Informazioni personali

Cerca nel blog

Translate

venerdì 26 giugno 2009

Hail to Jacko

Michael Jackson Star

Image via Wikipedia

The king is dead, Hail to the king.

I know there are, in this moments, real tragedies right now in the world, I know that there are a lot of more serious, important things to do but…

Sometimes there are performers, artists that makes the difference. I think Michael Jackson is one of them.

Through a difficult life he was able to give us some of the most spectacular music moments ever.

Music is feeling, music is memories, music is our story, and Michael Jackson was a part of the story of most of us. I know there are people that, probably, have just a slight idea of what was the Jackson mania, other that never heard his song or bought his records…I saw him in a concert in Italy years ago, and probably I do realize now how lucky I have been. There will no be another chance, there will no be another Jacko.

Michael Jackson was not only one of the greatest pop performer ever, but also someone that changed the way we perceive music. I am not even sure that MTV would have been here without him, as well as I am not sure that the Black music, the Motown world, would have been part of our musical background. He was able to mix different musical genders, coming form Motown and working with Quincy Jones he created something new, he was able to dare to use Heavy Metal guitars in pop music …

He did to the music more or less what Elvis did. Both changed our way to listen to music, to see music, to feel music. Both made music really multicultural and open, and change for ever the way to perform. And as Elvis also Jacko will never die.

I know he was now 50, not more the Peter Pan he used to be; I know he used surgery to change himself into something else; I know that he experienced the shame of trials and accuses… but I know also that there will be a little part of him in my soul and memories.

I know I will try to make my daughter listen to his music and try to watch his videos, and may be she will understand why her old parents loved him.

I have to thank Michael Jackson, he made my life better.

So rest in peace Peter Pan, hope you’ll find your Neverland.

AI

 

 

 

 

 

 

giovedì 25 giugno 2009

Rischio, crisi, formule e correlazioni

Ti odio Marco… 🙂

mandarmi il link all’articolo di Wired mi rende impossibile non ritornare al discorso del rischio e della crisi attuale.

 

Se qualcuno, a tempo perso, si è messo a leggere i vari articoli presenti nel blog avrà notato che ho incautamente affermato che la propensione al rischio i è una funzione di due oggetti : il rischioi e il costo di protezione relativoi

Il costo di protezione è, ho affermato stolidamente, a sua volta in realtà una funzione del rischio. Diverse tipologie di rischio sono legate a diversi meccanismi di protezione e alla relativa spesa di implementazione (mitigazione o trasferimento che sia).

Ora dal punto di vista della matematica la difficoltà sta tutta nell’esprimere questo legame.

Il problema, in altri termini, è come descrivere un comportamento di qualcosa di cui non abbiamo controllo.

Il rischio, per sua definizione, rappresenta una entità di qualcosa di cui abbiamo solo una probabilità che accada. E le probabilità non sono certezze.

I meccanismi più comuni per descrivere funzioni probabilistiche fanno riferimento a 2 grandi pilastri della matematica: le gaussiane che esprimono distribuzioni di probabilità, e la correlazione che esprime la possibilità di interpretare il comportamento di una cosa basandosi sul comportamento di una cosa diversa ma alla prima in qualche modo connessa.

Prima di iniziare a darmi del mentecatto che parla di cose astratte (Marco, che è ingegnere, non è abituato a pensare per astrazione…he he he), facciamo esempi concreti? tipo: mai sentito parlare di fuzzy logic? no? come pensate che funzionino gli esposimetri? E le matrici dei ccd delle macchine fotografiche digitali? ed i sistemi di correzione del colore?

ok ok prima o poi ve li spiego (il tempo di capire come funziona).

l’idea di base della correlazione è invece cercare di esprimere il comportamento di una funzione in base al comportamento di un’altra.

Facciamo un esempio che ci aiuti a capire questo arduo concetto:

Supponiamo di dover esprimere una funzione di andamento della temperatura, ma non abbiamo un termometro nelle vicinanze.

Un osservatore attento potrebbe notare che con l’innalzarsi della temperatura i vestiti tendono a diventare più leggeri.

Ora supponiamo di poter fare una misurazione della lunghezza delle gonne delle donne, per darci un parametro oggettivo e misurabile.

Innanzi tutto fissiamo un campione statisticamente significativo definendone le caratteristiche (ad esempio:quantità  età, censo …). Vi ricordo che un campione è statisticamente significativo quando una variazione della sua composizione marginale non sposta in maniera significativa il risultato.

Dopo aver fissato il campione iniziamo a misurarne i comportamenti (la lunghezza delle gonne). Dal momento che non possiamo assumere che la sensibilità alla temperatura sia uguale per tutte le donne la descrizione del modello probabilmente verrà meglio raccontata da una gaussiana che dà una distribuzione probabilistica di tali comportamenti.

Ora supponiamo di riuscire a descrivere con una funzione la lunghezza delle gonne delle donne in relazione al tempo.

Il nostro acuto osservatore potrebbe, a questo punto, definire una funzione di comportamento della temperatura basato sulla funzione di lunghezza delle gonne.

Ammettendo di avere gli strumenti matematici adatti è quindi possibile cercare di definire la affinità di un modello comportamentale ad un altro, ed estrapolare dal primo valori per il secondo.

Il problema della correlazione è però che parte da assunzioni esperienziali parziali.

Torniamo all’esempio precedente delle gonne. Avendo in mano una funzione di definizione della lunghezza delle gonne ed una della temperatura, gli strumenti matematici ci possono aiutare a capire se esiste una correlazione tra le due funzioni, tradotto se esiste un legame tra una curva e l’altra.

Questo legame matematico non è detto però che sia un legame reale, in effetti anche se apparentemente il discorso potrebbe sembrare esatto esistono due punti di rischio piuttosto importanti:

1) il modello deve essere costruito su di un numero di campioni sufficiente a definirne i comportamenti futuri e passati

2) la correlazione matematica deve essere accompagnata da una correlazione di tipo “forte” che esprima un legame tra le grandezze che non sia solo matematico. Deve, in altre parole, esistere una teoria che venga giustificata dal modello matematico.

La limitazione del modello matematico, in questo caso, è legata al fatto che non siamo sicuri di considerare tutte le variabili in gioco.

in effetti il ragionamento lunghezza gonne –> temperatura sembrerebbe filare ma non tiene conto…della moda.

Quello che, in questa correlazione, il nostro osservatore non ha considerato è il fatto che può venire di moda mettersi la microgonna anche di inverno, alla faccia della temperatura.

Ecco allora che le correlazioni possono portare in errore.

Torniamo a noi ed alla crisi.

Per “giocare” in borsa è importante poter definire il rischio associato ad un certo investimento. Il calcolo di questo rischio è, di per se, un esercizio difficile.

l’articolo di Wired mette in luce come David X. Li abbia creato una funzione a supporto di questo calcolo.

Come afferma lo stesso Li però il problema era il seguente: «La cosa più pericolosa è quando la gente crede a tutto ciò che ne esce».

Il problema del modello di Li, come altri modelli del genere, non è che siano intrinsecamente errati ma è che correlare delle entità estremamente instabili (come temperatura e lunghezza gonna) presenta una difficoltà legata al determinare il numero e il tipo esatto di variabili in gioco.

Questi modelli sono, però, estremamente utili come supporto decisionale e potendo definire opportunamente le condizioni al contorno, possono essere estremamente efficaci.

Il modello di Li era ed è funzionale in un momento espansivo, ma non teneva conto della volatilità dell’animo umano (e del legame tra propensione al rischio e costi di protezione).

La vera gravità però è che come supporto decisionale il modello è stato utilizzato da persone che, nei fatti, avevano, in buona o cattiva fede, eliminato dai loro comportamenti la parte di critica sui risultati.

Tradotto uno strumento di supporto decisionale non deve prendere le decisioni, ma deve dare, appunto, un supporto.

«Non si può biasimare Li», dice Gilkes di Credit-Sights. «Dopotutto, ha solo inventato il modello. Invece, dovremmo incolpare i banchieri che lo hanno male interpretato. E persino allora, il vero pericolo non è nato perché un certo trader lo ha adottato, ma perché la totalità dei trader lo ha fatto. Nei mercati finanziari, quando tutti fanno la stessa cosa, è inevitabile che si arrivi a una bolla e alla sua esplosione».

Sono un po’ più cattivo di Gilkes e aggiungo che il rischio di cattiva interpretazione del modello non esisteva, il modello per se è una rappresentazione non esatta ma approssimativa.

I casi sono due

o i banchieri non capivano con cosa stavano operando, il che li classifica come cialtroni incompetenti che si sono arricchiti.

o lo capivano ma hanno lasciato correre in quanto l’uso del modello permetteva loro di alzare fittiziamente la funzione di costo di protezione del rischio e quindi di mantenere la propensione al rischio bassa consentendo la mercato di espandersi, il che per definizione è un Ponzi scam.

Chi ha orecchie per intendere….

ciaps

AI

 

 

 

Web Security: Rudimenti 5

abbiamo chiuso il post precedente parlando di come possiamo pensare alla nostra struttura interna al fine di implementare un processo di security per la navigazione web.

qualsiasi ragionamento si possa fare rimane legato alla seguente fondamentale questione:

quali sono le policy di riferimento di sicurezza interne?

paradossalmente senza direttive di sicurezza chiare qualsiasi approccio di sicurezza risulta abbastanza inutile.

“La sicurezza è un processo, non un prodotto” (Bruce Schneier)

Cosa si può e non può fare deve risultare da un set coordinato di processi di cui la soluzione di sicurezza è solo uno degli aspetti. Qualsiasi introduzione di tecnologia comporta una variazione delle procedure di sicurezza in termini di comportamenti, ma anche remediation e mitigation.

In questo senso le componenti di compliancy e DLP del security policy book devono essere modificate per tenere traccia della introduzione delle nuove tecnologie di sicurezza.

Purtroppo è uso comune non avere un security policy book anche nelle organizzazioni più avanzate, e soprattutto di solito la sicurezza informatica è considerata una componente estranea alle altre procedure di sicurezza.

Auditing, reporting e strumenti di sicurezza invece sono da intendere come una struttura unica che si interfaccia con le varie componenti della attività aziendale.

Un esempio classico di questa tendenza a tenere separate, per oscuri motivi, le varie componenti di sicurezza è dato dalla mail.

Quasi tutte le realtà danno delle limitazioni all’uso della mail; i vincoli più comuni sono:

  • dimensione massima della mailbox – per risparmiare spazio di storage tipicamente
  • dimensione massima del messaggio di posta – qui le giustificazioni sono le più disparate, dal consumo di banda al risparmio di storage a, mi si blocca l’antivirus, sic
  • massimo numero di destinatari per mail – qui di solito ci si appoggia ai default dati dai vari server di posta che sono, solitamente, un mix tra la esigenza di evitare lo spamming ed il mantenere le prestazioni ad un livello accettabile.
  • limitazione sul tipo di attachment –tipicamente vengono banditi gli eseguibili nelle varie forme e talvolta i file compressi 🙁
  • limitazione tramite filtri antispam eo antivirus.

le considerazioni e le inerenze di queste policy si estendono ovviamente alla sicurezza come nel caso degli attachment di posta eseguibili, o addirittura vincoli di DLP, si pensi alla compliancy PCI.

Curiosamente non viene utilizzato lo stesso criterio per le webmail private cui speso si concede l’accesso agli utenti.

è prassi comune mandarsi grossi attachment tramite account Google e magari zip ed eseguibili, mentre la cosa non risulta possibile via posta aziendale. E questo anche per uso aziendale in barba alle norme di sicurezza implementate.

Il risultato è avere delle policy di sicurezza asimmetriche e non omogenee.

Una politica corretta di security dovrebbe prevedere un approccio alle webmail comparabile a quello definito per la mail standard, il che significa porre una serie di limitazioni analoghe: limitazioni sul tipo e dimensione degli attachment, filtri antivirus e antimalware e cosi via.

Per fare ciò la soluzione di web security deve essere in grado di discriminare il traffico inerente alle webmail, ad esempio tramite url filtering, ma, soprattutto, essere in grado di:

1) limitare la dimensione degli oggetti di cui si consente il download tramite httpftp

2) limitare il tipo di oggetto di cui si consente il download

3) essere in grado di effettuare la operazioni prima del raggiungimento della postazione client

4) poter effettuare questa operazione anche su flussi HTTPS

la ragione del primo e secondo punto sono evidenti, vanno a fare match con le esigenze di compliance gestite per la posta tradizionale.

Il terzo e quarto punto traggono origine dal fatto che queste analisi, in particolare le analisi antimalware, raggiungono la maggiore efficacia se effettuate per layer con tecnologie differenti. Il tipo di protezione al client dovrebbe essere diverso per tecnologia e modalità di uso dal tipo di protezione lato gateway.  Va da se che la ispezione HTTPS è necessaria per permettere di evitare che i contenuti indesiderati siano consegnati al punto di arrivo senza ispezioni di sorta.

Del resto evitare che arrivi sull’end point un oggetto non conforme è uno dei punti focali delle policy di sicurezza.

Curiosamente però questo aspetto viene di solito non considerato.

Ciao

A

Interessante articolo diWired.it: P = Φ (A,B,Y) La formula del crac

P = Φ (A,B,Y) La formula del crac

Di Felix Salmon|16 marzo 2009

Foto: Flickr CC: “Aranha

Soltanto un anno fa si dava per scontato che un mago della matematica come David X. Li si sarebbe prima o poi visto attribuire il premio Nobel. Dopotutto alcuni economisti finanziari, perfino tra gli Analisti di Wall Street (i cosiddetti quant), avevano già ricevuto il Nobel in economia e il lavoro di Li sulla misurazione del rischio ha avuto un impatto superiore, e più rapido, rispetto ai contributi alla materia dei precedenti Nobel. Oggi però, mentre banchieri, politici, autorità di regolamentazione e investitori osservano stupefatti gli effetti della più grande crisi finanziaria dalla Depressione in poi, Li probabilmente può dirsi contento di avere ancora un lavoro nel mondo della finanza. Non che i suoi risultati siano da buttare via. Si è preso in carico un noto problema – determinare la Correlazione, cioè il modo in cui gli eventi più disparati sono strettamente collegati tra loro – e l’ha risolto con una formula matematica semplice ed elegante, una formula che presto sarebbe diventata onnipresente nel mondo della finanza internazionale.

Per cinque anni la formula di Li, nota come funzione di copula gaussiana, è apparsa come un notevole progresso, un pezzo di teoria finanziaria che permetteva di modellare in maniera più facile e accurata rispetto al passato rischi altamente complessi.

Con la sua propensione per la matematica illusionistica, David X. Li ha reso possibile ai trader la vendita di enormi quantità di nuovi titoli, provocando un’espansione senza precedenti dei mercati finanziari. Il metodo che aveva messo a punto è stato adottato da tutti, dagli investitori in obbligazioni (bond) alle banche di Wall Street, passando per le agenzie di rating e le autorità di regolamentazione, e si è radicato così profondamente che le preoccupazioni sui suoi limiti sono state ignorate alla grande.

Poi il modello è crollato. Le prime crepe sono apparse presto, non appena i mercati finanziari hanno cominciato a comportarsi in modi che gli utilizzatori della formula di Li non avevano previsto. Quelle crepe sono diventate voragini nel 2008, quando le fratture nel sistema finanziario hanno ingoiato migliaia di miliardi di dollari, mettendo in serio pericolo la sopravvivenza del sistema bancario mondiale. David X. Li, insomma, non riceverà a breve termine il Nobel. La sua funzione di copula gaussiana passerà alla storia come la formula all’origine delle perdite che hanno messo in ginocchio il sistema finanziario mondiale.


Come può una formula mettere a segno un colpo così devastante?

La risposta risiede nel mercato delle obbligazioni, il sistema che permette a fondi pensione, compagnie d’assicurazione e fondi speculativi di prestare altrettante migliaia di miliardi ad aziende, paesi e acquirenti di case. Un’obbligazione, naturalmente, è solo un pagherò, una promessa di restituire denaro con gli interessi entro una certa data. Se un’azienda prende denaro a prestito emettendo un’obbligazione, gli investitori controlleranno con attenzione i suoi conti, per assicurarsi che disponga dei mezzi necessari per ripagare il debito. Più alto è il rischio percepito – e c’è sempre qualche rischio -, più alto dovrà essere il tasso d’interesse che l’obbligazione porta con sé.

Chi investe in obbligazioni è del tutto a suo agio con il concetto di probabilità. Se esiste l’un per cento di possibilità di fallimento ma si ottengono due punti percentuali di interessi extra, ci si sente in un’ottima posizione: come un casinò che, una volta ogni tanto, è felice di perdere, purché il banco vinca per la maggior parte del tempo.Gli investitori in obbligazioni acquistano anche fondi comuni (pool), che raggruppano centinaia, e persino migliaia, di mutui ipotecari. Le cifre potenzialmente in gioco sono sbalorditive: gli americani oggi devono restituire più di 11mila miliardi di dollari di debiti contratti per acquistare le loro case. Non ci sono tassi d’interesse garantiti, visto che la somma di denaro che i proprietari di case ripagano collettivamente ogni mese dipende da quanti debitori hanno rinegoziato e da quanti hanno saltato il pagamento. Né una data fissa in cui questi interessi maturano: il denaro affluisce in modo irregolare, visto che la gente ripaga il proprio mutuo in momenti imprevedibili. Per esempio, quando decide di vendere la propria casa. E, fatto ancora più problematico, non esiste un modo facile per assegnare una probabilità unica alla possibilità di insolv

Wall Street ha risolto molti di questi problemi con un procedimento definito tranching, che suddivide un fondo in tante parti e permette la creazione di obbligazioni sicure a rischio nullo, valutate con una tripla A. Gli investitori nella prima tranche, o fetta, saranno i primi a essere pagati. Chi viene dopo nella lista potrebbe ottenere solo una valutazione di rischio a doppia A sulla sua tranche di obbligazioni, ma sarà in grado di farsi pagare un tasso d’interesse più alto, poiché si è accollato una possibilità d’insolvenza leggermente più alta. E così via.

Le agenzie di rating e gli investitori si sentivano così sicuri con le tranche a tripla A perché credevano che in nessun modo centinaia di proprietari immobiliari sarebbero stati insolventi tutti insieme nello stesso momento. Una persona può ammalarsi, un’altra perdere il lavoro, ma queste sono disgrazie individuali che non incidono sul fondo di mutui nel suo complesso: tutti gli altri stanno ancora pagando puntualmente le proprie rate.

Non tutte le disgrazie però sono individuali, e il tranching non ha ancora risolto i problemi legati al rischio sui fondi composti da mutui ipotecari. Se i prezzi delle case nella tua zona crollano e tu perdi un po’ della tua quota di capitale, ci sono buone possibilità che anche i tuoi vicini perdano la propria quota. Se, come risultato, diventi insolvente sul mutuo, c’è una probabilità più alta che anche loro non siano in grado di pagare. Si chiama Correlazione: è il grado in cui una variabile si muove in linea con un’altra. Misurare la Correlazione è importante per determinare il fattore di rischio delle obbligazioni sui mutui ipotecari.

Gli investitori amano il rischio, purché possano dargli un prezzo. Quello che odiano è l’incertezza, il non sapere quanto sia grande. Di conseguenza, gli investitori in obbligazioni e i fornitori di mutui vogliono misurare nella maniera più esatta possibile la Correlazione, per darle un prezzo. Prima dell’avvento dei modelli quantitativi, l’unico momento in cui si investiva con relativa tranquillità nei fondi composti da mutui era quando non esisteva alcun rischio; in altre parole, quando le obbligazioni erano garantite implicitamente da agenzie semipubbliche come le cosiddette Fannie Mae e Freddie Mac. Eppure durante gli anni Novanta, mentre i mercati globali si espandevano, c’erano migliaia di miliardi di nuovi dollari che aspettavano di essere messi a disposizione di debitori in tutto il mondo. E non solo delle persone che cercavano un mutuo, ma anche di multinazionali, acquirenti di automobili e in generale di chiunque disponesse di una carta di credito. Il problema è difficile e doloroso. Specialmente quando le parti coinvolte sono migliaia.

Per capire meglio la Matematica della Correlazione, pensate a qualcosa di semplice, come una ragazzina delle elementari: chiamiamola Alice. La probabilità che i suogenitori si separino quest’anno è pari al 5 per cento circa, il rischio che prenda i pidocchi è pari al 5 per cento circa, la possibilità che veda un insegnante scivolare su una buccia di banana è pari al 5 per cento circa, e la probabilità che vinca la gara di ortografi a della propria scuola è pari al 5 per cento circa. Se gli investitori stessero trattando titoli basati sulla possibilità che una di queste cose capiti ad Alice, starebbero tutti trattando più o meno allo stesso prezzo

Ma se consideriamo due bimbe invece di una, non solo Alice ma anche la sua compagna di banco, Britney, accade una cosa fondamentale. Se i genitori di Britney divorziano, quali sono le possibilità che anche i genitori di Alice divorzino? Ancora circa il 5 per cento: la Correlazione qui è vicina allo zero. Ma se Britney prende i pidocchi, le possibilità che Alice prenda i pidocchi sono molto più alte, circa il 50 per cento: la Correlazione è probabilmente salita intorno allo 0,5. Se Britney vede un’insegnante scivolare su una buccia di banana, quante possibilità esistono che anche Alice la veda? Molto alte, sono sedute una accanto all’altra: potrebbero anche arrivare fino al 95 per cento, il che significa che la Correlazione è vicina a 1. E se Britney vince la gara di ortografia, la possibilità che la vinca Alice è zero, il che signifi ca che la Correlazione è negativa: -1. Se gli investitori stessero commerciando in titoli basati sulla possibilità che le cose accadano sia ad Alice sia a Britney, i prezzi sarebbero molto diversi tra loro, visto che le Correlazioni variano notevolmente.

Ma la Correlazione è una scienza molto inesatta. Misurare solo le probabilità iniziali del 5 per cento signifi ca raccogliere grandi quantità di dati disparati e sottoporli a tutta una serie di analisi statistiche e di errore. Cercare di determinare la probabilità condizionata – la possibilità che Alice prenda i pidocchi da Britney – è ancora più diffi cile, visto che quel tipo di dati è molto più raro. A causa della scarsità di dati storici, è probabile che gli errori siano molto più grandi.

Nel mondo dei mutui è ancora più difficile. Qual è la possibilità che il valore di una certa casa diminuisca? Si può guardare alla storia passata dei prezzi degli immobili per farsi un’idea, ma sicuramente anche la situazione macroeconomica del paese gioca un ruolo importante. E qual è la possibilità che se una casa in uno Stato perde valore, lo perda anche una casa simile in un altro Stato?


Qui entra in gioco Li, un astro della matematica, cresciuto nella Cina rurale intorno alla metà degli anni Sessanta.

Bravissimo a scuola, a un certo punto conseguì una laurea in Economia all’università di Nankai, prima di lasciare il paese per un Mba all’università di Laval in Québec. Subito dopo ottenne un master in Scienze attuariali e un dottorato di ricerca in Statistica, entrambi presso l’università di Waterloo in Ontario. Nel 1997 approdò alla Canadian Imperial Bank of Commerce, dove la sua carriera finanziaria cominciò a farsi seria; in seguito si spostò a Barclays Capital, dove nel 2004 fu incaricato di ricostituire la squadra di analisti quantitativi.

Il percorso di Li è tipico dell’epoca quant, che ebbe inizio alla metà degli anni Ottanta. L’ambiente accademico non ha mai potuto competere con gli enormi salari off erti da banche e fondi speculativi. Così legioni di laureati in matematica e fisica sono state arruolate per creare e fi ssare i prezzi e contribuire all’effi cienza delle strutture d’investimento di Wall Stree

Nel 2000, mentre lavorava in JPMorgan Chase, Li pubblicò nel Journal of Fixed Income uno studio dal titolo “Sulla Correlazione d’insolvenza: un approccio basato sulla funzione copula”. In statistica, una copula viene usata per mettere in relazione il comportamento di due o più variabili; usando formule matematiche relativamente semplici, almeno considerando gli standard di Wall Street, Li escogitò un modo ingegnoso di modellare la Correlazione d’insolvenza senza nemmeno guardare i dati storici di insolvenza. Utilizzò, invece, i dati di mercato sui prezzi di strumenti conosciuti come i Cds, Credit default swap (scambio di flussi sui rischi di credito).

Come funzionano i Cds? L’investitore al giorno d’oggi ha due scelte: può prestare denaro in maniera diretta al debitore acquistando l’obbligazione, oppure può vendere i Credit default swap, assicurazioni contro quegli stessi debitori nel caso diventassero insolventi. In ogni caso, percepirà un flusso regolare di introiti, pagamenti di interessi o pagamenti del premio assicurativo. In entrambi i casi, se il debitore è insolvente, perderà un sacco di soldi. I ritorni sono pressoché identici per entrambe le strategie, ma siccome per ogni singolo debitore può essere venduto un numero illimitato di Credit default swap, la disponibilità di swap non è ristretta come quella delle obbligazioni, e quindi il mercato dei Cds è riuscito a crescere in maniera estremamente rapida. Nonostante fossero relativamente nuovi quando uscì lo studio di Li, diventarono presto un mercato più grande e più liquido rispetto alle obbligazioni sulle quali erano basati.

Se il prezzo di un Credit default swap si alza, signifi ca che si è alzato il rischio d’insolvenza. La scoperta di Li fu questa: invece di aspettare di avere messo assieme un numero suffi ciente di dati storici sull’insolvenza, che sono rari nel mondo reale, si poteva usare lo storico dei prezzi del mercato dei Cds. È difficile costruire un modello storico per prevedere i comportamenti di Alice o di Britney, ma chiunque può vedere se il prezzo dei Credit default swap su Britney tende a muoversi nella stessa direzione di quello dei Cds su Alice. E se lo fa, allora c’è una forte correlazione tra i rischi d’insolvenza di Alice e di Britney, come dice il prezzo assegnato loro dal mercato. David X. Li elaborò un modello che usava come scorciatoia i prezzi dei Cds al posto dei dati d’insolvenza del mondo reale, dando implicitamente per scontato che i mercati fi nanziari, e i mercati Cds in particolare, potessero assegnare un prezzo corretto al rischio d’insolvenza.

Era la brillante semplificazione di un problema difficile. E Li non solo alleggerì la difficoltà di elaborare le Correlazioni, ma decise anche di non preoccuparsi di calcolare il numero quasi infi nito di relazioni tra i vari prestiti che costituiscono un fondo. Che cosa succede quando il numero dei partecipanti al fondo cresce, o quando si mischiano Correlazioni positive con Correlazioni negative? Tutto questo non importa, ha detto lui. L’unica cosa che importa è il numero di Correlazione finale: un dato chiaro, semplice e onnipotente, in grado di riassumere tutto.

L’effetto sul mercato della cartolarizzazione fu galvanizzante. Fermiamoci un attimo: la cartolarizzazione, è bene ricordarlo, è una cessione di attività. Se io sono un creditore, posso vendere a un terzo il diritto a esigere dal debitore la somma dovuta con gli interessi. Se il debitore si rivela insolvente, è il terzo acquirente e non il venditore del credito a perdere tutto. Cartolarizzazione, dunque: brandendo la formula di Li, gli Analisti di Wall Street videro un mondo di nuove possibilità. E la loro prima mossa fu creare una quantità enorme di titoli a tripla A nuovi di zecca. Usando la formula di Li, le agenzie di rating non avevano più bisogno di scervellarsi sui titoli sottostanti. Bastava quel numero di Correlazione e ne sarebbe uscito un rating che avrebbe detto loro quanto fosse sicura la tranche

Come risultato, quasi tutto poteva essere messo in un pacchetto e trasformato in un’obbligazione a tripla A: obbligazioni corporate, prestiti bancari, titoli basati su mutui, quello che si voleva. I fondi che ne conseguivano erano spesso noti come Cdo, Collateralized debt obligation. Si poteva dividere il fondo in tranche e creare un titolo a tripla A anche se nessuna delle componenti era una tripla A. Era persino possibile prendere delle tranche con un rating inferiore da altri Cdo e metterle in un altro fondo, suddividendole a loro volta in tranche. Quest’ultimo è uno strumento conosciuto come Cdo al quadrato ed era così lontano da qualunque obbligazione o prestito o mutuo sottostante che nessuno davvero aveva idea di che cosa includesse. Ma non importava. La formula di Li copriva tutto.

I mercati Cds e Cdo crescevano assieme, alimentandosi a vicenda. Alla fine del 2001, c’erano 920 miliardi di Credit default swap non evasi. Alla fine del 2007, quel numero superava i 62mila miliardi; il mercato dei Cdo, che nel 2000 era fermo a 275 miliardi, nel 2006 raggiunse i 4700 miliardi.

Al centro di tutto questo c’era la formula di Li. Tra chi lavorava nella finanza si sentivano parole come “bello”, “semplice” e soprattutto “trattabile”. La formula si poteva applicare ovunque e fu presto adottata non solo dalle banche ma anche dai trader e dai fondi speculativi. «Il trading della Correlazione si è diff uso nella psiche dei mercati finanziari come un virus estremamente contagioso », scrisse il guru dei prodotti derivati Janet Tavakoli nel 2006.


Il danno era preveridibile ed effettivamente fu previsto.

Nel 1998, anche prima che Li inventasse la sua funzione copula Paul Wilmott, consulente e docente di fi nanza quantitativa, scriveva: «Le Correlazioni tra le quantità fi nanziarie sono notoriamente instabili». Affermava, in altre parole, che nessuna teoria dovrebbe essere fondata su parametri così imprevedibili. E non era il solo. Durante gli anni del boom, tutti erano in grado di enumerare le ragioni per cui la funzione di copula gaussiana non era perfetta. L’approccio di Li non ammetteva l’imprevedibilità: dava per scontato che la Correlazione fosse una costante invece che qualcosa di instabile.

Col senno di poi, ignorare gli avvertimenti fu quantomeno avventato. Ma a quei tempi era facile. Le banche non li tenevano in considerazione, anche perché i manager non capivano le discussioni tra i diversi rami dell’universo degli Analisti. E poi stavano facendo troppi soldi.

In finanza non si può mai del tutto ridurre il rischio: si può solamente tentare di mettere in piedi un mercato in cui chi non vuole il rischio lo vende a chi invece vuole rischiare. Ma nel mercato dei Cdo la gente usava il modello della copula gaussiana per convincersi che non c’era alcun rischio, quando in effetti non si correva pericolo soltanto per il 99 per cento del tempo. Per il restante 1 per cento, il rischio era invece esplosivo e poteva facilmente distruggere tutti i guadagni passati.

La formula di Li era usata per dare un prezzo a centinaia di miliardi di dollari in Cdo carichi di mutui ipotecari. E siccome la formula usava i prezzi dei Cds per calcolare la Correlazione, doveva per forza limitarsi a osservare il periodo di tempo in cui quei Credit default swap erano esistiti: meno di dieci anni, un periodo in cui i prezzi delle case erano in crescita costante. Naturalmente, le Correlazioni d’insolvenza erano molto basse in quegli anni. Ma quando il boom dei mutui è cessato e i prezzi delle case hanno cominciato a crollare in tutto il paese, le Correlazioni sono aumentate. Nessuno però voleva fermare la creazione dei Cdo e le grandi banche continuarono a costruirne di nuovi, ricavando i propri dati di Correlazione da un periodo in cui il mercato immobiliare saliva e basta. La prima ragione era che i risultati arrivavano da modelli di calcolo “a scatola nera”, molto diffi cili da sottoporre anche al semplice senso comune.

L’altra ragione era che gli Analisti, che avrebbero dovuto essere più consapevoli dei punti deboli del sistema, non erano quelli che prendevano le decisioni.

«Non si può biasimare Li», dice Gilkes di Credit-Sights. «Dopotutto, ha solo inventato il modello. Invece, dovremmo incolpare i banchieri che lo hanno male interpretato. E persino allora, il vero pericolo non è nato perché un certo trader lo ha adottato, ma perché la totalità dei trader lo ha fatto. Nei mercati finanziari, quando tutti fanno la stessa cosa, è inevitabile che si arrivi a una bolla e alla sua esplosione».

Li è rimasto estraneo al dibattito sulle cause del crac finanziario. Anzi, non è più nemmeno negli Stati Uniti. Parecchi mesi fa si è trasferito a Pechino, ed è attualmente a capo del dipartimento di gestione del rischio di China International Capital Corporation. In un recente colloquio è apparso riluttante a discutere il suo studio e ha dichiarato di non poter parlare senza il permesso del Dipartimento per le pubbliche relazioni. In risposta a una richiesta successiva, l’ufficio stampa della Cicc ha mandato un’email in cui diceva che Li non stava più facendo lo stesso tipo di lavoro, e quindi non avrebbe parlato con i media.

Nel mondo della finanza troppi Analisti vedono solo i numeri davanti a sé e si dimenticano della realtà concreta che le cifre dovrebbero rappresentare. Poi le persone investono sulla base di quelle probabilità, senza fermarsi a chiedersi se i numeri abbiano o meno un senso.

Come lo stesso David X. Li ha dichiarato a proposito del suo modello matematico: «La cosa più pericolosa è quando la gente crede a tutto ciò che ne esce».

Online editing di Isabella Panizza Cutler

lunedì 22 giugno 2009

Economia, Borse e Crisi: dalle Bolle alle Balle

Non me ne voglia Fabio se metto becco sulla economia. Non è il mio campo ma talvolta due pensierini ti vengono.

Premetto subito che non sono un amante della economia basata sulla borsa, se devo fare il tifo sono uno che tifa per la produzione di beni e servizi. Ho sempre trovato che la borsa sia un gestore di flussi di denaro, e non un creatore di ricchezza, il che non significa che non ci si possa arricchire, ma che la ricchezza non è stata prodotta li, ma altrove, e poi drenata da quelle parti.

Parte della mia disaffezione sulla borsa riguarda, lo ammetto, il fatto di essere italiano, il che mi porta a confrontarmi con un mercato dove il concetto di rischio imprenditoriale e di investimento sono termini invisi al management, da noi quando chiedi quale è lo scopo della azienda la risposta è: fare soldi. povero Ford, lui pensava che invece si dovesse fare denaro producendo qualcosa…

Dalle Bolle…

Il mio primo impatto reale col mondo della finanza, e della borsa in particolare, nasce con lo sviluppo di internet e la bolla speculativa esplosa poi negli anni 90. chi ha un minimo di rimembranza in merito ricorderà che in origine furono Amazon e Yahoo a creare un trend. In quel periodo, anni 80 qualche eone fa, tutto ciò che era internet era “cool”, le web company nascevano come funghi e i venture capital manager facevano la gara a finanziare anche le idee più strampalate. In quel clima di euforia poche realtà avevano un serio piano di crescita, Amazon, Yahoo e dopo Google, erano alcune di quelle. Qualcuno ricorderà il concetto di crescita rapida di Amazon, che investi tutto il denaro in arrivo per garantirsi una crescita dimensionale a scapito dei risultati annuali, scegliendo la strada del passivo contabile, rifinanziandosi attraverso le borse per raggiungere la massa critica necessaria a diventare la azienda di oggi (adoro la storia di Amazon perché è la dimostrazione che un passivo contabile può essere un attivo economico).

Ma cosa era successo? Perché nessuno analizzava cosa ci fosse dietro?

Dal mio punto di vista, da osservatore esterno e non competente, direi che ci sono stati due fattori trainanti:

  1. da un lato la apertura di un nuovo mercato, condizione fondamentale per un meccanismo economico che si basa sulla assunzione della crescita perenne.
  2. dall’altro la assoluta convergenza di realizzi in tempi di breve periodo promessi dalle web company e intrinseci al DNA della borsa

La apertura di nuovi mercati storicamente porta le borse a infilarsi in bolle speculative, particolarmente se questi sono legati alle nuove tecnologie. Era già successo con i treni proprio negli USA, ed in parte sta succedendo adesso con il mercato delle auto.

L’ansia del guadagno facile spesso porta  gli operatori a sottostimare il rischio. Si tende a dimenticare che l’economia è una scienza sociale, nel senso che la componente umana assolve un ruolo determinante, nel bene e nel male.

Ora è proprio nella gestione del rischio che la borsa dovrebbe affondare parte della sua ragione di essere. Capitalizzarsi in borsa rispetto alla richiesta ad una banca o un finanziatore singolo permette un più facile reperimento di capitali e un abbassamento del rischio di impresa per chi distribuisce i suoi investimenti.

Il problema della gestione del rischio però è qualcosa che, in parte, capisco in quanto mi occupo di sicurezza. Ok la sicurezza informatica non è la finanza, ma provo a portare parte della mia professionalità in quest’ambito.

La prima distonia che vedo è la differenza di orizzonte temporale.

Ogni produzione, beni o servizi che sia, ha i suoi tempi e le sue ciclicità. La valorizzazione della produzione non è costante per motivi che possono essere i più disparati, dai tempi di refresh tecnologico (si pensi alla differenza tra la legge di Moore vs il refresh tecnologico del mercato auto) alla concorrenza, ai mutamenti culturali (cosa è cool oggi può non esserlo domani), e via dicendo.

Niente di nuovo sotto il sole.

Ora se è vero che ogni attività produttiva ha i suoi tempi di espansione, è anche vero che chi investe in borsa se ne frega abbastanza delle esigenze di produttività. Qui il dogma non è la produzione ma il realizzo rapido. Questo non è un problema in fase espansiva, ma diventa un peso in fase recessiva o stagnante. La ciclicità della produzione quindi si scontra con le esigenze di monetizzazione del mercato borsistico, che pone vincoli spesso controproducenti nell’ambito della economia del produttore.

Dipendere troppo dalla borsa e dalla sua indicizzazione può spingere il management di una azienda a compiere, in fase di recessione, scelte irrazionali dal punto di vista produttivo. Un esempio di questo andamento è il mercato dell’auto.

Il mercato automobilistico non è un mercato infinto, ci sono dei limiti al numero di auto che un utente può acquistare. La spinta al ricambio, per altro, non è giustificata da un effettivo ricambio tecnologico. In questo mercato vi è stato l’intervento mediatore dello stato che ha fornito un alibi tecnologico al ricambio inserendo vincoli ambientali (in Europa i vincoli “euro n”) abbastanza slegati da considerazioni ambientaliste o di effettivo valore tecnologico.

Se il comparto informatico fosse cresciuto, in termini di tecnologia, con lo stesso ritmo di quello automobilistico oggi saremmo ancora alla macchina di Touring.

Purtroppo investire in tecnologia comporta costi e tempi abbastanza lunghi, ne consegue che la crescita del mercato dell’auto doveva essere fatta, per mantenere i costi bassi ed i realizzi rapidi, a spese di questo tipo di investimento, con bene placido di banche e borse.

Il risultato è la bolla attuale, in cui i nodi di un sistema inefficiente hanno provocato una crisi di cui è il contribuente a pagare il conto, dopo aver pagato per anni una crescita innaturale e, mi si conceda, economicamente demenziale.

Se si fa caso spesso viene premiato in borsa un depotenziamento delle capacità produttive a fronte di una crisi, senza fare analisi di medio periodo sulle conseguenze che tale depotenziamento comporta. Licenziamenti e delocalizzazioni assumono sensi profondamenti diversi se si accompagnano a seri investimenti di sviluppo tecnologico o se sono semplicemente operazioni di cost reduction.

La distonia temporale porta come conseguenza tipica un senso deviato del concetto di ROI, dove il ritorno dell’investimento viene calcolato senza tener presente il reale ciclo di vita produttivo, e alla definizione di budget in perenne crescita, indipendentemente dalle condizioni al contorno.

La seconda distonia che riscontro è insita nel concetto di gestione del rischio.

Il risk management prevede delle azioni che, come estrema semplificazione, si possono consolidare in 3 termini:

  • valutazione del rischio
  • mitigazione del rischio
  • trasferimento del rischio

Queste operazioni hanno un costo e dei benefici. Il concetto base è che la somma totale dei costi associati al rischio  non deve superare il valore protetto.

la valorizzazione del rischio R dipende dal contesto e si basa fondamentalmente su 2 parametri: la grandezza della potenziale perdita L e la probabilità p che la perdita effettivamente debba essere sostenuta.

Ri = Lip(Li)
Rtotal =Lip(Li)
i

è abbastanza logico imporre che Rtotal sia maggiore o uguale alla somma dei costi di gestione del rischio C e che la differenza tra Rtotal e Ctotal sia la nostra propensione al rischio.

è da notare che  Ci è una funzione che dipende in qualche modo da  Ri  e quindi è in realtà un  Ci (Ri )

Nel caso in cui Rtotal sia minore dei costi di gestione del rischio Ctotal diventa antieconomico proteggersi e quindi o non percepiamo il rischio della attività, il rischio è nullo, o i costi di protezione rendono la attività antieconomica.

dal punto di vista della esperienza day by day associamo a questa gestione gran parte dalle nostre attività:

posso attraversare la strada?

posso comprare questa cosa?

posso stare con questa persona?

Il “rischio” deriva dalla nostra incapacità di effettuare scelte assolute e sicure a causa della indeterminabilità di una serie di fattori. Volenti o nolenti le attività di gestione del rischio sono alla base della nostra esperienza quotidiana e le affrontiamo in funzione della nostra personale propensione al rischio.

Un sistema produttivo non si discosta molto da questa visione, la gestione del rischio diventa una componente della imprenditorialità e si confronta

Nel mercato borsistico però avviene una gestione del rischio abbastanza innaturale, almeno dal punto di vista umano. Il rischio diventa una cosa astratta, non reale, e viene quindi più facilmente trasferito. Il problema della trasformazione e trasferimento del rischio però non ne mitiga la essenza fondamentale.

Quello che è successo con il mercato dei subprime legati ai mutui per l’acquisto di una casa negli USA fondamentalmente è stata una magistrale operazione di trasferimento del rischio; mascherandolo con formule finanziare ardite nei fatti si è trasferito il rischio ad altri alimentando la artificiosa sensazione che questa operazione mitigasse il rischio medesimo.

Essendo le operazioni di borsa, abbiamo detto prima, sensibili al guadagno facile i prodotti derivanti erano appetibili, in ottica di breve periodo, contando sul fatto che questi potevano essere a loro volta rimodellati per essere trasferiti ad altri. Questo ha consentito un innaturale innalzamento della propensione al rischio in quanto la componente percepita C era in realtà aleatoria e non funzione reale del vincolo di rischio.

In un mercato in espansione (anche se fittizia) il meccanismo funzionava in quanto il trasferimento del rischio consentiva l’afflusso di nuovi capitali di rischio che consentivano l’erogazione di nuovi mutui che a loro volta permettevano al mercato immobiliare di aumentare i prezzi al di fuori delle logiche di produzione di quel mercato. L’aumento del valore della case abbassava apparentemente il rischio di una perdita ma in realtà essendo questo aumento slegato dalle economie specifiche di quell’ambito produttivo, era ancora una volta un trasferimento e non una mitigazione.

Il problema sorge quando occorre realizzare “realmente” dalla produzione. In questo caso ci si accorge che il rapporto tra domanda ed offerta è squilibrato e questo comporta, nel mondo reale, una variazione del mercato. Purtroppo la variazione è stata, come era abbastanza sensato aspettarsi in questo caso, in direzione di una contrazione della capacità di spesa ed il conseguente deprezzamento delle case.

Del resto se la capacità reale di acquisto degli americani rimane legata al loro stipendio, o questo cresce con il crescere dei costi delle case o il giochino si rompe.

A questo punto è successo che la “mitigazione” del rischio in realtà non esisteva e che il differenziale tra il  rischio ed i costi di gestione faceva aumentare di gran lunga la propensione al rischio associata alla operazione.

Gli operatori hanno iniziato quindi a cercare di liberarsi di questi prodotti troppo rischiosi instaurando un meccanismo di crisi. La propensione al rischio è stata forzosamente portata a zero per il calo generalizzato di fiducia e questo ha reso la funzione di rischio antieconomica.

Nei fatti se doveva essere:

RtotalCtotal = propensione al rischio

essendo la propensione al rischio diventata 0

si ha

Rtotal = Ctotal

Se ci ricordiamo abbiamo prima osservato che i costi di gestione del rischio sono una funzione della natura e contesto del rischio stesso. Un meccanismo di gestione di risk management slegato dalla reale natura del rischio di fatto è fittizia, la conseguenza è stata che  Ctotal in realtà non solo non era uguale ad Rtotal ma molto più bassa.

I soldi che dovevano essere investiti per aumentare Ctotal al fine di mantenere la propensione al rischio entro valori accettabili non esistevano, spariti.

Questa operazione svolta in assoluta legalità è nei fatti la riproposizione, in termini di risk management, del classico Ponzi Scam.

Pur concedendo il fatto che questa è una analisi abbastanza semplicistica rimane il fatto che gli analisti di borsa e gli inventori dei prodotti finanziari basati sui subprime avrebbero dovuto o sapevano benissimo che la dinamica del mercato avrebbe chiesto, alla fine, il conto.

La operazione è stata voluta e consapevole, sapendo che prima o poi qualcuno avrebbe dovuto pagare il conto di una truffaldina gestione di risk management. Budget e manager si sono macchiati, nei fatti, di una operazione che se dal punto di vista etico era lecita (legalizzata di regolamenti della gestione della finanza) da un punto di vista morale risultava decisamente discutibile.

Curiosamente in altri ambiti economici, infatti,questa operazione è considerata una truffa.

Immaginate che io vi venda una polizza di assicurazione ma che, in realtà, non disponga assolutamente del capitale per assolvere agli obblighi della polizza, intaschi i soldi e poi me ne vada allegramente a vivere in un paradiso caraibico…

… alle Balle

Ora questa allegra gestione nei fatti non è legata solo ai subprime od alla bolla immobiliare statunitense. Il problema è di natura generale.

Le distonie di cui parlavo prima esistono anche in altri settori, sopravvivendo in un meccanismo delicato di crisi cicliche e riconciliazioni. Sta al lavoro degli economisti capire se queste oscillazioni siano convergenti o meno, ed eventualmente quali correttivi porre per garantirsi la convergenza.

Dal mio punto di vista di mero osservatore non competente posso solo osservare che se il meccanismo è prono per sua natura allo sviluppo di bolle speculative, è evidente che occorrono interventi strutturali che indirizzino non solo la bolla speculativa per se, ma il meccanismo che la ha creata.

Nel caso specifico la gestione truffaldina del trasferimento di rischio mascherandolo come mitigazione del rischio medesimo va indirizzata ad hoc.

A questo punto, estremizzando, trovo francamente ridicolo che si monti il caso Madoff e lo si accusi di aver utilizzato gli stessi modelli che ho descritto sopra accusandolo di aver effettuato una truffa.

Siamo, purtroppo, in presenza di una imbarazzante mancanza di trasparenza e di un diffuso uso della comunicazione “aggiustata” o contestuale (io le chiamo Balle, ma non è politically correct, ne convengo). Si usa Madoff per dimostrare la pulizia del sistema e si omette di descrivere questa crisi come in parte causata dagli stessi meccanismi. Il risultato che Manager e banchieri sono stati “salvati” tramite fondi pubblici per permettere al sistema di continuare ad alimentare il problema.

In Italia si direbbe “cornuti e mazziati”.

La ricaduta della crisi è principalmente una crisi di fiducia, col calare della fiducia cala la propensione al rischio e quindi crescono i costi del risk management.

Non potendo questi crescere oltre certe soglie per diversi motivi ne risulta che il differenziale (rischio  – costi di gestione del rischio) è maggiore alla effettiva propensione al rischio.

La conseguenza è il disinvestimento, che porta le aziende ad avere problemi di liquidità necessari alla gestione della produzione che, insensibile ai guru della finanza, continua a funzionare in base alle esigenze proprie.

I vincoli posti per il ottenere il necessario finanziamento impongono una riduzione dei costi di produzione ottenibile, tipicamente, tramite la dismissione di unità produttive, ed un aumento dei costi del finanziamento stesso per coprire l’abbassamento della soglia di rischio.

Questo genera  per le aziende da un lato un aumento dei costi per ottenere i finanziamenti e dall’altro la diminuzione di capacità produttiva.

Si noti che in questo meccanismo perverso a farne le spese è la produzione in quanto il comparto finanziario mitiga i rischi della sua cattiva gestione proprio a scapito del generatore di valore.

In altre parole chi ha generato per i suoi comportamento la crisi chiede al contribuente soldi per coprire i suoi errori e, contestualmente, fa pagare la stessa crisi al generatore di valore, la produzione. Mi sfugge però quale sia il valore aggiunto che offre alle dinamiche economiche, se non l’arricchimento a spese del tessuto produttivo reale.

Se questo valore consiste nel gestire il rischio del capitale nei confronti della impresa per permettere alle imprese sane di crescere in maniera efficiente ed efficace e consentirgli un accesso alle risorse finanziarie necessarie al suo sviluppo ed alla sua trasformazione in tempi di crisi…beh … ho come la impressione che abbiamo qualche problema.

Consideriamo poi le conseguenze più in basso:

  • le delocalizzazioni e le dismissioni di unita produttive comportano licenziamenti.
  • le persone licenziate subiscono un calo drastico del reddito e quindi contribuiscono da un lato al calo dei consumi e dall’altro all’abbassamento della fiducia
  • questi ultimi due fattori portano ad un abbassamento della propensione al rischio ed al relativo aumento dei costi di finanziamento
  • l’aumento dei costi di finanziamento aumenta le barriere all’ingresso di nuove attività produttive che potrebbero portare ad una ripresa della produzione e del consumo

Come dirlo diversamente

… per risolvere la crisi del mercato immobiliare non ha senso ora non erogare più mutui, ma occorre darli valutando correttamente il rischio ed il valore dell’immobile. Tradotto se guadagno 1000 euro al mese difficilmente ha senso finanziarmi una villa da un milione di euro… ma una casa mi serve quindi questo è un investimento finanziario che ha un senso economico.

… per superare la crisi di molti settori produttivi (vedi l’auto), occorre investire in rinnovamento tecnologico che non può esserci senza l’afflusso di capitali. prima ancora che l’uso di fondi pubblici, le banche salvate devono reinvestire i soldi ricevuti in queste attività.

Il meccanismo della crisi è perverso, non sono in grado di definire quale sia il suo grado di involuzione a livello globale, ma posso dare qualche impressione a livello italiano.

l’Italia, come molti sapranno, è la ex ottava economia del mondo.

Ha puntato negli anni, strategicamente al disinvestimento delle funzioni di ricerca e sviluppo, ha scelto, sempre strategicamente, di disincentivare la qualità della formazione al fine di permettere alla manodopera di non riqualificarsi. Ha poi oculatamente evitato che le infrastrutture diventassero aggiornate e moderne. Con scelte di campo decise ha puntato, ad esempio, sull’automobile tradizionale contando sulla enorme diversificazione della nostra economia capace di assorbire senza battere ciglio ad una crisi di quel comparto. Ha fatto della trasparenza il suo credo, rendendo lecito il falso in bilancio (perché nasconderlo, suvvia)…

Ed ha affrontato questa crisi mondiale col sorriso e la fiducia di chi sa che nel torbido si pesca meglio….

Ah la crisi non c’è, ma fondamentalmente per sorpassarla basta solo la fiducia.

la vedo dura….

ciao

A

 

 

 

 

 

 

venerdì 19 giugno 2009

FASTERNET: TECNOLOGIA PER LA VITA

Ha avuto uno splendido successo l’evento Fasternet “TECNOLOGIA PER LA VITA” L’infrastruttura Abilitante: più risparmio, più benessere, più umanità”, tenutosi il 16 Giugno 2009 presso il Chervò Golf San Vigilio, Pozzolengo (BS). Il posto era stupendo, gli interventi interessanti ed il pubblico attento, nonostante la mia presenza

Le presentazioni del seminario sono disponibili sul sito di Fasternet.

Complimenti Guys and Girls ottimo lavoro.

A

domenica 14 giugno 2009

Xiadani canta fratelli d’Italia

Lo so è vecchio, lo so c’è già in YouTube, ma che ci posso fare, mi manca la ciotolina e questo video mi piace da morire.

Non vedo l’ora che tornino a casa dopo una fantastica esperienza in Giappone. Inutile dire che sono convinto che visitare paesi e culture diverse, apprenderne la lingua e confrontarsi con loro non può che aumentare il bagaglio culturale, la capacità critica ed, in ultima analisi, la capacità  di godersi la vita di una persona. Quindi cercherò di di dare alla mia Xiadanina, a Rika ed a me la possibilità di continuare ad essere liberi pensatori e cittadini di questo meraviglioso e pazzo mondo, alla faccia di chi non vuole il multiculturalismo 🙂

venerdì 12 giugno 2009

Destra e Sinistra

La cosa peggiore di parlare di politica con gli amici è che poi mi rimane il tarlo e va a finire che invece di dormire mi metto a scrivere.

Ecco che mi trovo adesso a dover rispondere alla domanda che io stesso ho incautamente posto: cosa vuol dire che sei di destra o di sinistra?

So che la distinzione più ovvia è l’appartenenza alla sezione di emiciclo del nostro parlamento. Se ti siedi a destra sei di destra, se ti siedi a sinistra sei di sinistra, ma oltre a questa profonda differenza in cosa altro si distinguono?

mi piacerebbe che qualcuno me lo spiegasse perché io francamente ho qualche difficoltà.

Analizzando con i miei strumenti la questione mi pongo innanzi tutto una domanda: cosa vuol dire politica?

« L’uomo è per natura un animale politico » (Aristotele, Politica)

La definizione classica  aristotelica direbbe che la politica è l’arte di gestire la società. dove per società a dire il vero il buon Aristotele intendeva la città (da polis "πόλις", città).

Esistono diverse definizioni di politica successive: per Max Weber la politica non è che aspirazione al potere e monopolio legittimo dell’uso della forza; per David Easton essa è la allocazione di valori imperativi (cioè di decisioni) nell’ambito di una comunità; per Giovanni Sartori la politica è la sfera delle decisioni collettive sovrane.

Diciamo che io mi accontento di dare una definizione più banale, e do alla politica la caratterizzazione di insieme di attività atte a definire la gestione delle risorse, materiale, umane o culturali che siano di una comunità.

In quest’ottica la politica diventa un meccanismo per definire la forma di governo e gestione della comunità.

Quindi per capire cosa è destra o sinistra in primo luogo avrei bisogno che mi si spiegassero le basi per la gestione della suddetta comunità.

Ancora una volta la semplificazione è d’obbligo per permettermi la comprensione della questione, ma avrei bisogno di capire almeno:

  • A cosa serve, se serve, uno stato (inteso come insieme di istituzioni atte a governare)
  • quale forma deve avere questo stato
  • quale forma di rappresentatività
  • quale forma di gestione economica
  • quale forma di gestione giuridica

e cosi via

Se devo essere sincero non so se nel quadro politico attuale siano ben chiare queste differenze, soprattutto per il fatto che la attuale competizione politica sembra più orientata al gossip che a un confronto concreto.

ma torniamo ai punti precedenti:

Il primo punto è cruciale, serve a definire se serve uno stato, e se serve ovviamente quale deve essere la sua funzione.

Lo “stato” non esiste sempre ne nella storia ne in tutte le comunità umane. Il fatto che sia presente nella maggior parte delle organizzazioni umane attuali non significa che sia la unica possibilità.

personalmente sono della idea che uno stato serva ma cosi ad occhio direi che le due possibilità sono

  • Esiste uno stato
  • Non esiste uno stato

Se non esiste lo stato immagino che la gestione dei rapporti interpersonali sia delegata al singolo individuo

Se esiste lo stato questo deve gestire in qualche modo la RES PUBLICA dandosi uno scopo. Quindi la domanda di quale sia lo scopo di uno stato non è banale.

Lo scopo di uno stato può essere cercare di garantire il benessere dei cittadini (Aristotele torna ancora con la polis-città), può essere di limitarsi a gestire i conflitti lasciando al singolo il resto, e cosi via

Personalmente sono della idea che lo scopo di uno stato sia di gestire le risorse e fornire regole di indirizzo e comportamento che permettano di gestire i conflitti tra i componenti dello stato stesso. Credo anche che il compito di uno stato sia di fornire una struttura che permetta ai cittadini componenti dello stato di avere accesso agli strumenti che gli consentano il raggiungimento del miglior livello di vita possibile. Tra questi strumenti troviamo l’istruzione, la sanità e cosi via.

Non confondo però il compito dello stato (garantire tali strumenti) dal modello di erogazione (pubblico o privato).

Lo stato poi deve essere etico o morale?

per chiarirsi le idee intendo per etico uno stato dove leggi e regolamenti nascano da una dialettica tra diverse esigenze, uno stato morale è uno stato dove le leggi sono dettate da un imperativo legato al possesso di una verità assoluta, e quindi esclusiva. Un esempio di stato morale è lo stato confessionale, che può assumere forme disparate:

dalle monarchie assolute come in medio oriente, a quelle elettive, come nel caso del vaticano alle repubbliche come nel caso della repubblica islamica iraniana.

Il secondo punto è la forma che deve prendere lo stato.

Anche qui se sorvoliamo sul generico termine “democrazia” citato da tutti potremmo effettuare una serie di distinzioni.

Il governo potrebbe essere una democrazia plebiscitaria, una repubblica, una monarchia assoluta, una monarchia costituzionale, una monarchia elettiva, una dittatura illuminata di un singolo, una dittatura elettiva e cosi via.

In Europa, ad esempio, si tende a dimenticare che molti stati sono, di fatto, delle monarchie (Spagna, Inghilterra ad esempio), altri sono delle repubbliche (Francia innanzi tutto, ma anche noi…) e cosi via.

Il punto quindi è di fondamentale importanza.

  • La monarchia è di destra o di sinistra?
  • E la dittatura?

Il meccanismo che determina la rappresentatività è in parte insito nel tipo di stato (una monarchia assoluta, dittatura ad esempio) in altri casi è una discriminante.

Il problema è: chi ed in che forma può accedere alla gestione dello stato, chi ed in che forma può decidere chi accede a tali cariche gestionali?

Si possono fare (e si fanno) distinzioni per censo, classe sociale, sesso, religione, orientamento sessuale o religioso e cosi via.

Per mantenere un esempio familiare in Italia abbiamo una repubblica elettiva, i membri sono discriminati essenzialmente per età, mentre dal punto di vista elettivo il suffragio (diritto di voto) è discriminato per età e per cittadinanza, possono votare i cittadini italiani per le politiche, mentre i cittadini europei possono votare, ad esempio, per le europee anche per i candidati del paese che li ospita.

In questo caso quali sono le differenze tra destra e sinistra?

affrontando il tema della gestione economica fondamentalmente troviamo alcuni punti chiave:

  • riconoscimento della proprietà privata o meno
  • riconoscimento della proprietà pubblica o meno
  • intervento dello stato nel tessuto economico o meno

apparentemente semplice questa divisione non è cosi banale, termini abusati come comunismo e capitalismo sono spesso usati a sproposito.

Il capitalismo non è altro che una teoria economica, che descrive il meccanismo della distribuzione delle risorse. Adam Smith  non ha mai sostenuto che il mercato deve essere il padrone assoluto delle risorse, al contrario era sostenitore, da buon vittoriano, di un forte rigore morale garantito dalla legge dell’uomo e di Dio.

Il comunismo altro non è che una altra teoria, più sociologica che economica e sostiene un modello economico in cui la proprietà privata è fortemente criticata.

Oggi come oggi non esistono sistemi “comunisti” o “capitalisti” in senso stretto. Lo stato interviene con regole e vincoli per gestire l’economia, il “libero mercato” inteso come una entità che si autoregola senza l’intervento di altre entità, è una utopia inesistente.

la differenza tra destra e sinistra può, in questo caso, essere legata alla appartenenza o meno ad una teoria economica, mi piacerebbe capire quale è.

Qualcuno potrebbe ricordare,magari, che il fascismo (che viene definito di destra) era un movimento profondamente anticapitalista, sociale, antiliberale e totalitario.

« Il Fascismo è una grande mobilitazione di forze materiali e morali. Che cosa si propone? Lo diciamo senza false modestie: governare la Nazione. Con quale programma? Col programma necessario ad assicurare la grandezza morale e materiale del popolo italiano. Parliamo schietto: Non importa se il nostro programma concreto, non è antitetico ed è piuttosto convergente con quello dei socialisti, per tutto ciò che riguarda la riorganizzazione tecnica, amministrativa e politica del nostro Paese. Noi agitiamo dei valori morali e tradizionali che il socialismo trascura o disprezza, ma soprattutto lo spirito fascista rifugge da tutto ciò che è ipoteca arbitraria sul misterioso futuro. »

<p><em>(<a href="http://it.wikiquote.org/wiki/Benito_Mussolini">Benito Mussolini, 19 agosto 1921 - Diario della Volontà</a>)</em></p> 

Quindi se il fascismo è di destra, in quanto antiliberale, antidemocratico e anticapitalista, allora direi che tutto l’arco costituzionale italiano, oggi come oggi, è di sinistra.

Per comunismo si intende in primo luogo una realtà sociale che presuppone la comunanza dei mezzi di produzione e l’organizzazione collettiva del lavoro. Analogamente per quello che concerne il comunismo potremmo ricordare quanto dicevano i comunisti:

« Il comunismo non è una dottrina ma un movimento; non muove da princìpi ma da fatti. I comunisti non hanno come presupposto questa o quella filosofia, ma tutta la Storia finora trascorsa e specialmente i suoi attuali risultati reali nei paesi civili. »

<p>(<a href="http://it.wikipedia.org/wiki/Friedrich_Engels">Friedrich Engels</a>, Deutsche- Brusseler- Zeitung n. 80 del 7 ottobre 1847)</p>    <p><b>«</b> Chiamiamo comunismo il movimento reale che abolisce lo stato di cose presente. <b>»</b></p>    <p>(<a href="http://it.wikipedia.org/wiki/Karl_Marx">Karl Marx</a> e <a href="http://it.wikipedia.org/wiki/Friedrich_Engels">Friedrich Engels</a>. L'Ideologia tedesca, 1846)</p> 

Se questa è la sinistra, allora nessun partito dell’arco costituzionale si può dire “comunista”

Sono confuso.

Anche la forma di gestione delle leggi: come devono essere promulgate e da chi, il livello di autonomia degli organi che fanno le leggi (legislativi) da quelli che le leggi le gestiscono (giuridici) potrebbero determinare la differenza tra destra e sinistra.

Questa differenza, però, trovo difficile che si esplichi in alcuni tecnicismi quali la separazione della carriera dei giudici. Un tecnicismo simile può essere di destra o di sinistra?

Altre differenze che vengono tipicamente in mente per distinguere la differenza tra destra e sinistra sono il senso della patria, il nazionalismo, il militarismo eo pacifismo, il senso dell’onore, il rispetto della legge e cose del genere.

Eppure questi parametri non si possono dire ne di destra ne di sinistra, nella storia ci sono stati patrioti, farabutti, nazionalisti, pacifisti e guerrafondai di tutti i colori.

Forse ho capito:

Antiamericano = comunista = di sinistra?

No non direi sia reale come divisione, a meno che si intenda come antiamericano qualsiasi critica alle scelte politiche degli stati uniti.

Antirusso = capitalista =di destra?

Non funziona neanche cosi, abbiamo detto prima che il capitalismo era esecrato anche dal fascismo.

Non funziona neanche la divisione per religione, ci sono cattolici che si dichiarano di sinistra e di destra, ammesso che la cosa abbia senso, visto che ancora non ho capito in cosa si differenzia la destra dalla sinistra, in particolare in Italia.

E poi ci sono anche altre religioni, induisti, musulmani, ebrei, valdesi, testimoni di Geova, animisti, buddisti, shintoisti, luterani…. e ci sono perfino atei ed agnostici (non è una malattia).

insomma chiunque voglia darmi una mano è benvenuto.

 

ciao

A

giovedì 11 giugno 2009

Free Webmail e SPAM: come dove e perché

Ritorniamo dopo tanto web browsing a parlare di Mail e di Webmail in particolare.

le Webmail sono uno degli strumenti di invio di spam più in uso nel pianeta. le motivazioni di questo uso è che sono particolarmente semplici da gestire utilizzare, e soprattutto sono gratuite.

Esiste un mercato particolarmente fiorente che riguarda la creazione di account di webmail che si espone alla luce del sole.

Le motivazioni sono evidenti, “comprare” un certo numero di caselle di posta free da un provider di livello (Yahoo, Google, Microsoft, AOLICQ o liberoWind per citare i più grossi) consente di inviare spam attraverso un canale che verrà difficilmente blacklistato e consente di mantenere un largo anonimato.

Va considerato anche il fatto che molti di questi provider di servizi di mail, e in particolare Yahoo(Ymail, e le varie declinazioni nazionali Yahoo.xx), Google (Gmail), Microsoft (Hotmail, MSN, Live) ed AOLICQ offrono servizi integrati come Messenger, Scambio di documenti, condivisione di blog etc…… etc……, che possono essere usati per veicolare ulteriori messaggi, spam o malware che sia.

Innanzi tutto dobbiamo chiederci perché un provider offre una webmail free al pubblico: la risposta è semplicemente pubblicità.

Questo è anche il motivo per cui, in origine, la lotta allo spam era vista come  un servizio marginale. il conteggio e la valorizzazione della pubblicità su di una webmail si basa infatti fondamentalmente su due paradigmi:

  • più utenti = maggior valore per gli inserzionisti = più spazi per  pubblicità venduti = più soldi
  • più traffico = più uso del mezzo = più valore per gli inserzionisti= più spazi per  pubblicità venduti = più soldi

per quanto banale sia questa osservazione, la cosa ha consentito da un lato la crescita esponenziale delle webmail, dall’altro l’accesso a spammer ed cybercriminali a questo strumento.

Il problema nasce negli scorsi anni quando ci si accorge che la proliferazione dello spam proveniente dalle caselle di webmail free porta a due fenomeni fastidiosi:

Da un lato la disaffezione del pubblico nei confronti delle mail troppo intasate da spam, dall’altro il proliferare di meccanismi di blacklisting che, nei fatti, impedivano un coretto uso del mezzo da parte degli utenti in maniera indiscriminata.

La conseguenza evidente è una diminuzione degli introiti pubblicitari del provider di servizi, da qui nasce l’esigenza della lotta allo SPAM.

Questa lotta viene effettuata oggi come oggi su due direttive principali e, nei fatti, sottintende ad esigenze di business abbastanza diverse.

SPAM in ingresso Vs. Spam in USCITA

Cerchiamo innanzi tutto di capire come funziona, in maniera elementare, una webmail.

La Webmail non è altro che un client di posta che non risiede sul PC di un’utente ma risiede su un webserver.

I metodi di comunicazione tra l’utente ed il client sono propri della comunicazione via HTTP, sarà poi compito del Webmail server tradurre e comunicare correttamente (SMTP, IMAP, POP) col Mail server vero e proprio.

L’uso di una webmail per altro non impedisce l’uso di metodi tradizionali quali imap, pop3 ed smtp ma è complementare a questi.

Dal punto di vista della free Webmail il lato chiave consiste nel consentire all’utente di registrarsi autonomamente. Il Webmail server offre un form tramite il quale l’utente crea la sua casella di posta, la sua username e la sua password.

Essendo il meccanismo eseguito tramite HTTP le transazioni possono essere facilmente automatizzate a patto di scoprire la sequenza di comunicazione che avviene tra il client ed il server.

Questa è una operazione elementare alla portata di chiunque: per provare installatevi su firefox live header e vedete cosa accade quando fate una registrazione di un account di mail. ad esempio su libero ottenete:

Come si nota il tutto si riduce ad una serie di POST inviati con una sintassi elementare.

Diventa estremamente facile, quindi, cercare di forzare questo schema con un software che, automaticamente, generi un largo numero di account.

La Webmail per sua natura quindi è un Mail server con una interfaccia client gestita da un WebMail Server che consente la comunicazione con un qualsiasi sistema postale.

La posta quindi può assumere 3 direttive fondamentali:

  1. posta dall’esterno verso la webmail
  2. posta dall’interno della webmail verso l’esterno
  3. posta tra utenti della medesima webmail.

Se aggiungiamo il fatto che alcune caselle sono in mano a servizi di spamming e che lo spam arriva da fuori otteniamo le seguenti elementari considerazioni:

Gli utenti della Webmail ricevono SPAM dall’esterno:

Questo si traduce in un fastidio per l’utente che può portare alla sua disaffezione e quindi al calo degli introiti pubblicitari. La soluzione in questo caso è quella di diminuire lo spam in ingresso con apposite soluzioni antispam per l’INBOUND

Gli utenti Webmail ricevono SPAM dall’interno:

Questo si traduce in 2 elementi chiave: da un lato c’è il fastidio dell’utente e la sua disaffezione che porta ad un calo del numero di utenti e quindi un calo degli introiti pubblicitari, dall’altro lo spam interno generato è indice che vi sono caselle non associate ad un utente umano e quindi inutili ai fini pubblicitari. questo porta ad una dequalificazione del valore delle caselle a fini pubblicitari e quindi al calo del valore unitario per casella. ancora una volta questo si traduce in un abbassamento degli introiti pubblicitari. La soluzione più efficiente in questo caso è cercare di assicurarsi l’umanità degli utilizzatori delle caselle di posta.

Utenti esterni ricevono spam dalla Webmail:

In questo caso il problema è legato a due fattori:

  • il blacklisting
  • la pubblicità negativa

è evidente come questi due parametri incidano sul valore della webmail, anche se in maniera più marginale rispetto a quelli precedenti. La soluzione è tipicamente quella di mettere un sistema antispam anche in uscita.

Risulta evidente quindi che per le webmail diventi imperativo adottare meccanismi di controllo per ridurre l’impatto di questo fenomeno, e che le problematiche inerenti lo SPAM in ingresso (se si vuole generato esternamente) ed in uscita (o generato INTERNAMENTE) richiedono approcci e metodologie profondamente diverse e sottintendono esigenze economiche diverse.

Il tutto si può tradurre nel seguente paradigma:

perché una casella di mail abbia valore deve essere associata ad un utente umano e, questi, deve utilizzarla con soddisfazione.

In origine venne l’antispam

Il primo meccanismo di difesa delle webmail è stato, ad onor del vero, l’introduzione di filtri antispam più o meno efficienti.

l’introduzione di meccanismi antispam in ingressouscita è servito a mitigare le problematiche di spam. ben presto però ci si è resi conto che questa protezione non era sufficiente; il tasso di errore ad esempio (falso positivo eo falso negativo) e le problematiche inerenti allo spam generato internamente non erano soddisfacenti.

Il passo successivo è stato l’introduzione (YAHOO e Microsoft in primis) delle junk folder (caselle spam) e della possibilità di dare all’utente la capacità di notificare se il messaggio era o meno di spam.

 

Il meccanismo di notifica (spam, non spam) consente l’aggiustamento dei parametri del motore antispam, e consente anche di misurare il livello di affezione del cliente.

[NOTA: è fuori dallo scopo di quest’articolo indicare come certe metriche possano essere utilizzate per misurare il gradi di affezione di un utente, ma per chi fosse interessato ad aprire un tavolo di discussione sull’argomento avete la mia assoluta disponibilità]

Questa introduzione ha consentito un miglioramento dell’uso della mail ed ha, nei fatti, dato il via alla seconda giovinezza di provider come Microsoft che aveva sofferto per un certo periodo una crescente disaffezione del pubblico.

rimane inalterato il problema di come garantire che un utente sia umano o meno.

I primi meccanismi introdotti furono legati alla misurazione di quanto spam in uscita veniva generato da un utente, ma questo non si è rivelato, nel tempo, un processo sufficiente. Rimaneva scoperto un problema fondamentale: come garantire l’umanità dell’utente?

E venne il CAPTCHA

Ad aiutare i provider di posta elettronica è intervenuto il test di Turing prima la CARNAGIE MELLON university poi attraverso il CAPTCHA.

CAPTCHA significa : “completely automated public Turing test to tell computers and humans apart.” ed è un copyright di Carnegie Mellon University.

L’idea di base è quella di applicare il test di Turing alla rovescia al fine di capire se chi si interfaccia a noi è umano o meno. di fatto quello che viene fatto è presentare all’utente una stringa alfanumerica in una immagine deformata. La idea di base è quella di rendere la comprensione del testo difficile per un sistema automatico, se alla immissione si fa un errore viene ripresentato un nuovo testo, in questa maniera si limitano gli attacchi di tipo bruteforce.

Esistono diverse filosofie ed algoritmi per creare il CAPTCHA, alcuni come Yahoo si basano su stringhe alfanumeriche generiche, altri come Google preferiscono l’uso di un dizionario di parole (magari con qualche errore).

se si vuole approfondire questo argomento alcuni link utili sono:

L’introduzione del CAPTCHA, oramai diffuso, ha trovato notevoli resistenze in origine in quanto si pensava che gli utenti avrebbero mal digerito questo ulteriore meccanismo di security. In realtà i vantaggi hanno largamente superato gli svantaggi e se è vero che il CAPTCHA è stato largamente craccato rimane una barriera formidabile per limitare l’uso delle caselle di webmail a bot e programmi vari.

L’uso del CAPTCHA si è esteso non solo alla iscrizione ma anche al controllo dei flussi di mail generati dagli utenti, per permettere un maggior rigore nel determinare la umanità dell’emittente e quindi, contemporaneamente, diminuire l’emissione di SPAM e qualificare e valorizzare la casella Webmail a fini pubblicitari.

L’ingresso di Google nel mercato delle Free Webmail è un chiaro indice che queste sono da considerarsi un veicolo di vendita pubblicitaria formidabile, e le titubanze di BigG ad entrare in questo mercato erano legate, in gran parte, alla necessità di garantirsi questo minimo livello di protezione e valore.

La chiave di volta è stata nella introduzione di contatori e limiti diversi nei flussi di posta con la composizione di meccanismi tipo CAPTCHA per rendere le webmail uno strumento utilizzabile. Gli utenti hanno mostrato, in larga parte, di accettare queste limitazioni ed introduzione a patto fosse spiegato loro lo scopo. ad esempio l’introduzione di CAPTCHA e limiti di invio anche per gli account paganti è stato più volte pubblicizzato e spiegato sulla webmail e sul portale di Yahoo.

Cosa si fa oggi:

Oggi come oggi i vari provider si sono organizzati per offrire una serie di limitazioni ai flussi di posta per cercare di garantire il corretto uso della medesima, un minor apporto di spam, ed un basso numero di UserBot.

Il meccanismo ha avuto un certo successo, infatti la quantità di SPAM proveniente dalle grandi Webmail come Yahoo, Gmail ed Hotmail è abbastanza basso (dobbiamo distinguere tra mail inviate realmente da questi provider tramite i loro Webserver, e lo Spoofing che si dichiara come proveniente da un dominio anche se non lo è).

Limitazioni in ingresso

per quello che concerne le limitazioni in ingresso è uso comune cercare di ridurre il numero di connessioni e di messaggi provenienti da una sorgente esterna. lo scopo è quello di ridurre la possibilità di meccanismi automatici, botnet o quant’altro, di saturare la banda ed i servizi e, contemporaneamente, di ridurre lo SPAM in ingresso.

Di tali limitazioni ho parlato in un post precedente,  vi riporto qui i parametri più evidenti (e vi rimando alla lettura del post per i dettagli ed i link utili)

  • Yahoo.com – 8 concurrent connections, 15 recipients in 1 minutes
  • Hotmail.com – 10 concurrent connections, 25 recipients in 1 minutes
  • Gmail.com – 20 concurrent connections, 100 in 5 minutes

oltre a questo i sistemi utilizzano un filtro Antispam che tagga la mail al fine di poterla inviare nella cosiddetta Junk Folder da parte del mailserver.

Limitazioni all’iscrizione

L’uso del CAPTCHA è largamente sfruttato. Ogni CAPTCHA utilizza tecnologie diverse ed è più o meno semplice da craccare la tutti condividono la stessa ida di base.

In aggiunta la raccolta di dati geografici come Codice Postale, città, stato sesso e cosi via aiuta soprattutto in termini di marketing definition. tra le varie richieste risulta interessante l’uso introdotto da alcuni provider tra cui Yahoo della richiesta di una Mail secondaria che, per alcuni, è vincolo obbligatorio tramite l’invio di un codice di attivazione.

Per altro risulta evidente che se molte richieste finiscono sula stessa mail secondaria vi è qualcosa di strano.

Un limite che viene posto è tipicamente (Google, Yahoo, Microsoft) il numero massimo di iscrizioni provenienti da una certa sorgente IP per unità di tempo (solitamente in minuti). Questo assieme al captcha serve a diminuire l’efficacia di meccanismi di iscrizione automatici.

Limitazioni di flusso in uscita

Qui il discorso si fa più eterogeneo, esistono diversi approcci. comune a tutte le grandi è, innanzi tutto, la limitazione al numero di mail in uscita.

La idea di base è che un umano non manda milioni di mail al giorno, e, soprattutto, non può scriverne decine in pochi secondi.

Quello che viene fatto da Yahoo ad esempio (ma comportamenti analoghi anche se con trigger e metriche diverse, sono fatti da Hotmail ed Gmail) è

1) porre un limite al numero massimo di mail che si possono inviare in 24 ore.

Superato questo limite l’utente viene informato tramite un Pop-up che non può inviare nulla fino al reset della finestra temporale.

2) porre un limite al numero di mail che si possono inviare in una ora

Superato questo limite, al tentativo di invio di un messaggio appare un CAPTCHA che serve a verificare che l’utente sia effettivamente umano

3) limitazioni al numero di complain

Se un utente viene segnalato come spammer da altri utenti Yahoo viene posto un CAPTCHA ai successivi invii di mail con un warning di disattivazione. in questo caso occorre riferirsi al supporto per farsi “liberare”.

4) Introduzione del CAPTCHA all’invio di mail se viene superato un certo  numero di messaggi di spam trovati dal motore antispam in uscita per quell’utente.

nel caso di Yahoo l’azzeramento è automatico, in altri casi viene richiesto l’invio di un messaggio al supporto.

Effetto di queste limitazioni

questo lavoro vale lo sforzo?

Ogni medaglia ha due facce, se da un lato queste limitazioni servono sia per aumentare la confidenza che l’utilizzatore sia umano (e quindi aumentare il valore economico della casella webmail) che per diminuire lo spam generato, dall’altro queste limitazioni potrebbero essere talmente fastidiose che gli utenti si disaffezionano in quanto lo strumento è considerato troppo complesso.

Dal punto di vista implementativo l’introduzione di metriche più o meno mirate ha consentito nel tempo di raffinare questo uso:

Consideriamo due aspetti:

Un sistema automatico è più efficiente di un umano in quanto risulta estremamente più veloce. Quindi la velocità di esecuzione può essere un parametro interessante.

Difficilmente, ad esempio,  un umano riesce ad inviare un messaggio al secondo, una tale limitazione quindi sarebbe efficiente contro sistemi automatizzati ma quasi trasparente per gli utenti.

Ma un sistema automatico è anche estremamente costante, difficilmente un essere umano necessita di inviare migliaia di mail al giorno tutti i giorni, un vincolo sulle 24 ore risulterebbe quindi quasi impercettibile per un utente reale.

la idea è che questi vincoli, una volta introdotti, non debbano essere visibili all’utente se on in casi eccezionali, a meno che l’utente medesimo sia un bot.

Questo non toglie lo spam dalle webmail, esistono sempre possibilità di hacking di sistema. Le tempistiche si possono aggirare, ad esempio, utilizzando più caselle in contemporanea invece che molte mail da una sola casella, ed il CAPTCHA con i suoi algoritmi va periodicamente modificato, altrimenti viene “craccato” (come è già successo a Google, Yahoo ed Hotmail). Ma nel complesso questo riduce sensibilmente la emissione di spam ed aumenta il valore economico della casella offerta.

Mi si consenta una nota finale: si noti che, in questo caso, l’investimento in sicurezza è di fatto un investimento di asset di business e non una spesa, l’introduzione di questi meccanismi di fatto aumenta il valore dell’asset stesso.

ciao

A

 

 

mercoledì 10 giugno 2009

Il brontolone: Internet è di destra o di sinistra?

 

Vecchio Post su PostOffice2

Viaggiare in treno da Milano a Roma è lungo, a parte il pisolo doveroso mi rimane tempo da spendere, oltre a reinstallare il portatile per l’ennesima volta allora cosa posso fare? Un bel Post offtopic, ritorna il brontolone.

Confesso sempre una certa perplessità ma anche un sottile divertimento quando le questioni, di qualunque natura esse siano, diventano campo di lotte di religione invece che di analisi più o meno razionali.

Terreni preferiti per questo tipo di battaglie sono, naturalmente, la politica, lo sport e l’informatica.

Dal punto di vista strettamente informatico devo dire che le lotte di "religione" assumono toni grotteschi soprattutto quando si cerca di giustificare scelte personali come una sorta di dettame divino. In questa categoria rientra l’annosa battaglia tra i sostenitori Microsoft e i detrattori di BigM. Tra questi rientrano, sicuramente, in primo piano i (gli?) Linuxisti, o open source warriors e i Macintoshisti, forse adepti ad una sorta di shintoismo informatico.

In particolare questi ultimi tempi si è assistita ad una buffa spolverata di luoghi comuni, "te lo avevo detto" e rigurgiti complottisti Vs debunker in riferimento ad un vecchio post sul sito di Apple che faceva riferimento alla indicazione di utilizzare un antivirus anche per mac OX. (vedi diversi miei post) [riferimento a PostOffice42, ndr]

Apriti cielo, anche i più duri e puri tra gli esperti di informatica si sono lanciati in spericolate ed arzigogolate analisi riguardo i pro o i contro, e soprattutto su cosa ci fosse sotto.

In realtà poco di nuovo sotto la cenere, la esigenza di mettere in sicurezza un sistema operativo è una cosa di tutti i giorni, il malware attuale può colpire chiunque anche in relazione al fatto che non si fa sempre riferimento a vulnerabilità di sistema operativo ma a quel mondo di potenziali buchi che è lo strato applicativo delle nostre amate macchine. Browser, messengers, servizi vari ci espongono a rischi che vanno da possibili attacchi di social engineering a vere e proprie infezioni. Si pensi d esempio agli ultimi attacchi indirizzati a Firefox (anche di questo trovate ampia letteratura nel mio blog ) o alle compromissioni di siti pubblici. Allora perché tanto ardore nel difendere o presentare questa o quella visione?

Direi che la questione più che tecnica appartiene alla sociologia, si abbandonano i confronti razionali per indossare quelli più confortevoli della appartenenza ad un gruppo, allora scelte ed esperienze personali diventano il metro universale della realtà.

Caratteristica tipica di questo atteggiamento è il perenne ed infinito scontro tra i linuxisti e i sostenitori Microsoft (ma ne esistono?).

I primi forti di, nella maggior pare dei casi, un know how particolarmente elevato sulla piattaforma considerano le loro capacità come il metro minimo di giudizio per valutare le capacità di intervento ed uso, cosi il dover ricompilare un kernel per far funzionare un driver è considerato la norma, e non l’eccezione, e l’interfaccia grafica (orrore) uno strumento per sottosviluppati mentali. (ok lo so sono generalizzazioni un poco da macchietta, ma pensateci quando fate un discorso con un esperto Linux)

I secondi invece demandano al sistema (?) tutto il loro know how, nel senso che non si pongono il problema di capire cosa e perché ma limitano la loro esperienza sensoriale alle interfacce più rapidamente raggiungibili [wizard miei cari wizard].

Inutile dire che la verità non risiede ne da una parte ne dall’altra, i sistemi si dividono in ben amministrati e gestiti o male amministrati e gestiti. Fare una scelta in luogo di una altra rientra, almeno dovrebbe , nel quadro di una analisi costi benefici in cui rientrano parametri come: il costo totale; il costo manutentivo; il livello di know how occorrente; la sostituibilità di tale know how anche in termini di risorse umane; una corretta analisi tecnica e cosi via.

Purtroppo le scelte in merito ancora oggi sono ben lungi da essere guidate da tali parametri anche, ad onor del vero, per alcune difficoltà oggettive inerenti il calcolo del costobeneficio, ancora oggi non siamo in grado di calcolare correttamente un ROI in informatica (ma non solo) figuriamoci categorie economiche più ampie (sic).

Il risultato di tutto questo è che il comportamento della tribù informatica è sempre più di tipo politicoreligioso che di oggettiva e serena valutazione.

Se la questione si limitasse alle sole questioni teoriche la cosa mi disturberebbe relativamente poco, provo invece un brivido quando lo stesso atteggiamento coinvolge il mondo dell’informatica e di internet su aspetti di tipo più relazionale dove la mancanza di analisi critica e tecnica può portare dei danni non al singolo individuoazienda, ma alla intera comunità.

Da anni in Italia (paese, come noto, di poeti santi e navigatori) si preferisce pensare ad internet come luogo di brutture inenarrabili piuttosto che ad uno strumento di diffusione di contenuti e di comunicazione. Questo è uno dei pochi atteggiamenti bipartisan della cultura italiana; di fronte a mostruosità come la condanna di un blogger per il reato di "stampa clandestina" vi è stato un unanime quanto fermo silenzio delle idee, a parte un sussulto di dignità della "Stampa" che ha riportato la cosa.

Analogamente sono passati sotto silenzio, o con commenti che vanno tra il ridicolo e l’imbarazzante da parte delle fonti di informazioni ufficiali, tentativi reiterati di regolamentare con strumenti tecnicamente inadatti un mondo tecnologico complesso, si pensi al non ancora decaduto tentativo di imporre la registrazione al ROC dei blog o ad alcune ridicole idee tipo dare ip unico per motivi "di sicurezza" (in Ipv4 è impossibile). Per non parlare poi del diritto di autore, qualcuno ricorda la tassa sulle memorie di massa? [che paghiamo ancora tra l’altro, ndr]

In un quadro legislativo discutibile, incompleto, raffazzonato e, talvolta, comico il legislatore italiano si muove con allegra ignoranza del media e della tecnologia che ci sta attorno (il primato della politica [qui] non si discute neanche di fronte alla realtà). Il risultato è che le poche grida di dolore e di critica vengono dal mondo di internet (blogger tipicamente) e vengono categorizzate come voci o estremistiche o assolutamente ininfluenti.

Ne siano di esempio i thread che vengono fuori solitamente da questo tipo di commenti, sempre più sovente si vedono chiusure e risposte violente sia nella forma che nei contenuti, riducendo ancora una volta la discussione a categorie (destrasinistra) che nulla hanno a che fare con le discussioni in oggetto.

Trovo curioso che se da un lato la assoluta mancanza di analisi critica e storica sia una costante (leggi liberticide in termini di comunicazione su internet sono assolutamente bipartisan, vedi, appunto, il ROC) dall’altro si trova sempre di più la assoluta mancanza della analisi tecnica.

Si può criticare la condanna di un blogger per "stampa clandestina" per motivi tecnici giuridici, oltre che per motivazioni politiche inerenti alla necessità ed al diritto dovere di garantire a tutti il diritto di esprimersi. Ma la critica non è di per se ne di destra ne di sinistra (o di centro) e può essere avanzata indipendentemente dalla divisa politica o di appartenenza di gruppo, con una sola osservazione, la critica è l’esatto opposto della omologazione.

Cosi quando vedo un bel thread acceso in cui si sprecano insulti, riferimenti a comunismi e fascismi vari, mi chiedo sempre ma internet è di destra o di sinistra? E poi concludo dicendomi che se non lo so allora sono sicuramente colpevole e in malafede, del resto sono un informatico .

Ciao