_d and we denote its cardinality as |N(x)|.
• A distance function d() is a transformation in the space of domain names.

Ad esempio, googgle.co.uk e goog1e.co.uk fanno parte del neighbourhood di google.co.uk. Abbiamo effettuato un po’ di esperimenti sul registro ‘.uk’ e i risultati sono abbastanza interessanti.

Infine, qualche considerazione sugli effetti che una pratica come quella del typosquatting potrebbe avere sul concetto di identità digitale:

• Social networks and Web 2.0 applications rely on a loose concept of digital identities based on simple identifiers
  • Which are the risks associated to typo-squatting in these scenarios?
  • How would they benefit from a cluster-based analysis?
• We should move towards a concept of digital identity associated to a cluster in some identifier space
• The cluster comprises a primary identifier and secondary identifiers that are mapped to it

Se questo argomento vi incuriosisce, lasciatemi pure un commento o scrivetemi una mail. Oppure date un’occhiata al full paper o al poster (entrambi scaricabili gratuitamente dal sito della conferenza).

Web Science 2009 Conference

Dal 18 al 20 Marzo sarò alla Web Science 2009 conference (http://websci09.org/). È la prima conferenza sulla “Scienza del Web” organizzata dalla Web Science Research Initiative (WSRI). Durante l’evento di apertura, il WWW forum, ci saranno Tim Berners-Lee e Joseph Sifakis che discuteranno del futuro del web.

La conferenza è stata pensata in un’ottica multidisciplinare perché multidisciplinare è l’ambito a cui la “Scienza del Web” si rivolge. Dal call for paper (grassetto mio):

Web Science focuses on understanding, designing and developing the technologies and applications that make up the World Wide Web. But the WWW does not exist without the participation of people and organizations […]

… e chi sono, cosa fanno e come partecipano queste persone e queste organizzazioni?

How do people and organisations behave on-line – what motivates them to shop, date, make friends, learn, participate in political life or manage their health or tax on-line?

Which Web-based designs will they trust? […]

How can the dark side of the Web – such as cybercrime, pornography and terrorist networks – be both understood and held in check without compromising the experience of others? […]

And how can the design of the Web of the future ensure that a system on which – as Tim Berners-Lee put it – democracy and commerce depends remains ‘stable and pro-human’?

Intercettare Skype e il VoIP

Press release di Eurojust (via Repubblica):

Eurojust is a new European Union body established in 2002 to enhance the effectiveness of the competent authorities within Member States when they are dealing with the investigation and prosecution of serious cross-border and organised crime.

At the request of Direzione Nazionale Antimafia in Rome, the Italian Desk at Eurojust will play a key role in the coordination and cooperation of the investigations on the use of internet telephony systems (VoIP), such as “Skype”. Eurojust will be available to assist all European law enforcement and prosecution authorities in the Member States. The purpose of Eurojust’s coordination role is to overcome the technical and judicial obstacles to the interception of internet telephony systems, taking into account the various data protection rules and civil rights.

… siamo d’accordo che è impossibile, vero?

UPDATE

Quello che voglio dire è che non è possibile intercettare alcuna comunicazione via internet, se cifrata. A meno che…

…a meno che non vogliano vietare per legge la crittografia. Un po’ come succede tuttora negli USA per chiavi crittografiche di lunghezza superiore a 64 bit (che richiedono una specifica approvazione):

Mass market encryption commodities and software employing a key length greater than 64 bits for the symmetric algorithm […] remain subject to the EAR and require review by BIS […]

To request authorization for your “mass market” encryption products[…], you must submit a complete review request to BIS and the ENC Encryption Request Coordinator. The following guidance is designed to help you prepare and submit your requests for 30-day “mass market” encryption revie […]

(fonte Bureau of Industry and Security US Department of Commerce)

UPDATE 2

… che poi, anche ammesso di voler percorrere una strada di questo tipo (limitare o bloccare specifiche applicazioni), non penseranno che la gente stia lì a guardare… oggi ne parla anche Stefano qui.

Facebook è un forum pubblico

Quella che segue è un post un po’ lungo che rielabora alcuni commenti che ho lasciato nel post di Giovy (ne stanno parlando in diversi):

Attenzione a Facebook: nuove “condizioni d’utilizzo” vessatorie

Tutto comincia con il cambio (in sordina) delle condizioni di utilizzo di Facebook: in pratica è stato eliminato un paragrafo che, secondo alcuni, dava la possibilità di rimuovere i propri dati da Facebook.

Ho letto attentamente:

• Il post e i suoi commenti
• Le condizioni di utilizzo di Facebook
• Le condizioni di utilizzo di Flickr, tanto per fare un confronto
• La risposta di Zuckerberg alle agitazioni degli ultimi giorni

e questa è l’idea che mi sono fatto.

PROPRIETÀ DEI CONTENUTI

La proprietà dei contenuti rimane all’autore. L’autore però permette a FB di utilizzare i suoi contenuti sempre e comunque senza bisogno di ulteriori autorizzazioni e a prescindere dalla licenza (diritti riservati o altro).

Ovvio, altrimenti chiunque potrebbe chiedere i diritti a FB/Flickr o a chiunque altro solo per il fatto di avere quel contenuto sul loro sito. Loro ci fanno affari con il nostro contenuto, ok, ma noi abbiamo il servizio gratuito. È normale, non vedo perché scandalizzarsi.

E se siete curiosi, date un’occhiata alle condizioni di utilizzo di Yahoo!/Flickr, paragrafo 8: http://it.docs.yahoo.com/info/utos.html

DATI PERSONALI SU FACEBOOK

Quella che segue è la mia opinione personale su come stiano esattamente le cose. Potrei sbagliarmi.

Se si pubblica un messaggio in un Forum, non si ha diritto di chiedere che venga rimosso perché è pubblico. Se il Forum necessita di registrazione per essere letto, continua a essere pubblico. Ecco, FB è un grande Forum pubblico sul quale vengono appoggiati veli di visibilità. Ma resta un forum pubblico.

In altre parole, le  varie aree (inbox, chat, wall, foto, etc.) sono pubbliche e unrestricted. Sono “tutti gli altri utenti”, piuttosto, che hanno visibilità limitata se cercano di accedere ad alcune aree, come ad esempio “messaggi per i quali non sono mittente né destinatario”. Il concetto di privacy, dunque, non è presente in FB come non lo è in un Forum pubblico.

Per questi motivi, non vedo un cambiamento sostanziale nelle recenti modifiche alle condizioni di utilizzo, né ci vedo un peggioramento.

COMMENTI FINALI

1. Quelli di FB, il profilo degli utenti cancellati se lo sono sempre tenuti, è storia vecchia
2. Sono convinto che FB sia il peggior social network che ci sia in termini di rispetto della privacy e dei dati personali
3. Zuckerberg è un furbo e ha tutto l’interesse a non fare troppa chiarezza sul concetto di privacy in FB

I blog non rendono, ma il typosquatting…

Non si fanno i soldi con i blog (Wittgenstein)

…di una disarmante semplicità! Fare soldi con un blog vuol dire tappezzarlo di annunci pubblicitari. Che, a meno di pochi casi di successo (l’articolo di NewsWeek cita TechCrunch, tanto per dire) vuol dire tappezzare le proprie pagine di AdSense.

E allora, tanto vale darsi a del sano domain parking o, se vi piace il brivido, a un po’ di typosquatting. Così, almeno, non dovete perdere tempo a inventare belle frasi per attirare i vostri lettori…