Fingerprints

Sono da sempre stato un big fan di lettori di impronte digitali e ne ho provato in tutte le salse. Devo dire che mi fa piacere che Apple abbia a suo modo messo la tecnologia sotto i riflettori ma sono un po’ deluso dal fatto che l’implementazione scelta sia completamente “noiosa”. Insomma niente di nuovo rispetto a quello che si faceva già da tempo su Windows a parte il fatto di averla integrata nei loro telefoni. Ad esempio: nessuna possibilità di usare le impronte come uno di più multi-factor authentication mechanism che so abbinando PIN + Impronte su uno o più livelli (ti logghi con l’impronta e allora hai accesso ad alcune cose, per avere accesso ad altre cose devi inserire anche il PIN, ecc.).

Poi c’è la finta questione hacker, su cui ovviamente si è spostata l’attenzione dei media. Insomma è possibile copiare un’impronta ma questo si sapeva già da tantissimo tempo. Semmai l’unica cosa deplorevole è che AuthenTec vendeva la sua tecnologia  vantandone fantasiose proprietà “anti-spoofing”, però non dovrebbe essere scandaloso visto che ora il tutto è di proprietà di quelli che “il loro Mac non piglia virus”. Per maggiori dettagli consiglio l’articolo di Ed Bott.

Dal punto di vista implementativo, a voler credere a quello che dicono in Apple e in questo particolare contesto ho pochi dubbi sul fatto che stiano dicendo “il giusto”, le cose son state fatte in maniera corretta. Non viene memorizzata l’immagine dell’impronta ma la sua “trasformata” (hash), l’hash è sigillato dentro un processore cattivo e amen. In pratica l’NSA non può provare che l’impronta sia la stessa senza avere il telefono a disposizione e quindi da questo punto di vista, backdoor a parte, il tutto sembra inattacabile.

API: pare che abbiano deciso di non esporre il sensore all’uso di applicazioni. Sarebbe bastato che lo storage fosse “silosizzato ermeticamente” per ogni app e si sarebbero potute sviluppare applicazioni interessanti. Ad esempio un password manager bluetooth basato su cellulare: io ho infatti abbandonato l’idea del lettore di impronte in quanto una gestione centralizzata delle password richiede un lettore per ogni pc che si usa, cosa estremamente non pratica. Però se il password manager fosse sul cellulare con il lettore di impronte e facesse le sue cosine con il bluetooth o via USB…

…non mi resta che sognare e sperare che in Google copino qualcosa e lo migliorino.

-quack

Pubblicato martedì 24 settembre 2013 alle 5:51 PM - 2 commenti so far
Archiviato in: Privacy, Apple, Security

Diritto alla privacy

Quindi, di punto in bianco, a causa del gran casino che l’NSA spia tutti e tutto (i loro tentacoli raggiungono il 75% dei connessi), Groklaw ha deciso di chiudere.

Mi dispiace, ma forse è la scelta sbagliata per i motivi giusti. O la scelta giusta per il motivo sbagliato. O è sbagliato tutto.

Che ci sia un braccio di ferro in corso tra diritto all’informazione e diritto a far tacere l’informazione è pure triste. Però che quache paladino del software libero decida di andare in pensione adesso, mi sembra sbagliato. Certo PJ lavorava parecchio attraverso le mail. Ma non è che adesso è spiata più di prima: è cambiata la consapevolezza e forse con questa consapevolezza non riesce a fare più serenamente il suo lavoro. Ma non è un problema logistico, è un problema di emozioni. È chi prende decisioni importanti solo in base alle proprie emozioni può alla lunga pentirsi.

Che poi, un sottotesto che se tutti usassimo software libero saremmo meno spiati, spiace (e son tre!) ma non ci sta per niente. Se l’NSA può spiarci non è perché usiamo Windows anziché Linux (teorie cospirative a parte): ma perché usiamo l’email e la maggior parte dei server di posta lì fuori girano su software libero.

Un gran bel paradosso.

-quack

Pubblicato mercoledì 21 agosto 2013 alle 8:12 PM - 16 commenti so far
Archiviato in: Privacy, Linux

Diversamente vero #1

WebKit is “Work we did at Apple” (Steve Jobs, 2 Giugno 2010).
Peccato che per come l’abbia lasciato intendere Apple non ha ‘inventato’ Webkit da zero. Ha però contribuito in maniera fondamentale.

The first phone to implement multitasking (Steve Jobs, 7 Giugno 2010)
Ovviamente l’affermazione è verissima se si considera che è il primo telefono a implementare il multitasking in maniera “corretta”, dove “corretta” è come piace a Steve Jobs. Mi ricorda tanto la battuttaccia di Benigni su papa Wojtyla definito all’epoca “il miglior papa polacco vivente al mondo residente a Roma”. Ovvero quant’è facile essere i primi ed i migliori in un insieme fatto da se stessi soltanto.

'Fragmentation' is a bogeyman, a red herring, a story you tell to frighten junior developers. Yawn (Dan Morrill, 21 Maggio 2010)
Sì, certo come no. Le storie horror di chi deve sviluppare per 4 versioni diverse moltiplicate per tre o quattro UI diverse sono frutto di pura fantasia.

The wi-fi sniffing was accidental (Google 14 Maggio 2010)
Chissà perché Google ha una tendenza atipica ad inciampare coi problemi di privacy. Scava scava… si scopre che lo sniffing non solo era stato volontario ma addirittura brevettato. Per maggiori informazioni sull’argomento consiglio il dibattito in corso su IdentityBlog.com

-quack

Bonus:

The world is moving to HTML5 (Steve Jobs, 1 Febbraio 2010)
Parafrasando un mitico quartetto: se il mondo somiglia a te, noi siamo in pericolo.

image

Pubblicato martedì 8 giugno 2010 alle 6:41 PM - 89 commenti so far
Archiviato in: Google, Privacy, Apple, Security

Privacy 101

Giro una notizia che sta passando abbastanza in sordina ma che dovrebbe fare immediatamente il giro del mondo.

Microsoft ha rilasciato l’SDK di U-Prove di cui avevo già parlato in maniera flash in precedenza. La parte più interessante è questa:

It is made available under the BSD open-source license.

Vittorio Bertocci aka Vibro.Net ha intervistato Stefan Brands, il ricercatore dietro questa importante innovazione. L’intervista è estremamente godibile per gli appassionati dell’argomento cryptografia; Vittorio la definisce in una parola sola come cryptopr0n.

Enjoy!

P.S. sempre a proposito di privacy le scuse pubbliche di Google sulla questione Buzz sono esilaranti. The Onion è un giornale satirico, però l’esagerazione caricaturale dell’articolo è davvero minima.

Pubblicato mercoledì 3 marzo 2010 alle 6:39 PM - 6 commenti so far
Archiviato in: Privacy, Codice, Security

2010 fuga da Google

Qualche giorno fa Google ha annunciato il ‘nuovissimo’ di zecca servizio chiamato Buzz. A differenza di Wave, che per provarlo ci voleva un invito di Sua Santità, Buzz è stato immediatamente aperto al pubblico. Quei genii di Mountain View hanno pensato che per fare il boot-strap dei contatti fosse simpatico che GrandeFratelloGoogle potesse scegliere per noi chi inserire nella lista di contatti. Hanno pensato poi che sarebbe stato interessante renderla pubblica. Ma non hanno pensato a chiedere il permesso di nessuno. Ciò ha creato alcune situazioni imbarazzanti, c’è qualcuno che ha visto mettere addirittura a repentaglio la propria incolumità fisica.

Fuck you, Google. My privacy concerns are not trite. They are linked to my actual physical safety, and I will now have to spend the next few days maintaining that safety by continually knocking down followers as they pop up. A few days is how long I expect it will take before you either knock this shit off, or I delete every Google account I have ever had and use Bing out of fucking spite. (fonte)

Dopo qualche giorno hanno deciso di sistemare un paio di cose, chiedendo scusa per non aver “testato a sufficienza” il servizio.

Buzz è stata la goccia che ha fatto traboccare il vaso:

  • con google reader sanno cosa leggo e cosa mi interessa (starred items)
  • con feedburner, a cui mi sono iscritto prima che venisse acquistato da google senza lunga ponderazione, sanno cosa pubblico e chi mi legge, anche se chi mi legge non usa google reader
  • con gmail sanno cosa scrivo privatamente e chi sono i miei contatti telefonici; conoscono anche i miei contatti facebook grazie all’integrazione della rubrica via telefonino
  • con google maps/location sanno spesso dove vado
  • con Analytics/Chrome conoscono vita morte e miracoli della mia navigazione

Invece quando si tratta di dirmi perché hanno bannato il mio account AdSense sono riuscito ad avere solo risposte automatiche.

Ora capisco che una persona può rinunciare volentieri a pezzi di privacy, ma fino a quando ogni servizio era un silos, mi stava benissimo così: ognuno di noi è liberissimo di creare account in Facebook/Twitter/Wordpress e decidere di pubblicare quello che vuole. La mossa di Google mi ha fatto capire che i silos sono un illusione e che loro si sentono liberi di mettere in comunicazione mondi che io ho deciso di tenere separati senza chiedere il permesso.

E allora fan***o Google.

  • Sto spostando il mio account Google Reader su Blogline
  • Feedburner è stato quasi completamente eliminato
  • GMail sta vedendo una drastica riduzione. Sto pensando di cancellare il mio vecchio account ed aprirne uno anonimo da usare con il Nexus One
  • Analytics è stato abbandonato già da un pezzo
  • Chrome sarà sostituito con Firefox. È un po’ più lento, ma chi se ne frega, ora che son riuscito a far funzionare l’extension Total Rechrome con la 3.6 sono felice come una pasqua

È ora di finire sotto il loro radar. Studierò un sistema per diventare invisibile a Google Analytics (magari via extension Firefox). Non mi avranno più.

(of course, se qualche collega mi fa la gentilezza di procurarmi un WP7 al più presto, metterò immediatamente in vendita il Nexus One)

-quack

UPDATE: L’arroganza di Eric Schmidt mi sta veramente sullo stomaco:

Think of it as an opportunity to instrument the world. These networks are now so pervasive that we can literally know everything if we want to. What people are doing, what people care about, information that’s monitored, we can literally know it if we want to, [pauses, lowers voice] and if people want us to know it. (fonte)

UPDATE 2: eh sì, mi hanno proprio fatto incazzare. Ho trovato un trucchetto banale (diciamo per chi non ha paura di editare un file di testo a mano) per bloccarli su tutti i miei PC. La manipolazione del file Hosts di windows.

Link 1, Link 2

Ovviamente non dimenticate di tirare lo scarico sulla cache del DNS tramite:

ipconfig /flushdns

Pubblicato mercoledì 17 febbraio 2010 alle 12:42 AM - 221 commenti so far
Archiviato in: Privacy, Cazzate