C'è da dire che a Roma si può imputare di tutto, tranne la mancanza di fantasia e di (auto)ironia. In una città in cui nessun divieto viene preso sul serio, ad iniziare proprio da chi quei divieti dovrebbe far rispettare, è quella ironico/sarcastica l'unica chiave di lettura di questo cartello, che invita tutte le persone provenienti dalla Cina a non entrare in quell'esercizio pubblico.
Non avrebbe senso, infatti, pensare che chi ha affisso questo cartello (che sembra non sia l'unico in città) possa veramente credere sia sufficiente a dissuadere chiunque dall'entrare nel locale... il 99% delle persone che si avvicinerà al locale non si accorgerà neppure del foglio affisso, probabilmente non lo leggerà nessuno.
E qualcuno gli dica di correggere "inconvenient" con "inconvenience", per favore.
Ma il vero "genio" è altro.
venerdì 31 gennaio 2020
Sim swap scam, quando si preferisce scaricare sulla tecnologia i propri errori.
Con regolarità accade che sulla stampa generalista vengono pubblicati articoli che mettono in guardia da truffe a cui apparentemente neppure la tecnologia può mettere un argine.
Quasi sempre ci troviamo di fronte ad uno scenario in cui una tecnologia in uso da tempo viene abbandonata o messa "fuorilegge" in favore di una nuova, che sulla carta garantisce maggiore protezione, prestazioni o altro. Quasi sempre, in breve tempo, questa nuova tecnologia verrà accusata di essere meno sicura, più macchinosa, più pericolosa e spunteranno decine di articoli critici che dichiareranno in modo più o meno esplicito, che si "stava meglio quando si stava peggio".
Nei commenti a questi articoli, poi, sarà tutto un fiorire di aneddoti tesi a dimostrare l'indimostrabile (dalla superiorità del contante sulle carte di pagamento, a quella del token fisico sull'app di home banking, ecc.).
Al netto della retorica di cui sono impregnati articoli e commenti, quasi mai si parla di quello che è, in effetti, l'UNICO problema nei confronti del quale qualsiasi tipo di tecnologia si trova in difficoltà: la stupidità dell'utente. Si scopre, infatti, che alla base del 100% delle truffe che impropriamente vengono definite "informatiche" c'è invariabilmente un furto di dati (identità, documenti, credenziali di accesso a servizi vari, ecc.) dovuto alla superficialità con cui gli utenti gestiscono le loro informazioni sensibili (salvo poi straparlare di privacy in contesti in cui la "privacy" dovrebbe essere l'ultimo dei pensieri) e le lasciano in balia del primo venuto. Mi viene da ridere quando l'email scritta in italiano improbabile, che promette vincite mirabolanti in cambio del click su un link, vengono descritte come "hacking" o con termini ancora più altisonanti.
La verità è che chi viene "truffato" nel modo descritto dall'articolo ha ignorato, se non sabotato, qualsiasi norma e principio di cautela.
Qui viene spiegato in modo apparentemente più approfondito il funzionamento della "truffa". Ci sono solo alcuni dettagli che non tornano: chiunque, corrompendo un "addetto" di un operatore telefonico, può cercare e riuscire ad ottenere una sim con il numero di telefono di qualcun altro. Ma questo è solo il primo passo, perché a meno di immaginare che anche l'operatore della banca sia corrompibile e/o corrotto, con il solo numero di telefono si riesce a fare ben poco. La mia banca, per accedere all'app di home banking, vuole che io inserisca il codice cliente, poi un pin. Il codice cliente è scritto sul contratto, insieme al numero di telefono su cui viene inviato un codice di sicurezza che serve per il primo accesso. Quindi non è sufficiente il numero di telefono, ma occorrono anche altri dati, che normalmente non sono così facili da reperire (dubito che la gente pubblichi questo genere di informazioni su Facebook, ad esempio...).
Quello che solo altri articoli spiegano è che la vulnerabilità non è del sistema di autenticazione a due fattori, ma del sistema di autenticazione a due fattori basato sulla ricezione di un SMS. Il codice di accesso temporaneo inviato via SMS, infatti, verrebbe recapitato a chi ha effettuato il "sim swap", e non al legittimo proprietario dei dati. In ogni caso rimane il limite legato alla conoscenza delle altre informazioni necessarie per accedere ad un conto corrente, come ad esempio il codice cliente stampato sul contratto.
Per queste considerazioni l'uso di OTP basati su SMS è in via di eliminazione, sostituito dal più sicuro OATH TOTP. In ogni caso mi sembra del tutto evidente che nei casi descritti dagli articoli la tecnologia è stata aggirata a causa di comportamenti a dir poco superficiali degli utenti, per cui mi sembra del tutto arbitrario attribuirle colpe specifiche.
Quasi sempre ci troviamo di fronte ad uno scenario in cui una tecnologia in uso da tempo viene abbandonata o messa "fuorilegge" in favore di una nuova, che sulla carta garantisce maggiore protezione, prestazioni o altro. Quasi sempre, in breve tempo, questa nuova tecnologia verrà accusata di essere meno sicura, più macchinosa, più pericolosa e spunteranno decine di articoli critici che dichiareranno in modo più o meno esplicito, che si "stava meglio quando si stava peggio".
Nei commenti a questi articoli, poi, sarà tutto un fiorire di aneddoti tesi a dimostrare l'indimostrabile (dalla superiorità del contante sulle carte di pagamento, a quella del token fisico sull'app di home banking, ecc.).
Al netto della retorica di cui sono impregnati articoli e commenti, quasi mai si parla di quello che è, in effetti, l'UNICO problema nei confronti del quale qualsiasi tipo di tecnologia si trova in difficoltà: la stupidità dell'utente. Si scopre, infatti, che alla base del 100% delle truffe che impropriamente vengono definite "informatiche" c'è invariabilmente un furto di dati (identità, documenti, credenziali di accesso a servizi vari, ecc.) dovuto alla superficialità con cui gli utenti gestiscono le loro informazioni sensibili (salvo poi straparlare di privacy in contesti in cui la "privacy" dovrebbe essere l'ultimo dei pensieri) e le lasciano in balia del primo venuto. Mi viene da ridere quando l'email scritta in italiano improbabile, che promette vincite mirabolanti in cambio del click su un link, vengono descritte come "hacking" o con termini ancora più altisonanti.
La verità è che chi viene "truffato" nel modo descritto dall'articolo ha ignorato, se non sabotato, qualsiasi norma e principio di cautela.
Qui viene spiegato in modo apparentemente più approfondito il funzionamento della "truffa". Ci sono solo alcuni dettagli che non tornano: chiunque, corrompendo un "addetto" di un operatore telefonico, può cercare e riuscire ad ottenere una sim con il numero di telefono di qualcun altro. Ma questo è solo il primo passo, perché a meno di immaginare che anche l'operatore della banca sia corrompibile e/o corrotto, con il solo numero di telefono si riesce a fare ben poco. La mia banca, per accedere all'app di home banking, vuole che io inserisca il codice cliente, poi un pin. Il codice cliente è scritto sul contratto, insieme al numero di telefono su cui viene inviato un codice di sicurezza che serve per il primo accesso. Quindi non è sufficiente il numero di telefono, ma occorrono anche altri dati, che normalmente non sono così facili da reperire (dubito che la gente pubblichi questo genere di informazioni su Facebook, ad esempio...).
Quello che solo altri articoli spiegano è che la vulnerabilità non è del sistema di autenticazione a due fattori, ma del sistema di autenticazione a due fattori basato sulla ricezione di un SMS. Il codice di accesso temporaneo inviato via SMS, infatti, verrebbe recapitato a chi ha effettuato il "sim swap", e non al legittimo proprietario dei dati. In ogni caso rimane il limite legato alla conoscenza delle altre informazioni necessarie per accedere ad un conto corrente, come ad esempio il codice cliente stampato sul contratto.
Per queste considerazioni l'uso di OTP basati su SMS è in via di eliminazione, sostituito dal più sicuro OATH TOTP. In ogni caso mi sembra del tutto evidente che nei casi descritti dagli articoli la tecnologia è stata aggirata a causa di comportamenti a dir poco superficiali degli utenti, per cui mi sembra del tutto arbitrario attribuirle colpe specifiche.
giovedì 23 gennaio 2020
La tutela della salute dei cittadini.
Nella polemica riguardante lo stop ai diesel Euro 6 da parte del Sindaco di Roma l'unica riflessione da fare, che ovviamente non ho letto da nessuna parte, era quella relativa alla distonia tra l'affermazione per cui lo stop è stato deciso per "tutelare la salute dei cittadini" ed il fatto che, malgrado il superamento dei limiti di legge fosse stato continuo e diffuso ed abbia generato una "criticità", non sia stato disposto il blocco TOTALE del traffico privato, senza limitarlo ad una parte limitata dello stesso.
Io mi aspetto, da parte di chi pretende di "tutelare" la mia salute, provvedimenti che vadano oltre la propaganda, oltre l'ipocrisia.
Se è in pericolo la salute delle persone si vieta la circolazione a TUTTE le automobili, altrimenti è solo demagogia.
Io mi aspetto, da parte di chi pretende di "tutelare" la mia salute, provvedimenti che vadano oltre la propaganda, oltre l'ipocrisia.
Se è in pericolo la salute delle persone si vieta la circolazione a TUTTE le automobili, altrimenti è solo demagogia.
La crisi dell'editoria e le modalità di abbonamento ideate da criceti impazziti.
Non metto in dubbio il fatto che la pirateria "ruba" ai quotidiani una parte importante dei possibili introiti, ma ci sono una serie di considerazioni da fare.
Prima di tutto, le statistiche che parlano di pirateria sono realizzate in modo tale da includere chiunque nel novero dei pirati, senza distinguere tra chi ha scelto di rivolgersi alla pirateria in alternativa all'acquisto legale e chi ha scaricato una copia pirata di un quotidiano o di un libro ma non avrebbe mai acquistato lo stesso in versione cartacea. Poi non c'è mai una distinzione netta tra la pirateria di chi vende copie di libri e quotidiani ad un prezzo inferiore a quello normale e la pirateria di chi condivide in modo gratuito le stesse cose: anche qui vale il discorso per cui la diffusione gratuita di materiale protetto da diritti d'autore non è automaticamente un mancato introito, perché probabilmente gran parte delle persone che ottiene gratuitamente quel materiale non l'avrebbe acquistato a nessun prezzo, per quanto basso.
Il secondo punto, non meno importante, riguarda le modalità di pagamento tipiche di questo tipi di prodotti.
A parte pochi casi, in cui il lettore può decidere liberamente quando far iniziare l'abbonamento e quando fermarlo, senza essere costretto a pagare in anticipo per mesi o anni interi, ci sono decine di giornali che propongono una serie interminabile di modalità di abbonamento, che prevedono sempre un pagamento in anticipo per periodi lunghi, l'accesso ad una parte dei contenuti per gli abbonamenti più economici, oppure ad una "selezione" di articoli, senza la possibilità di acquistare una sola copia del giornale o di abbonarsi potendo sospendere l'abbonamento a piacere. Per altro le copie dei quotidiani rimangono disponibili per un tempo limitato e spesso il download di una copia in formato pdf non è possibile.
Insomma, modalità di gestione degli abbonamenti del tutto inadeguate al mercato.
La stessa cosa accade, anche se con modalità leggermente diverse, con i libri. Mentre la copia cartacea è a nostra disposizione in modo continuo ed illimitato, quella digitale è volatile, come dimostra il caso Microsoft. Il fatto è che passare dall'acquisto di un bene fisico all'ottenere una "licenza di lettura" non sembra un gran vantaggio, per il lettore. Forse potrebbe essere più utile pensare a forme di acquisto meno complicate, meno costose, più flessibili.
Un altro punto è relativo alla fruibilità dei contenuti. Non so quanti di voi hanno provato a leggere un quotidiano in formato pdf, su un dispositivo qualsiasi. E' una cosa impossibile, dovuta al fatto che il pdf mantiene dimensioni proporzionate a quelle della copia cartacea del quotidiano, dimensioni che non hanno niente a che vedere con un display. Per altro un pdf non è dinamico, quindi costringe il lettore a spostamenti manuali sulla pagina, per ingrandire e ridimensionare le porzioni che si vogliono leggere. Insomma, una tragedia.
Tutto questo per dire che la lotta alla pirateria è sacrosanta, che certi comportamenti devono essere condannati, ma che non leggo MAI nessun tipo di autocritica da chi produce e vende quotidiani, settimanali, libri. Forse sarebbe il caso di iniziare a lavorarci su.
Prima di tutto, le statistiche che parlano di pirateria sono realizzate in modo tale da includere chiunque nel novero dei pirati, senza distinguere tra chi ha scelto di rivolgersi alla pirateria in alternativa all'acquisto legale e chi ha scaricato una copia pirata di un quotidiano o di un libro ma non avrebbe mai acquistato lo stesso in versione cartacea. Poi non c'è mai una distinzione netta tra la pirateria di chi vende copie di libri e quotidiani ad un prezzo inferiore a quello normale e la pirateria di chi condivide in modo gratuito le stesse cose: anche qui vale il discorso per cui la diffusione gratuita di materiale protetto da diritti d'autore non è automaticamente un mancato introito, perché probabilmente gran parte delle persone che ottiene gratuitamente quel materiale non l'avrebbe acquistato a nessun prezzo, per quanto basso.
Il secondo punto, non meno importante, riguarda le modalità di pagamento tipiche di questo tipi di prodotti.
A parte pochi casi, in cui il lettore può decidere liberamente quando far iniziare l'abbonamento e quando fermarlo, senza essere costretto a pagare in anticipo per mesi o anni interi, ci sono decine di giornali che propongono una serie interminabile di modalità di abbonamento, che prevedono sempre un pagamento in anticipo per periodi lunghi, l'accesso ad una parte dei contenuti per gli abbonamenti più economici, oppure ad una "selezione" di articoli, senza la possibilità di acquistare una sola copia del giornale o di abbonarsi potendo sospendere l'abbonamento a piacere. Per altro le copie dei quotidiani rimangono disponibili per un tempo limitato e spesso il download di una copia in formato pdf non è possibile.
Insomma, modalità di gestione degli abbonamenti del tutto inadeguate al mercato.
La stessa cosa accade, anche se con modalità leggermente diverse, con i libri. Mentre la copia cartacea è a nostra disposizione in modo continuo ed illimitato, quella digitale è volatile, come dimostra il caso Microsoft. Il fatto è che passare dall'acquisto di un bene fisico all'ottenere una "licenza di lettura" non sembra un gran vantaggio, per il lettore. Forse potrebbe essere più utile pensare a forme di acquisto meno complicate, meno costose, più flessibili.
Un altro punto è relativo alla fruibilità dei contenuti. Non so quanti di voi hanno provato a leggere un quotidiano in formato pdf, su un dispositivo qualsiasi. E' una cosa impossibile, dovuta al fatto che il pdf mantiene dimensioni proporzionate a quelle della copia cartacea del quotidiano, dimensioni che non hanno niente a che vedere con un display. Per altro un pdf non è dinamico, quindi costringe il lettore a spostamenti manuali sulla pagina, per ingrandire e ridimensionare le porzioni che si vogliono leggere. Insomma, una tragedia.
Tutto questo per dire che la lotta alla pirateria è sacrosanta, che certi comportamenti devono essere condannati, ma che non leggo MAI nessun tipo di autocritica da chi produce e vende quotidiani, settimanali, libri. Forse sarebbe il caso di iniziare a lavorarci su.
Iscriviti a:
Post (Atom)