Marco Calamari

Cassandra Crossing/ Etica, grammatica e pratica del Kill Switch

di M. Calamari - La terminazione remota delle app cattivelle non č la soluzione del problema. Cura solo i sintomi. La malattia del GSM č pių profonda e radicata, sta nelle coscienze di chi lo progetta e lo utilizza

Roma - Č successo. Anche Google, persino Google ha tirato il grilletto della sua pistola: ed oggi il Market, quel posto di fuorilegge ad ovest del Pecos digitale, è (dicono) un posto più tranquillo.

Ma cosa c'era laggiù e cosa è successo esattamente?

Semplicemente che nell'Android Market, l'equivalente dell'App Store dell'iPhone, grazie ad un baco nel sistema di sicurezza erano state inserite 58 applicazioni malevole, scaricate da un totale di 260mila persone. Appena Google se ne è resa conto ha fatto scattare il kill switch inserito in tutti i telefoni Android. Ha inserito cioè gli hash delle applicazioni nell'elenco di quelle da rimuovere, e tutti i telefoni Android che avevano scaricato le applicazioni, collegandosi in modalità pull con questo elenco, le hanno obbedientemente cancellate.
Tutto a posto quindi.

Quello che Amazon ha usato contro l'ebook "1984" comprato e scaricato sui Kindle, quello che Apple potrebbe azionare (ma dice di non aver mai impiegato) è stato messo in pratica per la prima volta da Google su Android.

Č tutto a fin di bene, per prevenire il diffondersi di applicazioni malevole su migliaia e milioni di telefonini, che sarebbero in grado di rubare informazioni, contatti e magari le identità digitali dei possessori.

Tutto bene dunque.

Una corretta etica commerciale, che impone di vendere sempre prodotti sicuri e ben realizzati, è stata declinata secondo una grammatica di pratica industriale condivisa, e cioè l'inserimento di kill switch nei telefonini e nei lettori di contenuti digitali, e messa in pratica contro un gruppo di cattivi che volevano rubare l'IMEI e chissà cos'altro ai loro proprietari.

Beh, non è parere di Cassandra. Il fine non giustifica il mezzo, anche quando è corretto od addirittura nobile. Il perché è spiegato perfettamente dall'ormai abusata (da Cassandra) immagine della scimmietta de "I predatori dell'arca perduta", che apparentemente vuole stare con professor Jones ma che segretamente lo spia su incarico di un motociclista nazista.

Parliamoci chiaro: quanti di voi considererebbero caratteristica positiva la presenza di un kill switch elencato tra le caratteristiche tecniche del vostro oggetto di desiderio? In questi termini probabilmente quasi nessuno. Se elencassero la sua presenza tra le caratteristiche da valutare per l'acquisto conterebbe come un grosso "meno".

E quanti non reagirebbero se si trovassero ad aver acquistato un oggetto che contiene funzionalità segrete e potenzialmente dannose per il proprietario? Voi avete comprato in vostro telefonino, vero? Il vostro telefono è vostro a tutti gli effetti, non è così?

Invece no, obbedisce a leggi diverse dettate da motivi inespressi, molto pratici e non completamente nobili. Detto in maniera sintetica, qualsiasi smartphone che debba usare una rete GSM deve prima di tutto proteggerla. Le reti GSM sono completamente prive di meccanismi di sicurezza ed autenticazione oggi necessari a qualsiasi applicazione di rete. Qualsiasi terminale GSM può aprire fino ad otto connessioni telefoniche e dati contemporanee.

Quanto sarebbe difficile progettare un cavallo di Troia od un virus capace di propagarsi e moltiplicarsi in centinaia di migliaia di smartphone per poi scatenare una azione sincronizzata, anche banale, come chiamare otto per volta tutti contatti della vostra rubrica? Non molto. Nulla che un qualsiasi virus writer non possa fare. Assai meno di quello che i babbi di armi informatiche come Stuxnet hanno già fatto con successo. Il risultato di questo ipotetico semplice e ben sincronizzato virus? Collasso delle reti GSM.

Azione correttiva logicamente necessaria?
Beh, questa è facile. Rendere più sicure le reti GSM inserendovi le necessarie caratteristiche di sicurezza. Con tutti i soldi che queste reti hanno reso e rendono ai loro proprietari, sembrerebbe una cosa logica, fattibile, naturale e "giusta".

Giusto? No, sbagliato!

I soldi e la volontà non ci sono, servono (ovviamente) per i dividendi, nessuno li chiede e nessuno li avrà. Si sovvertono invece i telefonini intelligenti e contagiabili, in modo da renderli docili a comandi che a frittata fatta, a catastrofe avvenuta, rimettano insieme i cocci fino alla prossima volta. Con buona pace dei diritti di chi crede di aver acquistato un oggetto, e non di avere uno zombie in tasca.

"Situazione preoccupante", direte.
Mai come vivere in un'epoca in cui, di questo, non importa quasi a nessuno.

Marco Calamari
Lo Slog (Static Blog) di Marco Calamari

Tutte le release di Cassandra Crossing sono disponibili a questo indirizzo
126 Commenti alla Notizia Cassandra Crossing/ Etica, grammatica e pratica del Kill Switch
Ordina
  • ... e' dove comincia quella altrui.

    Di quest'epoca pare che tutti pensino di poter avere tutti i diritti e.. nessuna responsabilita'.

    A sentire i neo-anarchici:
    - Chiunque dovrebbe potersi collegare a internet da access point pubblici,, gratis e in modo anonimo (ovviamente, perche' senza autenticazione non si sa chi sei)
    - Nessuno dovrebbe loggare niente, fare audit o selezione del traffico, tracciare o invadere la privacy
    - Tutti hanno diritto da avere il pieno controllo del loro "computer" (che sia sotto forma di smartphone o pC), installarci qualsiasi merda, prendersi qualsiai virus e crogiolarsi nella propria incompetenza e dabbenaggine

    Tutto bello ma poi... i casini che il vostro meraviglioso PC ha fatto riempendo i cacca le mailbox altrui, inchiodando le dorsali a botte di DDoS e simili... chi li paga ? Chi fa funzionare la rete ?

    Il problema che si pone per un cellulare che incasina la rete GSM non e' molto diverso da quello di un Winzozz con il suo usuale ecosistema di virus collegato a una DSl... rompe i coglioni al mondo, e' di fatto un'arma, come un'auto.. se non sai guidare stai a casa o lasci che qualcuno guidi per te.

    Quindi.. cari neoanarchici.. eccos cosa penso: tocca fare una scelta: liberta' o anonimato ?

    I sono per la liberta' (lasciatemi fare quel che voglio con il mio computer) ma per carita' nessun anonimato: nessuno deve "uscire" con un indirizzo di rete che non sia statico, in chiaro, tracciabile e riferibile a una persona da chiunque: se rompi i coglioni qualsiasi backbone ha il diritto di metterti in blacklist... quando finirai per avere il computer che parla solo con se stesso capirai di avere un problema.

    In assenza della "responsabilita'" (non anonimato, e quindi responsabilita' anche per i danni che il tuo computer fa in giro perche' quando hai visto quel pornetto ieri sera non ti sei accorto di avere scaricato un meraviglioso .EXE che ha reso il tuo coso parte di un'efficientissimo servizio cloud...) per ora l'unica e' avere delle balie.

    A.
    non+autenticato
  • Mitico !


    - Scritto da: Pinco Pallino
    > ... e' dove comincia quella altrui.
    >
    > Di quest'epoca pare che tutti pensino di poter
    > avere tutti i diritti e.. nessuna
    > responsabilita'.
    >
    > A sentire i neo-anarchici:
    > - Chiunque dovrebbe potersi collegare a internet
    > da access point pubblici,, gratis e in modo
    > anonimo (ovviamente, perche' senza autenticazione
    > non si sa chi
    > sei)
    > - Nessuno dovrebbe loggare niente, fare audit o
    > selezione del traffico, tracciare o invadere la
    > privacy
    > - Tutti hanno diritto da avere il pieno controllo
    > del loro "computer" (che sia sotto forma di
    > smartphone o pC), installarci qualsiasi merda,
    > prendersi qualsiai virus e crogiolarsi nella
    > propria incompetenza e
    > dabbenaggine
    >
    > Tutto bello ma poi... i casini che il vostro
    > meraviglioso PC ha fatto riempendo i cacca le
    > mailbox altrui, inchiodando le dorsali a botte di
    > DDoS e simili... chi li paga ? Chi fa funzionare
    > la rete
    > ?
    >
    > Il problema che si pone per un cellulare che
    > incasina la rete GSM non e' molto diverso da
    > quello di un Winzozz con il suo usuale ecosistema
    > di virus collegato a una DSl... rompe i coglioni
    > al mondo, e' di fatto un'arma, come un'auto.. se
    > non sai guidare stai a casa o lasci che qualcuno
    > guidi per
    > te.
    >
    > Quindi.. cari neoanarchici.. eccos cosa penso:
    > tocca fare una scelta: liberta' o anonimato
    > ?
    >
    > I sono per la liberta' (lasciatemi fare quel che
    > voglio con il mio computer) ma per carita' nessun
    > anonimato: nessuno deve "uscire" con un indirizzo
    > di rete che non sia statico, in chiaro,
    > tracciabile e riferibile a una persona da
    > chiunque: se rompi i coglioni qualsiasi backbone
    > ha il diritto di metterti in blacklist... quando
    > finirai per avere il computer che parla solo con
    > se stesso capirai di avere un
    > problema.
    >
    > In assenza della "responsabilita'" (non
    > anonimato, e quindi responsabilita' anche per i
    > danni che il tuo computer fa in giro perche'
    > quando hai visto quel pornetto ieri sera non ti
    > sei accorto di avere scaricato un meraviglioso
    > .EXE che ha reso il tuo coso parte di
    > un'efficientissimo servizio cloud...) per ora
    > l'unica e' avere delle
    > balie.
    >
    > A.
    non+autenticato
  • ottimo Calamari a Report...
  • ma siamo su una testata di informazione informatica o sulla versione online di topolino?

    "anche" Google? "solo" Google

    Apple "dice"? Siamo capaci di verificare un'informazione?

    e comunque non è certo la prima volta che Google mette in atto il kill-switch... l'articolo si chiude con una frecciata verso chi non si preoccupa della cosa, ma è l'articolista per primo a dimostrare di conoscere poco l'argomento...
  • Sembra che in questa sottospecie di forum siate tutti "studiati" (belli gli apici?) ad eccezione del resto dell'Universo che sono tutti newbie, imbranati nonchè ignoranti marci...
    LOL!!!!
    non+autenticato
  • Ho letto un po' in giro e non sono ancora convinto di aver capito bene.
    Mi sembra, però, che la possibilità di una rimozione remota di applicazioni sia collegata SOLO alle applicazioni installate con l'Android Market. SE è davvero così, non mi sembra un grosso problema. Anzi, non mi sembra affatto un problema.

    Quando ho avuto l'Androide una delle prime cose che ho fatto è stata cercare un repository open source e alla fine quasi tutte le mie applicazioni vengono da li.
    Per inciso, questo:

    http://f-droid.org/repository/

    Non ricordo bene, ma quando si abilita un repo alternativo l'Androide avvisa che lo si fa a proprio rischio e pericolo e si sarà i soli responsabili di quello che si installa (benissimo).

    Quindi il kill switch sarebbe solo per l'utente medio, che di libertà e privacy gliene frega un piffero, mentre chi ne è più interessato può responsabilmente vedersela da sé.
    -----------------------------------------------------------
    Modificato dall' autore il 14 marzo 2011 14.41
    -----------------------------------------------------------
  • - Scritto da: jeanor72

    > Quindi il kill switch sarebbe solo per l'utente
    > medio, che di libertà e privacy gliene frega un
    > piffero, mentre chi ne è più interessato può
    > responsabilmente vedersela da sé.

    Veramente il kill-switch ha eliminato proprio quelle applicazioni che minavano la privacy, ed un eventuale malware scaricato da un market differente ti resterebbe sul terminale continuando a a farsi i fatti tuoi.
    Certo, se tieni il terminale senza installare nulla allora è sicuro... ma a quel punto che senso ha prendersi un Android?
  • - Scritto da: sadness with you

    > Veramente il kill-switch ha eliminato proprio
    > quelle applicazioni che minavano la privacy, ed
    > un eventuale malware scaricato da un market
    > differente ti resterebbe sul terminale
    > continuando a a farsi i fatti
    > tuoi.

    Se rivedi il mio post, il "market" (come lo chiami tu) che utilizzo è un "repository" (come lo chiamo io) di applicazioni open source.

    Non ce ne saranno centomila, ma cento, duecento (boh... sono in continuo aumento), di cui so che mi ci posso fidare: se il codice dell'app è aperto, è una garanzia che non contenga schifo nascosto.

    Questo non vuol dire che non utilizzi del tutto il "market" ufficiale, ma in quel caso sono molto molto più cauto e prima di istallare qualcosa mi cerco bene su internet tutte le info possibili (e da adesso sono pronto ad aspettarmi che mi possa essere remotamente disintallata a sorpresa, il che ridurrà ancora di più il mio utilizzo).
  • - Scritto da: jeanor72
    > - Scritto da: sadness with you
    >
    > > Veramente il kill-switch ha eliminato proprio
    > > quelle applicazioni che minavano la privacy, ed
    > > un eventuale malware scaricato da un market
    > > differente ti resterebbe sul terminale
    > > continuando a a farsi i fatti
    > > tuoi.
    >
    > Se rivedi il mio post, il "market" (come lo
    > chiami tu) che utilizzo è un "repository" (come
    > lo chiamo io) di applicazioni open source.

    Quello che usi "tu" non è quello che usano "tutti", e non che "tu" sei l'unica persona intelligiente, o che tutti gli esperti informatici scaricano solo ed esclusivamente da repository open-source
  • - Scritto da: sadness with you

    > non che "tu" sei l'unica persona intelligiente

    Mai pensato nulla del genere (grammatica inclusa).

    > o che tutti gli esperti
    > informatici scaricano solo
    > ed esclusivamente da
    > repository open-source

    Come ho ben scritto nella parte che non hai quotato, sono io il primo a non farlo.

    Ho solo detto che nel momento in cui SO di avere delle alternative al kill switch a sorpresa sono sereno. Sono io il responsabile delle applicazioni che mi installo sul mio androide e vorrei essere io quello che (eventualmente) le disinstalla, senza che nessuno mi ci metta le mani senza chiedermi permesso, anche se con le migliori intenzioni del caso.
  • Perdonami, ma tu dici:

    "il kill switch sarebbe solo per l'utente medio, che di libertà e privacy gliene frega un piffero, mentre chi ne è più interessato può responsabilmente vedersela da sé"

    che tra le righe vuol dire che l'utente medio non è consapevole delle sua libertà e della sua privacy, mentre chi è più responsabile della media è in grado di fare da se, senza che "mammina" gli tolga le castagne dal fuoco... (forse potevi usare una frase un po' meno infelice...)

    detto questo ti faccio anche notare che molte delle applicazioni oggetto del kill-switch erano copie spudorate di altre applicazioni ma con codice maligno, quindi hai voglia ad informarti prima: se te le vogliono fare te la fanno...
  • > tra le righe vuol dire che l'utente medio non
    > è consapevole delle sua libertà e della sua
    > privacy, mentre chi è più responsabile della
    > media è in grado di fare da se, senza che
    > "mammina" gli tolga le castagne dal fuoco...

    Vuol dire che all'utente medio semplicemente la cosa non interessa (vogliamo portare facebook come esempio?).
    Inoltre non ho detto "chi è più responsabile della media", ma chi vuole accollarsi la responsabilità di gestirsi in autonomia il proprio smartphone, senza delegare questa responsabilità a google.
    In certi casi penso che sia MEGLIO che lo faccia google al posto dell'utente.
    L'importante è che ci sia libertà di scelta.

    > (forse potevi usare una frase un po' meno
    > infelice...)

    Può essere.

    > detto questo ti faccio anche notare che molte
    > delle applicazioni oggetto del kill-switch erano
    > copie spudorate di altre applicazioni ma con
    > codice maligno, quindi hai voglia ad informarti
    > prima: se te le vogliono fare te la
    > fanno...

    Hai centrato il bersaglio!
    Per questo le app con codice aperto mi danno più sicurezza...

    Comunque non sono così ingenuo come mi dipingi, non cerco mica il nome dell'app, cerco lo sviluppatore o la software house che la pubblica.
  • - Scritto da: jeanor72

    > Hai centrato il bersaglio!
    > Per questo le app con codice aperto mi danno più
    > sicurezza...

    se sai analizzare il codice, ti compili tu l'app e te le installi dopo che l'hai compilata, di sicuro... ma stiamo parlando di un cellulare che va in mano tanto al ragazzino di 10 anni, quanto a mia nonna che ne ha 85, quindi sei in contesto completamente sballato... un malintenzionato può prendere il codice open-source, metterci le sue routine di malware, e pubblicare l'eseguibile in un market "pippopluto". L'utente scarica l'app pensando che sia quella "sicura" perché opensource, e se la becca in quel posto... facile facile...
  • > un malintenzionato può
    > prendere il codice open-source, metterci le sue
    > routine di malware, e pubblicare l'eseguibile in
    > un market "pippopluto". L'utente scarica l'app
    > pensando che sia quella "sicura" perché
    > opensource, e se la becca in quel posto... facile
    > facile...

    Hai ovviamente ragione. "Open source" da solo non basta, devi fidarti del repository da cui scarichi e di chi lo mantiene. Altrimenti è tutto inutile...

    Mi sembra che siamo un po' usciti dall'argomento, comunque, che era se siamo "costretti" a subire il kill switch o se si può evitare.

    Se sei un utente "bambino di 10 anni", è meglio che ti affidi a mamma Google e lasci fare a lei. Se, invece, vuoi provare ad essere un utente adulto e a staccarti dalla mamma, lei non interverrà per te e poi sono ca..i tuoi, nel bene e nel male.

    L'importante è poter scegliere e non essere costretti ad essere il bambino di 10 anni.
  • - Scritto da: jeanor72

    > Se sei un utente "bambino di 10 anni", è meglio
    > che ti affidi a mamma Google e lasci fare a lei.
    > Se, invece, vuoi provare ad essere un utente
    > adulto e a staccarti dalla mamma, lei non
    > interverrà per te e poi sono ca..i tuoi, nel bene
    > e nel male.
    >
    > L'importante è poter scegliere e non essere
    > costretti ad essere il bambino di 10 anni.

    L'importante è saper scegliere se si ha la competenza per farlo...
    Il cellulare è forse l'"aggeggio elettronico" a più larga diffusione, e il 90% degli utenti (sono generoso...) non ha la competenza per comprendere certe sottigliezze.
  • - Scritto da: sadness with you
    > - Scritto da: jeanor72
    >
    > > Se sei un utente "bambino di 10 anni", è meglio
    > > che ti affidi a mamma Google e lasci fare a lei.
    > > Se, invece, vuoi provare ad essere un utente
    > > adulto e a staccarti dalla mamma, lei non
    > > interverrà per te e poi sono ca..i tuoi, nel
    > bene
    > > e nel male.
    > >
    > > L'importante è poter scegliere e non essere
    > > costretti ad essere il bambino di 10 anni.
    >
    > L'importante è saper scegliere se si ha la
    > competenza per farlo...
    >
    > Il cellulare è forse l'"aggeggio elettronico" a
    > più larga diffusione, e il 90% degli utenti (sono
    > generoso...) non ha la competenza per comprendere
    > certe
    > sottigliezze.

    Basterebbe lasciarlo attivo di default ma con le opzioni per disabilitarlo totalmente o lasciare solo gli avvisi

    Nulla di diverso da ciò che già avviene persino in Windows.

    L' utente medio inesperto lascerà tutto com' è, l' utente più consapevole utilizzarà una delle altre 2 opzioni.
    -----------------------------------------------------------
    Modificato dall' autore il 25 marzo 2011 14.54
    -----------------------------------------------------------
  • A parte l'aspetto da "grande fratello" del post, mi pare che sia tecnologicamente inconsistente. Nemmeno il protocollo TCP/IP ha alcun meccanismo di sicurezza intrinseco, il controllo viene fatto ad un livello più alto della rete, e comunque le tecniche di protezione delle reti si applicano anche al gms quando comunque il backend dall'antenna è su rete normale: i telefoni non dialogano direttamente tra loro, ma passano punto-punto attraverso l'infrastruttura di rete del carrier.
    Non sono molto esperto, ma visto così continuo a pensare che il post sia più meritevole di stare a "Misteri" che non qua (e non è certo un complimento).
    non+autenticato
  • - Scritto da: Naf
    > [...]
    > Non sono molto esperto,

    infatti, si vede eccome

    e si vede anche che sei un bel po' in difetto anche di consapevolezza e spirito critico

    > ma visto così continuo a
    > pensare che il post sia più meritevole di stare a
    > "Misteri" che non qua (e non è certo un
    > complimento).

    se ti riferisci al tuo post, concordo appieno
    non+autenticato
  • - Scritto da: come prego
    > - Scritto da: Naf
    > > [...]
    > > Non sono molto esperto,
    >
    > infatti, si vede eccome
    >
    > e si vede anche che sei un bel po' in difetto
    > anche di consapevolezza e spirito
    > critico

    Nemmeno io mi trovo d'accordo nel dire che la rete GSM è insicura e gli operatori dovrebbero fare di più.
    La rete in realtà ha meccanismi di controllo per evitare saturazioni e congestioni in caso di problemi, ma se ci sono 8 chiamate contemporanee da ogni cellulare non si può presumere a priori che ci sia un tentativo di affossare la rete. Potrebbe essere molto più semplicemente un utente che sta effettivamente usando un servizio di multiparty.

    Peggio ancora sarebbe entrare nel contesto di quello che un telefonino fa su connessione TCP/IP (guarda caso la stessa utilizzata per internet): significherebbe fare sniffing dei dati, profilando gli utenti sulla base delle attività per decidere se stanno facendo un'azione lecita o meno.
    A parte i problemi ENORMI di privacy, quanti falsi positivi si genererebbero?

    >
    > > ma visto così continuo a
    > > pensare che il post sia più meritevole di stare
    > a
    > > "Misteri" che non qua (e non è certo un
    > > complimento).
    >
    > se ti riferisci al tuo post, concordo appieno

    gli smartphone sono computer a tutti gli effetti, se si usano come se fossero dei telefoni di prima generazione sono inutili e potenzialmente molto molto dannosi.

    Si può non essere d'accordo con la soluzione del kill switch (e personalmente non la apprezzo) ma almeno proporre una soluzione alternativa o qualche spunto di discussione per proteggere la rete da utenti o applicazioni "maldestre" potrebbe essere molto più stimolante.
    non+autenticato
  • - Scritto da: come prego
    > - Scritto da: Naf
    > > [...]
    > > Non sono molto esperto,
    >
    > infatti, si vede eccome
    >
    Beh se poi dicessi anche qualcosa, magari non faresti sembrare la tua risposta completamente inutile.
    non+autenticato
  • - Scritto da: Naf
    > - Scritto da: come prego
    > > - Scritto da: Naf
    > > > [...]
    > > > Non sono molto esperto,
    > >
    > > infatti, si vede eccome
    > >
    > Beh se poi dicessi anche qualcosa, magari non
    > faresti sembrare la tua risposta completamente
    > inutile.

    la mia risposta era pienamente in linea con il commento a cui si riferiva...
    non+autenticato
  • Se di fronte ad una affermazione, giusta o sbagliata che sia, il tuo commento è un semplice "è una stupidata"... risparmiatelo. O spieghi dove non sei d'accordo, o il tuo commento non vale il costo dei bit che lo hanno portato in giro inutilmente per la rete.
    non+autenticato
  • - Scritto da: Naf
    > Se di fronte ad una affermazione, giusta o
    > sbagliata che sia, il tuo commento è un semplice
    > "è una stupidata"... risparmiatelo. O spieghi
    > dove non sei d'accordo, o il tuo commento non
    > vale il costo dei bit che lo hanno portato in
    > giro inutilmente per la rete.

    forse dimentichi che il tuo stesso commento, parte da un (cito):
    A parte l'aspetto da "grande fratello" del post
    e finisce con (cito):
    Non sono molto esperto, ma visto così continuo a pensare che il post sia più meritevole di stare a "Misteri" che non qua (e non è certo un complimento)....

    ma cosa pretendi che ti si risponda?
    non+autenticato
  • Sei tu che hai scritto, mica te l'ho chiesto io. Se non hai niente da dire stai zitto. Va beh ho capito dai, ti piace trolleggire.
    Ciao divertiti
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | Successiva
(pagina 1/3 - 11 discussioni)