E siamo ancora sotto le feste, e ci troviamo ancora a dover ripetere, come tutti gli anni, le stesse cose.
Chiunque, come me, lavori nel campo della sicurezza informatica sa che non vi è niente di piu remunerativo che far leva sui sentimenti per estorcere dati, denaro o entrambi alle persone.
E le feste, come le disgrazie, sono un momento fantastico per fare leva sulla percezione ed i sentimenti della gente per trarne profitto.
Purtroppo il fenomeno non solo diminuisce, ma assume ogni anno nuove vesti e nuove forme, navigando tra social media, email, siti web e pubblicità online.
Per coprire la mia quota di servizio alla società civile vi condivido un semplice decalogo a prova di informatico per aiutarvi a proteggervi dalle insidie delle feste.
1. Carte regalo gratuite: i budget possono diventare limitati quando si trovano regali per i propri cari, quindi qualsiasi sollievo finanziario è il benvenuto. Tuttavia, potresti imbatterti in e-mail o annunci pop-up che offrono buoni regalo gratuiti. Diffidate di queste opportunità allettanti. Sono spesso uno stratagemma per raccogliere le tue informazioni personali che possono essere successivamente utilizzate per rubare la tua identità.
2. Scambio di regali sui social media: sei invitato tramite i social media a partecipare a uno scambio di regali, che sembra innocuo e divertente. Perché non dovrebbe esserlo? Se acquisti un regalo da $ 10 per uno sconosciuto, riceverai fino a 36 regali indietro! In realtà è una bufala con la stessa premessa di uno schema piramidale in cui si basa sul reclutamento costante di nuovi partecipanti. Meglio rifiutare rispettosamente qualsiasi invito a partecipare.
3. Lavori per le vacanze: non è raro che le persone vogliano fare qualche soldo extra con un lavoro stagionale. Devi solo stare attento alle truffe sul lavoro, soprattutto quando i rivenditori e i servizi di consegna spesso hanno bisogno di ulteriore aiuto durante le vacanze. Fai attenzione alle sollecitazioni che richiedono di condividere informazioni personali online o di pagare per un lead di lavoro.
4. Truffe sui cuccioli: gli animali domestici fanno grandi regali, ma ci sono molti che dovresti prima considerare. Se decidi che è la decisione giusta, fai attenzione ad adottare un animale domestico online. Potresti finire con un cagnolino o niente. I venditori di animali falsi possono attirarti a pensare che stai prendendo un amico a quattro zampe, solo per prendere i tuoi soldi e non consegnare.
5. Truffe romantiche: se quella persona “speciale” che hai incontrato online diventa rapidamente interessata ma in difficoltà e chiede soldi, tieni alta la guardia. I truffatori possono apparire come un soggetto per cui hai sviluppato un interesse romantico, ma con l’intenzione di sfruttare le tue emozioni per il proprio tornaconto. Proteggi il tuo cuore e il tuo portafoglio!
6. Truffe di viaggio: sia che tu stia viaggiando per celebrare le vacanze con i tuoi cari o cercando un clima più caldo, i viaggi per le vacanze possono essere costosi. Le occasioni online per offerte migliori possono essere allettanti, quindi assicurati che le offerte siano legittime.
7. Siti Web fasulli: lo shopping online è conveniente soprattutto quando si cerca di evitare la corsa allo shopping natalizio. Quando fai acquisti online, assicurati di utilizzare solo siti Web legittimi. I truffatori utilizzano URL molto simili a quelli dei siti legittimi. Controlla sempre l’URL prima di effettuare un acquisto e diffida dei siti in cui il nome del marchio è incluso con URL più lunghi.
8. Borseggiatori: mentre la maggior parte dei truffatori tende a concentrare i propri sforzi online in questi giorni, il borseggio avviene ancora. Ricordati di salvaguardare i tuoi effetti personali durante lo shopping, specialmente nelle aree affollate. Nonostante quanto tu possa essere agitato, non lasciare mai le tue cose incustodite.
9. Regali contraffatti: quando beni di lusso e altri articoli costosi vengono offerti a un prezzo stracciato o con provenienza discutibile, è probabile che si tratti di merce contraffatta. Raramente si ottiene la stessa qualità di un originale e, in alcuni casi, il denaro finanzia attività illegali come il traffico di droga e il lavoro minorile.
10. Email malware: non essere veloce a cliccare! Fare clic sul collegamento sbagliato o scaricare l’allegato di un truffatore può causare la diffusione di malware sul computer. Questo virus informatico o “bug” può rubare informazioni personali o persino tenere in ostaggio il tuo dispositivo a meno che tu non paghi un prezzo. Link e allegati possono presentarsi sotto forma di e-mail o pubblicità pop-up.
Lo so che le sapete queste cose, ma sono sicuro che l’amico del fratello del cognato del cugino del vostro vicino non è cosi aperto.
Una volta tanto invece di finire dal blog a twitter faccio il percorso inverso ed uso un thread su twitter che ho scritto per svilupparlo un poco nel blog.
Ultimamente si parla molto delle misure del governo inerenti la disponibilità e modalità di pagamento, in particolare della possibilità data ai negozianti di rifiutare i micropagamenti via carta di credito o bancomat (fino ad un tetto di 60 euro) e di alzare la quota ammissibile di pagamenti in contanti fino ad un tetto di 5000 euro.
La discussione, nel suo complesso, richiede ovviamente competenze maggiori di quelle che ho (per fortuna gli italiani, tranne me, invece sono tutti economisti, sociologi, allenatori, costituzionalisti, virologi etc, etc) , e quindi non entrerò nel merito di considerazioni di microeconomia o economia sociale che possano andare a favore o contro della decisione, ma mi soffermerò su alcuni punti salienti della discussione che vedo in giro e che, a mio umile giudizio, non contribuiscono a chiarire i termini della questione.
Va fatta una premessa, le transazioni elettroniche sono facilmente tracciabili e quindi sono uno strumento prezioso nella lotta all’evasione ed al nero. Da qui a richiesta europea di associare al PNRR vincoli che andassero ad incidere sulla evasione (che indirettamente dovrebbe portare alla diminuzione del disavanzo). Purtroppo l’attenzione che si sviluppa anche sui mainstream media in merito è decisamente errata dal punto di vista tecnico.
Evado o non evado, questo è il dilemma
Gran parte della discussione legata ad entrambe le decisioni sono incentrate su 2 argomenti che trovo, nel complesso della gestione del discorso, usati in maniera non corretta ed in alcuni casi sopratutto sul lato dei vincoli legati alla accettazione del POS, pretestuosi.
I due argomenti sono l’evasione e la libertà
L’evasione
Una buona fetta della discussione inerente sia il tetto alle transazioni al contante che alla obbligatoria accettazione dell’uso del PoS anche per micropagamenti riguarda l’evasione.
Ora occorre fare innanzi tutto chiarezza su un paio di punti: il fenomeno della evasione da parte dei fornitori di servizi o di esercenti è abbastanza indipendente dai vincoli di cui si discute. Laddove vi sia evasione questa avviene indipendentemente da tali limiti e obbliga chi “vende” ad alterare la contabilità, cui è soggetto.
Le transazioni in nero, quindi, sono fuori da questo ambito e vi rimangono. Quello che, eventualmente, potrebbe essere più facile per il commerciante al dettaglio è la microevasione. ma il non battere uno scontrino da pochi euro non credo sia l’obiettivo della lotta all’evasione ne la transazione elettronica sarebbe di aiuto.
Poco interessante risulta anche la questione dei costi inerenti i pagamenti con mezzi elettronici. Al di la dei racconti che circolano la realtà è che il pagamento elettronico risulta persino più economico della gestione del contante e laddove le “commissioni” fossero un problema non è certo disincentivando i pagamenti elettronici che si migliora la cosa.
La idea che la categoria dei commercio sia, per altro, intrinsecamente legata alla evasione è tutta da dimostrare, ma in particolare la transazione elettronica dei micropagamenti non indirizzerebbe il problema.
In realtà, in termini di ricerca della evasione il problema della micro-evasione non è nel negoziante, che assumo emetta scontrino, ma nella fonte del contante dell’acquirente, questa si non tracciabile.
Le forme di pagamento diretto sono, lato commerciante, tracciabili in quanto quest’ultimo che è tenuto ad una contabilità che limita le vie evasive o elusive.
Al contrario le transazioni in contanti non sono tracciabili lato acquirente, visto che lo scontrino non è nominativo non c’è modo di associare il flusso di denaro che ha permesso l’acquisto a meno che non si sia in presenza della transazione.
Comprato un bene e pagato, finisce la possibilità di valutare da dove provenga il denaro usato per la transazione che, invece, il commerciante deve tracciare nei libri contabili.
Quando parliamo della necessità di tracciare i passaggi di denaro associati al rischio evasione, il riferimento dovrebbe esser messo su chi usa contanti per i pagamenti, di cui risulta quasi impossibile la tracciabilità e non sui commercianti. Siano questi soldi provenienti da lavoro legittimo, elusione, evasione, lavoro nero o profitti illeciti diventa difficile tracciare la fonte.
Pagare in contanti, quindi, non nasconde la attività del commerciante, ma permette all’acquirente di rimanere “invisibile” alla transazione.
Le transazioni digitali invece lasciano una traccia associabile all’acquirente in quanto nominative, da qui la possibilità di tracciare la fonte del denaro usato nella acquisizione di beni o servizi.
Se il rischio di microevasione quindi dei pagamenti in contanti non è associabile solo a chi vende beni o servizi, che sono comunque in qualche modo misurabili attraverso la contabilità, questo è maggiore se consideriamo chi effettua acquisti.
In quest’ottica sopratutto l’innalzamento del tetto di uso del contante abbassa la possibilità di tracciare possibili evasioni in maniera oggettiva, mentre la possibilità di rifiutare pagamenti POS per microtransazioni risulta poco utile in termini di monitoraggio.
Il tradeoff tra l’aumento della non rintracciabilità delle transazioni economiche legate a tale innalzamento (quindi legate percentualmente a potenziale evasione) e le presunte positive ricadute economiche non è argomento su cui ho elementi di analisi e lo lascio quindi ai tifosi dell’una o altra parte
Per quello che concerne i micropagamenti mi risulta ancora più difficile riscontrare ragioni tali per cui questa sia una scelta premiante dal punto di vista fiscale, ma ne parliamo nel prossimo punto.
La libertà
Curiosamente se, errando, per l’evasione la attenzione è rivolta al commerciante, altrettanto erroneamente si rivolge l’attenzione per questioni di presunta “libertà” verso l’acquirente:
“perchè volete vietarmi di pagare in contanti?”
“io non voglio essere tracciato”
“quello che compro sono fatti miei”,
Sono tutte grida associate alle considerazioni di libertà associate sia all’uso piu o meno obbligatoria del POS che all’innalzamento del contante.
La questione, messa in questi termini, è chiaramente inconsistente per diverse ragioni, vediamone alcune.
Abolire l’obbligo di accettare pagamenti PoS sotto i 60 euro non inficia in alcun modo la possibilità che c’è sempre stata di pagare in contanti. La idea che tale innalzamento restituisca all’utente una capacità di pagamento prima negata è semplicemente assurdo in quanto in italia non c’è mai stato un vincolo obbligatorio di uso dei sistemi elettronici per i micropagamenti. è vero esattamente il contrario, si è dovuto legiferare per permettere a chi voleva pagare con mezzi elettronici la possibilità di farlo.
Se si parla di costrizione delle libertà, quindi, eventualmente è a danno di chi vuole usare la carta e non di chi vuole usare il contante.
Le grida sui sostenitori del pagamento in contanti risultano quindi abbastanza ridicole oltre che inconsistenti, per tacer di chi prova piacere ad andare al bancomat, o allo sportello di banca a prelevare contanti, per finire di chi sente il bisogno (patologico per altro) di essere in contatto diretto col denaro.
La unica obiezione sensata sarebbe la impraticabilità economica della gestione dei micropagamenti da parte dei commercianti, ma come si diceva prima, questa questione non si risolve certo in questo modo.
SI apre quindi un problema legato alla fornitura di servizi ed al loro pagamento che risulta discriminatorio per chi preferisce il pagamento elettronico (sono uno di quelli) e si introduce una distorsione del mercato di cui non si capisce la virtù.
La questione sarebbe, comunque, risibile se fosse lasciata allo sviluppo naturale delle modalità di commercio. Laddove il commerciante iniziasse a sentire che il non accettare pagamenti POS potrebbe comportare un abbassamento del giro di affari vi sarebbe una apertura verso tali modalità. I termini competitivi del mercato quindi potrebbero indirizzare e correggere eventuali distorsioni, se non con la eccezione di alcuni compartimenti particolari come quelli legati ai taxi.
La questione dei taxi è un nodo dolente che, per altro, ci contraddistingue in europa. Chiunque abbia un minimo di esperienza all’estero sa che in molti paesi prendere un taxi e pagare con carta è la norma, da noi sembra essere ancora un esercizio difficile e mal digerito dalla categoria. Categoria per altro affetta da ben altre problematiche ben piu serie, come ad esempio il costo ed il numero delle licenze.
In questo caso una valutazione in merito alla fruibilità del servizio sarebbe più che giustificabile a fronte anche dei malumori della categoria.
Rimane l’obbligo di pagamento elettronico sopra una certa cifra, in questo caso vi è si una contrazione di un certo grado della libertà individuale che però serve a correggere comportamenti lesivi della comunità. Riduzione che non preclude la capacità di acquisto ma ne vincola le modalità, un vincolo olonomo che comunque non pregiudica l’esercizio del diritto del soggetto di comprare quello che vuole nei termini consentiti dai vincoli imposti dalla legge.
Un altro cinema è invece legato alla tracciabilità: non volere che il “governo” (entità alquanto astratta in tali ragionamenti) sappia tutto quello che faccio.
Esisterebbe un fantomatico anelito libertario che porterebbe a voler rinunciare alle forme di pagamento elettronico in nome di una ipotetica invisibilità al sistema.
Curiosamente queste grida vengono da chi usa cellulari e social media per comunicare, e già qui si potrebbero chiudere le questioni.
In realtà la questione è ben più seria e limitarla ai pagamenti elettronici è semplicemente ottuso. La questione del tracciamento delle nostre attività appartiene, infatti, ad un dominio molto più ampio di cui, paradossalmente, l’uso delle transazioni elettroniche legate ai micropagamenti è largamente ininfluente.
Invece che presentare sterili battaglie sul tracciamento dei POS sarebbe opportuno mettersi a discutere più seriamente di quali siano i dati che lasciamo in giro e come questi vengano usati e gestiti, ivi compreso dai governi e dalle istituzioni pubbliche. Il millantato rischio di cui spesso si legge di “ricatto” informatico una volta che tutti i pagamenti siano legati al POS è in realtà già largamente utilizzabile in altri ambiti molto più efficaci. La nostra dipendenza da una, mal disegnata, digitalizzazione è infatti molto più ampia di quello che molti percepiscono.
Non per colpa, ma spesso per non conoscenza dei termini tecnologici di cui si parla.
Conclusione
Sarebbe carino, “semel in anno“, che su questioni cosi strettamente tecniche si instaurasse una discussione non ideologica ma concreta. Sicuramente non su Twitter, ove la concretezza è, nella maggior parte dei casi, mera chimera, ma almeno su canali più tradizionali. Purtroppo mancano gli elementi su cui fare valutazioni concrete e spesso il punto di vista presentato presenta evidenti falle logiche e concettuali che impediscono un fruttuoso confronto.
Il risultato è che si parla di POS come del Grafene nei sieri o della forma della terra.
Vedo il lato positivo, molti commenti sono esilaranti 🤣
Cari “amici” novax e complottisti\negazionisti pandemici, pur essendomi ripromesso di non parlare di vaccini, pandemie e cose assortite ne sul blog ne su social che non siano uno specifico twitter account mi permetto qui stasera, è venerdì, un paio di sconfortate considerazioni
Mi rendo conto che su Twitter, per la natura stessa del media, la forzatura, l’iperbole e l’ironia sono le cifre stilistiche principali della comunicazione, ed io ne sono un caldo fautore. Ma anche la seriosità di chi non capisce, l’offendersi di chi non comprende, l’incazzarsi di chi non ha argomenti sono diffuse in maniera capillare e su questo sono meno incline e tendo a diventare più sarcastico.
Conosco la dinamica e limito le interazioni a ciò che mi diverte, considerando la piattaforma poco adatta a ragionamenti complessi. Questo comporta anche il commentare post pubblici che ritengo decisamente sopra le righe.
Ultimamente, ripensandoci, c’è una cosa che mi disturba, questa mania dei novax di chiamare “pecora” chi ha fatto la scelta consapevole di vaccinarsi contro il covid.
Chiariamoci subito non sono complottista ne negazionista, non ritengo che il vaccino sia un “siero” malefico gestito da satanisti, e trovo queste posizioni francamente ridicole.
In linea di massima però, ritengo che una persona possa anche decidere di non vaccinarsi a fronte di considerazioni rischio\beneficio personali. Non stò parlando della posizione dei Novax tout court, ma su specifici vaccini posso anche capire che uno faccia scelte personali diverse dalle mie.
Certo se la motivazione sono le nanostrutture create col grafene, o la modifica del DNA dubito si possa parlare di scelte razionali, ma come accetto che esistano i terrapiattisti e i complottisti più vari, prendo come soggetti anche questi, portando il tutto nell’ambito del folclore.
Fuori da quelle motivazioni “surreali” la scelta di vaccinarsi è legata a 2 elementi il beneficio associato alla vaccinazione e il relativo rischio associato.
Si perchè è innegabile che un rischio vi sia, non conosco farmaco che non abbia controindicazioni, ma anche attraversare la strada presenta un rischio. Tutta la vita è composta da assunzioni di rischio che dobbiamo poter valutare.
Utilizzando fonti credibili ed in base alle nostre conoscenze la assunzione del rischio è una valutazione che si fa e che può essere condivisibile o meno.
Personalmente ho valutato che, alla luce delle mie competenze e delle informazioni che avevo in mio possesso, i benefici della vaccinazione fossero superiori ai rischi. Si può non concordare su questa scelta, ma, nel caso si voglia poi esprimere un commento negativo in merito, occorre argomentare la cosa con dati reali, considerazioni serie e valutazioni sensate. Se si scivola nel complottismo senza limitismo non si pretenda da parte mia che si usino metriche comunicative che non siano quelle dello sfottò.
Quello che non capisco è perchè una valutazione “morale” ossia di definizione buono o cattivo, debba essere associata a questa scelta razionale.
La sola idea che qualcuno definisca “pecore” coloro che hanno fatto la scelta di vaccinarsi denota un approccio diametralmente opposto a quello che ho descritto, non fosse altro che si “pensa” (il virgolettato è voluto) che la controparte non sia in grado di fare una scelta ragionata. Eppure raramente (o quasi mai) vengono proposte argomentazioni che non scivolino sul fonti non riferibili o non controllabili, approcci alla matematica ed alla statistica imbarazzanti (se non sapete cosa sia una correlazione evitate di parlarne o mostrare grafici) o valutazioni morali non si capisce bene collegate a cosa.
Certo può essere che la mia valutazione sia stata errata, ma al contrario di quello che pensate è frutto di una analisi concreta e non di una accettazione irrazionale. La pecora, nella vostra accezione, invece e chi segue le indicazioni senza avere un approccio critico.
Orbene quali strumenti avete per determinare che la mia scelta non sia stata una scelta ragionata? Solo il fatto che è diversa dalla vostra? E nel caso siete in grado di mostrare evidenze che non siano la rappresentazione di un vuoto cognitivo ed un approccio fideistico a teorie che non hanno supporto altro se non “il mondo sbaglia e solo noi sappiamo”?
Se manca questo componente non può esserci confronto perché mancano le basi del confronto stesso, se vi si chiede il dato è perchè è su quello che è stata fatta una scelta e su quello che si deve discutere. Altrimenti si cade nel fideismo e nel complottismo che tutto giustifica e tutto valida, perché la fede diventa metro di interpretazione del reale indipendentemente dalla realtà.
Intendiamoci so che su twitter non si può arrivare a tanto, ma concedetemelo preferisco essere una pecora senziente che un “libero” ottuso.
Vabbeh giusto un paio di giorni fa mi son trovato a discorrere di una richiesta di un SOC di mettere 40000 domini in una email-blocklist.
Ho cercato di spiegare che la cosa non ha senso, ma ho trovato una certa rigidità in merito.
Poi mi sono soffermato un attimo e mi son chiesto: io parlo di sicurezza, ma loro?
E mi son ricordato di quando cercavo di spiegare che mettere miliardi di regole su di un firewall dimostra solo di non aver capito come si configura un firewall per fare security 😂😁😎 Che faccio quindi? un update dell’articolo sotto per mettere alcuni punti in chiaro 🙂
Per qualche oscuro motivo una buona parte degli operatori di sicurezza informatica è convinta che gli attaccanti siano essenzialmente degli stupidi e che compiano azioni che riconoscerebbe anche un bambino.
Non riesco a spiegarmi in altro modo la propensione alle liste di blocco, sopratutto quando queste contengono decine di migliaia di entry.
Bloccare delle entry (tipicamente Indirizzi IP o domini) che sono già state individuate come malevoli è un po come chiudere le porte della stalla dopo che ne sono fuggiti gli animali.
Se pur vero che in minima parte certe entry, solitamente legate al perdurare di un attacco, possono essere attive, questo non è per sempre. Ma questo lo avevo spiegato in precedenza.
In compenso la gestione di liste gargantuesche comporta diversi problemi, sia prestazionali che di gestione vera e propria.
Che sia un email security gateway o un firewall tenere un approccio statico ai filtri raramente denota competenze specifiche nella sicurezza informatica.
Detto questo è sempre possibile che vi siano obblighi provenienti da sorgenti che non hanno nessun affinità con la materia, e quindi questo approccio diventa “necessario” alla sopravvivenza.
I motivi possono essere vari: “legali” o “politici” ma sicuramente non tecnici.
Ma proprio per questo difficilmente contestabili, mancando le basi minime di comprensione del fenomeno da parte di chi esegue la richiesta.
Quindi assumiamo che sia necessario, ancorché non sensato, dover implementare sui nostri sistemi statiche, stupide, chilometriche ed inutili liste di blocco. Dobbiamo in qualche maniera essere in grado di sopravvivere alla cosa.
Come sopravviverci?
Pur essendoci su internet diversi servizi di RBL mi soffermo qui sulla esigenza, prima espressa, di soddisfare una richiesta di implementare delle liste di blocco chilometriche all’interno del nostro servizio di sicurezza e non accedere a servizi pubblici di RBL.
Innanzi tutto è necessario ricordare che queste liste sono spesso un inutile accozzaglia di vecchie referenze che poco hanno a che fare col threat landscape corrente, occorre quindi NON affidarsi a queste ultime come unica sorgente di protezione.
In secondo luogo occorre prepararsi ad avere eventuali falsi positivi, nel malaugurato caso che domini legittimi utilizzati in attacchi finiscano in queste liste che probabilmente non sono sempre aggiornate.
In terzo luogo occorre che il security gateway che usiamo sia capace di processare queste liste anche in termini di consumo di risorse.
Il problema è presentato proprio dal fatto che spesso queste liste non sono legate a domini, IP o risorse web usate solo da criminali, ma anche da soggetti legittimi. In questo caso se le liste non sono aggiornate dinamicamente con una certa frequenza rischiamo di bloccare risorse lecitamente usate con le problematiche del caso.
La cosa è nota da anni, ed è il motivo alla base della diminuzione dell’uso delle RBL come strumento di filtro per meccanismo di analisi più efficienti (come ad esempio la reputazione dinamica delle risorse).
Le Real-time blackhole list (RBL) note anche come DNS Block List (DNSBL) sono generalmente liste pubbliche che raccolgono domini o IP che hanno una reputazione come emettitori di email illegittime (spam o peggio). Molti servizi su internet offrono questo tipo di liste ma, per mantenersi decentemente aggiornate, di solito non amano che un singolo utente richieda il blacklisting di un numero molto elevato di voci.
Bloccare un dominio tramite una risorsa pubblica potrebbe generare anche possibili conflitti legali, da qui la attenzione dei gestori di DNSBL alle entry e anche al delisting.
Ma cosa dobbiamo fare, quindi, se qualche illuminato della sicurezza ci chiede di caricare decine di migliaia di entry sui nostri sistemi?
La soluzione potrebbe essere legata alla creazione di una RBL interna.
Sebbene si possa implementare una RBL attraverso un normale DNS server per motivi di performance e di amministrazione è meglio orientarsi a software specifici.
RBL vs Filtri al gateway
La domanda potrebbe essere: perchè non implementare direttamente un filtro al gateway invece di usare risorse esterne?
Ci sono alcuni ottimi motivi per evitare l’approccio diretto al gateway di cui citerò solo 2 banali ed ovvi:
Performance
Amministrazione
Per quello che concerne le performance, difficilmente i security gateway moderni nascono per ospitare liste con diverse migliaia di voci. la ragione è che sono disegnati per fare sicurezza in maniera dinamica, e quindi servizi e risorse sono ottimizzati a quello scopo.
Dal punto di vista amministrativo, analogamente, a meno che non si disponga,come si diceva in precedenza, di un software specifico la gestione di queste liste è manuale e spesso complicata.
Utilizzare un software specifico per la gestione delle liste di blocco invece consente di aggirare i due problemi visti sopra demandando al security gateway la sola chiamata di controllo alla RBL.
Concludendo?
Pur rimanendo convinto che un approccio basato su interminabili block list sia fondamentalmente errato sotto qualsiasi punto di vista, se proprio non puoi fare a meno di implementare una stupidata di questo tipo cerca la via meno dolorosa:
Implementa una RBL o DNSBL interna con cui può parlare il tuo Gateway
Gestisci periodiche verifiche delle entry per evitare che vi possano essere problemi di falsi positivi e legali.
Vediamo se è l’ultima volta che scrivo di queste cose 😂😎🤣 #security#email
“Abbiamo finito le elezioni e finalmente i toni diventeranno accettabili e il nuovo esecutivo, a fronte di una situazione difficile dal punto di vista geopolitico ed economico, potrà concentrarsi su priorità ben definite.”
unknown
Davvero?
In realtà io credo che ci aspetta un lungo periodo di campagna elettorale, quindi rassegnamoci a certi toni e grida e a scelte che non sembrerebbero prioritarie.
Le ragioni sono connesse alla composizione delle forze in campo, sia dal lato dell’esecutivo e la sua maggioranza, che dal lato della opposizione.
Se da un lato, infatti, le opposizioni necessitano di visibilità (e FdI ha insegnato che più si grida più si è apprezzati) dall’altro nel governo la lega e Salvini hanno bisogno di recuperare il terreno perso partecipando ai governi precedenti.
Il peso di questa permanenza ha avuto un riflesso elettorale evidente nei numeri, ed un calo nell’appeal di Salvini sul sulla sua base elettorale. Evidentemente però, internamente alla lega, pur con malumori e distinguo, nessuno ha ancora la forza politica di sostituire Salvini, cui va riconosciuto di aver creato attorno alla sua figura un culto della personalità e dell’uomo forte (si pensi al soprannome che è stato creato ad arte dai suoi esperti di comunicazione) che ha attirato molti elettori.
Il risultato delle elezioni ha visto parte dell’elettorato leghista muoversi verso Fratelli di Italia che essendo all’opposizione aveva mano più libera nel fare proclami e grida, cosa che, però, in qualche modo vincolerà le sue prossime scelte.
Per la Lega la questione è ardua, non essendo all’opposizione la unica strada è alzare i toni per far vedere al suo potenziale elettorato (confluito in parte in FdI) il “valore” che non è stato percepito. E la necessità di evidenziare la presenza nell’ennesima compagine governativa la propria immagine pur non creando problemi all’esecutivo.
Da qui i cavalli di battaglia soliti, con post ed esclamazioni varie, elementi di trionfalismo e populismo puerile. La presenza su twitter della lega, in questo momento, è poco diversa da quella che si aveva in campagna elettorale, si differenzia non per gli argomenti ma per i toni trionfalistici con evidente autoattribuzione.
Anche le strizzate d’occhio filoputiniane della lega assolvono a questa esigenza in contrapposizione, per altro diretta, a FdI. Una serie di distinguo che serve a marcare il territorio per la sopravvivenza elettorale futura.
Esiste quindi, all’interno della maggioranza, una esigenza di competere sullo stesso elettorato di riferimento per recuperare o mantenere posizione. Esigenza che va espressa con azioni che diano visibilità e soddisfazione ad alcune aree del loro elettorato di riferimento che, in larga parte, si sovrappone.
A riprova di ciò sia lega che FdI si contendono ancora le simpatie dell’elettorato novax ed in area di complotto che, pur essendo minoritario, ha un notevole volume comunicativo.
Certe leve assolvono alla esigenza di avere dei moltiplicatori di comunicazione sopratutto nei social, dove le bolle di comunicazione create dagli algoritmi usati, permettono di amplificare certi messaggi su elettorati ben precisi.
Questo comporterà una certa radicalizzazione della comunicazione e guiderà alcune scelte dell’esecutivo, come ad esempio i riferimenti alla pandemia o all’immigrazione, canali di sicuro appeal e facilmente spendibili nei social.
Abbiamo quindi da un lato l’opposizione che deve fare campagna elettorale interna per recuperare consensi e mantenere visibilità, dall’altro due delle 3 compagni al governo che hanno necessità di continuare la campagna elettorale per gestire i movimenti interni.
La posizione di Forza Italia, in questo momento, rimane defilata, probabilmente a causa della necessità di sistemare le cose in casa propria sapendo che, probabilmente, hanno raggiunto il minimo della loro base elettorale e che sotto difficilmente possono scendere. Il problema di FI non risiede nella possibilità di perdere voti nei confronti di Lega o Fratelli di Italia, ma da come si muoverà e ridefinirà la opposizione. L’identità centrista di FI è infatti l’elemento di distinzione forte rispetto ai due alleati di governo.
Sarà interessante vedere quale sarà la nuova anima del PD, se prenderà una identità sua o rimarrà un coacervo di istanze anche antitetiche senza avere la capacità di sintesi politica che aveva, ad esempio, la vecchia democrazia cristiana.
A momento è una scatola “vuota” che aspetta di avere contenuti, quindi al momento si rimane alla genericità di una opposizione di facciata. Del resto la mia impressione è che tutta la campagna elettorale improntata al “loro sono il peggio” nei confronti della compagine che ha vinto fosse l’unico legame interno che unisse le varie anime del PD.
In questo senso il movimento 5 stelle ha gioco più facile potendo esprimere con meno vincoli posizioni anche più rigide (dualmente a quello che fece fratelli di italia quando era all’opposizione) e strizzare l’occhio anche alle posizioni più filorusse (in diretta concorrenza alla Lega).
Se il “terzo polo” “centrista” riuscirà ad assumere una valenza politica di riferimento tale da attirare consensi a destra (principalmente in area FI) probabilmente vedremo anche la terza componente dell’esecutivo aumentare la pressione comunicativa. Forse le elezioni regionali, in questo senso, potranno darci indicazioni. certo che i movimenti, ad esempio, in lombardia indicano nell’elettorato di centrodestra un loro target di riferimento.
Il risultato della situazione corrente è che non è difficile immaginare che ci sarà una polarizzazione ulteriore e un inasprimento dei toni comunicativi tra i vari soggetti coinvolti, recuperando anche argomenti che sembravano “chiusi”.
Questo perché su alcuni temi importanti, come quelli economici, occorrerà fare scelte non completamente allineate alle promesse elettorali e quindi, in virtù delle esigenze di visibilità, si punterà comunicativamente ad altro.
Anche perchè tali polarizzazioni sono più facilmente spendibili sia a livello di social media che di “giornalismo politico”
Si può fare un resoconto dell’anno anche se siamo solo a 14 Novembre? E perchè no?
Innanzi tutto volevo chiedere scusa a chi si fosse chiesto che fine avevo fatto, ma è stato un anno intenso sotto diversi punti di vista: personali, lavorativi e familiari. Ho ridotto sensibilmente la mia presenza qui per motivi di sopravvivenza, metto nei buoni propositi di ritornarci.
Un anno difficile. Iniziato sotto il segno dalla pandemia della guerra e del cancro per passare alle bollette stratosferiche, ai danni del maltempo, ai problemi di salute in famiglia, fino alle ultime dolorose ma tragicomiche problematiche di salute non posso dire di aver amato quest’anno in maniera particolare.
Ma, pur nell’ombra una luce si deve vedere, e quindi ho avuto anche soddisfazioni, cose che sono migliorate anche oltre le aspettative ed altre che, col senno di poi, potevano andare peggio.
Dove sono stato?
Se la scrittura di un testo lungo mi era diventata estremamente onerosa ho trovato consolazione in twitter dove la mia vena di ironia perniciosa ha casa più consona. Li ho scoperto un mondo divertentissimo tra complottismi, egotismi, e ironia assortita volontaria e non.
mi è servito per affinare la capacità di far ironia e sarcasmo in pochi caratteri, cosa che per uno che è naturalmente prolisso come me è sicuramente un utile esercizio.
Ovviamente poi essendo il 2022 sempre il 2020-2 è arrivato Elon a rendere il tutto più interessante portando il cinguettatore sull’orlo forse dell’oblio. 🤣
Cosa ho imparato (se ho imparato qualcosa)
Chi mi conosce sa che anche nelle peggiori delle situazioni preferisco la levità di un sorriso alla pesantezza della seriosità.
Devo dire che ho riscontrato, per l’ennesima volta, che questa cosa spesso e volentieri si scontra con una idea di serietà che è tutta nella forma e non nel contenuto. Non che la cosa mi disturbi, anzi, mi diverte.
E, ancora una volta, ho trovato riscontro al fatto che pochi usano i numeri per quello che sono, e le interpretazioni più bizzarre sono sempre a portata di mano. Non devo dare mai per scontato che la persona con cui parlo sia in grado di comprendere una statistica o un grafico: va sempre specificato il contesto, la natura dei dati, e come questi sono rappresentati.
Ma si sa se cosi non fosse dove sarebbe il divertimento?
Propositi per il futuro
Al di la di quello ovvio, sopravvivere, direi che vorrei riprendere a frequentare questi lidi, e riprendere il discorso interrotto con gli Email Files ed espandere il perimetro
Grazie per l’amicizia che ho raccolto in questi mesi, a presto
Can you make a resume of the year even if we are only on November 14th? And why not?
First of all, I wanted to apologize to those who had wondered what happened to me, but it has been an intense year from different points of view: personal, work and family. I have significantly reduced my presence here for reasons of survival; I put in good intentions to return.
A difficult year. It started under the signs of the pandemic and the war, and then cancer to move on to stratospheric energy bills, to the damage of bad weather, to health problems in the family, up to the last painful but tragicomic health problems. I can not say that I loved this year in a particular way.
But, even in the shadows, a light must be seen, and therefore I also had satisfactions, things that have improved even beyond expectations and others that, in hindsight, could have been worse.
Where have I been?
If writing a long text had become extremely expensive, I found consolation in Twitter, where my vein of pernicious irony has a more suitable home. There I discovered a funny world between conspiracies, egotisms, and assorted sarcasm, voluntary and not.
It served me to refine the ability to make irony and sarcasm in a few characters, which for someone who is naturally long-winded like me is certainly a useful exercise.
Obviously, being ” 2022″ always ” 2020-2,” Elon arrived to make everything more interesting, bringing the twitterer on the verge of perhaps oblivion.🤣
What I learned (if I learned anything)
Those who know me know that even in the worst situations, I prefer the levity of a smile to the heaviness of seriousness.
For the umpteenth time, I have found that this thing often clashes with an idea of seriousness that is all in form and not in content. Not that it bothers me; on the contrary, it amuses me.
Once again, I found confirmation that few use numbers for what they are, and the most bizarre interpretations are always at hand. I must never assume that the person I speak to can understand a statistic or graph: I always specify the context, the nature of the data, and how it is represented.
But do you know if this were not where the fun would be?
Resolutions for the future
Beyond the obvious, survive, I would say that I would like to resume attending these shores, and resume the discourse interrupted with the Email Files and expand the perimeter
Thank you for the friendship I have collected in recent months, see you soon
Curiosamente oggi mi ritrovo a rieditare qualcosa che avevo postato anni fa. E sempre oggi ho mostrato nel mio speech del security summit una slides del 2014. Sembra che ultimamente ritirare fuori vecchi scritti sia utile. Visto che tutto cambia per rimanere uguale almeno si ottimizza la produzione.
Rispetto alla scrittura originale ci sono dei cambi sostanziali di ambientazione: la pandemia e la guerra (su cui per scelta non scrivo o commento) hanno esacerbato alcune reazioni, mentre le mie vicende personali quali il cancro e non ultimo l’odierno femore rotto di mia mamma 86enne hanno irrigidito certi miei atteggiamenti riducendo sensibilmente la mia notoria tendenza al politcally correct espressa nella mia espressione:
“non penso che sei cretino per le cose che dici, penso che dici quello che dici perchè sei cretino”
Ma torniamo al soggetto del post. La idea è chiedere a me stesso come e cosa muove la mia adesione ad una idea. Cosa mi convince, e quali sono i motivi per cui credo ad alcune cose ed altre no?
Atti di fede Razionale
Sappiamo tutto? Abbiamo sempre tutti gli elementi di scelta e di analisi?
La risposta purtroppo è no, in un mondo sempre più complesso i nostri strumenti di approvvigionamento delle informazioni sono sempre più disparati ma, contemporaneamente, ci allontaniamo sempre di più dalla sorgente del dato.
Si pensi ad esempio alle informazioni oggi reperibili sui social media, la veridicità della fonte è sempre più complessa. I meccanismi di distribuzione della informazioe sui social, ad esempio, privilegia non la veridicità della fonte ma la contiguità tra il nostro punto di vista e le informazioni che vediamo. Questo comporta due fenomeni interessanti: la radicalizzazine del punto di vista, confortato dal riferimento massivo, e la perdita di interesse al controllo della fonte, in quanto sostituita dal contenuto “massivo” delle conferme che riceviamo. La ragione nasce, chiariamoci, non dal desiderio generico di radicalizzare i punti di vista ma da una semplice esigenza di marketing: farti vedere quello che più facilmente ti attrae per poter vendere lo spazio al committente ad un rpezzo più alto. LA comunicazione “a bolle” dei social media quindi è funzionale ad una chiara esigenza di business: targhettizzare la comunicazione di marketing verso le utenze più ricettive al messaggio. Questo ha comportato effetti collaterali legati a come la informazione gira dentro i social media innescando fenomeni sociologicamente abbastanza noti, dalla adesione al “branco” alla responsabilità condivisa. Tutti fenomeni che, con grande dispiacere dei social media immagino 😂, hanno portato ad una fidelizzazione ed adesione alla piattaforma che ha aumentato la capacità attrattiva della piattaforma stessa.
Il perdere il contatto con la fonte delle informazioni è stato quindi amplificato con anche l’aumentare delle sorgenti cui raccogliere tali informazioni.
Questa è una costante della esperienza umana, la “realtà” che siamo abituati a vedere non è altro che il frutto di una costante reinterpretazione dei dati che riceviamo, nessuno dei dati della nostra esperienza sensibile è, infatti, diretto, tutti sono mediati.
Dal punto di vista biologico questa cosa è evidente, il nostro cervello rielabora le informazioni sensoriali e ne da una rappresentazione che forma la nostra percezione del mondo esterno. Questa rappresentazione è, per sua natura, una cosa differente dalla realtà, ma è tramite questa rappresentazione che possiamo interagire con l’ambiente che circonda.
Questo meccanismo è evidente, ad esempio, nella visione. Senza questa “reinterpretazione” non potremmo gustarci le animazioni. Spero che tutti sappiano cosa è un frame-rate e che le immagini che vediamo in TV o al cinema sono costruite sfruttando il fatto che il nostro occhio impiega un certo lasso di tempo per “recepire” una immagine che poi viene interpretata dal sistema visivo, e tale sistema produce la sensazione di moto reintepretando le sequaneze di immagini ricevute. Se non lo sapete allora la questione è più grave del previsto 🤣😂.
Se paradossalmente la questione dal punto di vista biologico è chiara ed evidente, lo è meno dal punto di vista della comprensione umana del fenomeno. Il meccanismo di rappresentazione del cervello è tale che si ha la sensazione che ciò che “proviamo” sia la realtà, anche se sappiamo che questa “evidenza” altro non è che una rappresentazione e come tale frutto di una elaborazione.
Se cambiamo i parametri della elaborazione cambia la realtà? La questione è complessa in quanto la realtà non si limita ad elementi semplici, anzi, nulla nella realtà è semplice.
Ciò che “è”, “è” e non può non essere.
Su questo sillogismo si basa la maggior parte della nostra logica, la sua evidenza era chiara fino a quando la filosofia naturale (la chiamano scienza oggi come oggi) non ha scoperto che un assunto del genere non è più assoluto.
Se la filosofia ha iniziato a demolire questo postulato da tempo immemore (esagero lo so, ma immemore mi piace come termine), sono la matematica e la fisica che ne hanno decretato la fine; se da un lato la matematica, ad esempio, si è aperta all’irrazionale (in termini matematici, non in termini psichiatrici🤣 ) con l’introduzione dei numeri omonimi, la fisica con il principio di indeterminazione e poi con il dualismo particella onda ha fatto crollare le nostre certezze…
Chiunque abbia un minimo di infarinatura di filosofia e filosofia della scienza queste cose le avrà, probabilmente, già incontrate.
Purtroppo il mondo moderno ha deciso che si possa egregiamente fare a meno di logica e filosofia, come se queste servissero non a darci strumenti di analisi del reale ma fossero oggetti campati per aria ad uso di gente che non ha niente da fare di concreto, e quindi siamo rimasti privi di quegli strumenti basilari che ci consentano di gestire una dicotomia in cui il mondo rifiuta il principio di non contraddizione mentre noi non siamo capaci di pensare senza di esso.
La realtà non è ciò che percepisco, ma non lo capisco
Il risultato di questo buffo paradosso è che di fatto adottiamo strumenti di analisi logica (non parlo di quella di analisi del testo) inadatti a descrivere la condizione attuale di una realtà che sembra non rispettare le nostre leggi mentali.Il risultato si riflette in un atteggiamento che vincola la nostra esperienza ad atti di fede che ci consentono di interpretare cosa stiamo provando senza esserne sopraffatti.
In realtà il meccanismo di accettazione fideistica degli strumenti di interpretazione è alla base del nostro processo naturale di apprendimento, nessuno pensa (o dovrebbe pensare) di poter gestire, tramite l’analisi empirica, tutto lo scibile che è costretto a processare per la costruzione del modello della realtà che lo circonda.
Impariamo dai genitori, a scuola, in contesti sociali, sul lavoro. E da questi apprendimenti, anche per emulazione e desiderio di integrazione, formiamo sostanzialmente il nostro bagaglio di verità e costrutti morali ed etici. Bagaglio cognitivo che ci occorre per interpretare, capire, la realtà complessa che ci circonda.
Tutte le volte che affrontiamo un problema partiamo da due posizioni distinte: o non ne sappiamo nulla e, forse, cerchiamo di informarci, o abbiamo già un preconcetto e cerchiamo di confrontare il problema con tale strumento.
[nota dell’autore, per preconcetto si intende una idea, modello, interpretazione dell’evento fatta a priori e basata sulle nostre precedenti attività o conoscenze]
[nota dell’autore: non sapere nulla di un argomento non significa sapere di non sapere dell’argomento. I meccanismi associativi per “similarità” spesso ci danno l’imprressione di conoscenza anche su argomenti di cui non sappiamo nulla.
In realtà entrambi i meccanismi presuppongono che noi si abbia già una serie di dati esperienziali da cui partire, e questi dati sono essi stessi frutto di preconcetto o comunque di rielaborazioni. La imparzialità è una utopia legata al fatto proprio che la nostra esperienza è parziale. Ma questo è nella natura umana, e l’accettazione di tale meccanismo dovrebbe portare allo sviluppo di strumenti di analisi critica della realtà nella forma che vediamo.
Quindi?
Il problema nasce dal fatto che, in mancanza di modelli cognitivi diversi, ci troviamo a fare delle scelte di accettazione “fideistica” dei parametri di costruzione del modello della realtà. Sono scelte di fede razionale, nel senso che accettiamo per vero un dato in funzione della analisi, più o meno razionale, che facciamo della sua sorgente. Una volta accettato il dato questo diventa postulato della nostra interpretazione della realtà, fino a che non abbiamo la possibilità e la volontà di metterlo in discussione.
Parole inutili? Filosofia spicciola? Forse si, ma se facciamo mente locale a come noi costruiamo il mondo che ci circonda ci dobbiamo per forza confrontare con il fatto che dobbiamo credere a qualcuno o a qualcosa.
Il reperimento delle informazioni: è vero perché’ ci credo
Non potendo vivere in un relativismo assoluto (che, se vogliamo, essendo un assoluto non è relativo) quando siamo di fronte ad un dato lo processiamo come vero o falso in funzione della fiducia che associamo alla fonte che ce lo tramette. Spesso questo atto di fede è inconsapevole, il media o l’habitus culturale in cui viviamo ci portano a fare questa scelta.
I primi media che ci danno questa sensazione sono i nostri sensi ed il linguaggio. Noi crediamo vero quello che vediamo perché ci fidiamo dei nostri occhi, poco importa il fatto che dovremmo sapere tutti che i nostri “occhi” non vedono la realtà ma la interpretano.
L’errore visivo è tanto comune quanto non considerato dalla maggior parte della popolazione, anche in ambiti estremmente delicati, si pensi all’uso dei “testimoni oculari” in indagini e processi. Considerati comunemente affidabili sono in realtà spesso in errore.
Il problema non è, in molti casi, la buona fede, ma il fatto che le attività di processo dell’immagine e le successive elaborazioni (dalla costruzione stessa nel cervello della immagine, che deve per sua natura ridurre la quantità di dati processati tramite assunzioni esperienziali precedenti, alla sua gestione e ricostruzione mnemonica che alterano le “immagini” a causa di referenze ed inferenze di dati esterni e interni) possono portare a Bias non indifferenti rendendo il tasso di errore estremamente alto.
Cosi come la vista anche il linguaggio ci guida nella scelta di chi fidarci e che dati siamo in grado di processare, se non capiamo una fonte la consideriamo inaffidabile, la “comprensione” linguistica diventa quindi un elemento di discernimento tra il vero ed il falso. Quando si parla di linguaggio dobbiamo fare lo sforzo di considerare l’aspetto sia sintattico che semantico. La questione non è ininfluente, uno dei problemi fondamentali di chi si occupa di information tecnology e security è proprio la assenza di strumenti linguistici da parte dei non addetti ai lavori cui l’IT o la security si rivolgono. Il risultato di tali incomprensioni (più o meno coscienti) porta, ad esempio, alla endemica incapacità di fare calcoli di ROI reale in ambiente informatico, o alla deprimente mancanza di sviluppo di sistemi di organizzazione aziendale che siano confacenti alle possibilità delle nuove tecnologie.
La questione linguistica non è quindi secondaria alla credibilità. Quando parliamo con un Board o semplicemente col nostro capo saremo più efficaci quanto più sapremo creare un ponte tra quello che vogliamo dire e le capacità linguistiche del destinatario. Si tenga presente che le capacità linguistiche sono legate al linguaggio “tecnico” utilizzato negli ambiti specifici. Tutti i gruppi al loro interno tendono ad usare linguaggi autoreferenziali costruiti su esigenze in parte tecniche ed in parte di appartenenza. Il ponte linguistico (la divulgazione) è spesso uno degli elementi mancanti nella comunicazione tra gruppi che appartengono a lingue tecniche diverse. Questo è fondamentalmente il motivo per cui chi si occupa di sicurezza fa fatica a parlare e capire chi si occupa di legge, IT o finanza e viceversa. E, come si diveva prima, se non ci si capisce non ci si “crede”.
Credere a qualche cosa diventa un atto di fede sempre più forte man mano che aumenta la complessità del problema e della analisi che facciamo di esso. Durante gli studi ci fidiamo dei libri di testo, e questi ci portano a rappresentare la realtà in funzione di quello che abbiamo imparato. Questo significa, fondamentalmente, che la nostra percezione del vero è legata a quanto ci fidiamo della sorgente dei dati o del modello che utilizziamo sin dall’inizio della nostra esperienza cognitiva e di apprendimento. Alla fine noi diamo un valore di verità che non è oggettivo ma legato allo storico delle nostre rielaborazioni percettive e pregressi apprendimenti.
Non è vero perché vero, ma perché lo ritengo tale in quanto ho, ad un certo livello della analisi, dato per veritieri dati forniti da sorgenti esterne (o interne) a me.
Dal momento che non possiamo vivere in una costante sensazione di relativismo cognitivo ed esperienziale tendiamo ad assolutizzare queste “verità” come assiomi o postulati che espandono il bias cognitivo alla base.
La assolutizzazione delle verità cosi costruite va dal “abbiamo sempre fatto così” al “ho cose più importanti di cui occuparmi”.
La questione ha appassionato i filosofi per secoli, pur senza scomdare Kant e la dicotomia tra fenomeno e noumeno possiamo dire che questi temi hanno una rilevanza cognitiva e culturale non indifferente.
Nella parte conclusiva della Critica della ragion pratica leggiamo una delle più celebri pagine di Kant che così recita: <<Due cose riempiono l’animo di ammirazione e venerazione sempre nuova e crescente, quanto piú spesso e piú a lungo la riflessione si occupa di esse: il cielo stellato sopra di me, e la legge morale in me.
L’uomo buono o cattivo si distinguono dalla adesione alla legge morale assoluta, che è distinta dalla sfera noumenica in cui l’uomo ha dei limiti (anche, se non altro, quelli percettivi).
In questa ottica si corre però un rischio molto grosso: quando la nostra analisi critica aggiunge un valore morale al concetto di “vero” o “falso”, conseguentemente, il vero o falso diventano “buono” o “cattivo”.
Complottisti e debunker
Un classico esempio di questa deriva è il dualismo complottista – debunker. In questo confronto entrambe le “fazioni” usano strumenti di analisi della realtà analoghi, ma utilizzano una valutazione diversa della analisi delle fonti dei dati e, quindi, della veridicità delle medesime.
Il problema è se credere a qualcosa ed a chi credere, in funzione di questi assunti si decide quale sia la realtà. Cosi se da un lato il non credere ad alcune fonti legittima la ricostruzione alternativa, dall’altro proprio il credere alla fonti determina la eventuale accettazione. Volendo trascurare la malafede, e quindi l’interesse a modificare volontariamente le informazioni, le analisi di entrambi sono spesso logiche e razionali, salvo il fatto che non riconoscendo l’uno la veridicità dei dati dell’altro, le conclusioni sono possibilmente antitetiche.
Introducendo però un fattore di analisi morale alla scelta della veridicità del dato si introduce anche una chiave di lettura tale per cui le due fazioni sono certe della malafede (o stupidità) della controparte proprio per il non volere accettare la evidente veridicità del dato di partenza usato per l’analisi.
In questi termini la “assolutizzazione” delle verità di cui si parlava qualche paragrafo addietro assume un valore critico.
La realtà è che entrambe le parti hanno speso ottimi motivi per dubitare o credere alle fonti da cui fanno partire l’analisi ma i loro modelli di ricostruzione della realtà portano spesso ad un “dialogo tra sordi”.
Questo meccanismo è evidente sia nelle polemiche complottistiche ma anche, ad esempio, nella realtà politica italiana dove il dato oggettivo non solo non esiste ma viene considerata negativamente (anche dal punto di vista morale) anche l’analisi critica delle fonti (mi ricorda la frase: sei critico del marxismo e quindi fascista).
L’allontanamento dal confronto dialettico per abbracciare una posizione “fideistica” è però psicologicamente riassicurante. Molto piu semplice è credere alla “cattiveria” o “stupidità” dell’avversario che affrontare lo stress cognitivo della messa in discussione della veridicità delle proprie fonti cognitive.
L’aumentare della possibilità di accedere ad informazioni offerto da internet ha, nei fatti, accuito questo fenomeno aggiungendovi una pesante atteggiamento antiscientifico, dando spazio ed adito a fenomeni, nella forma piu ludica quali il “terrappiattismo” o in derive piu preoccupanti a posizioni tipo i “no Vax”.
Si noti che qui non si discute della “correttezza critica” di certe posizioni, ma del problema della accettazione fideistiche che appare in molti soggetti in merito a una posizione o l’altra.
L’atteggiamento antiscientifico ha portato con se un radicalismo delle posizioni con un rigetto della analisi critica e storica dell’evento in favore di una presa di parte parziale ma “di branco” e “moralmente pesata”.
Si pensi ad esempio al terrapiattismo (ma andrebbe bene anche la terra cava o i rettiliani). La assunzione di veridicità della affermazione è impervia a qualsiasi critica. In assenza di un modello unitario che speghi la fenomenologia esperienziale di cose come le stagioni o il ciclo “giorno notte”, si creano “modelli” specifici per il singolo punto che giustifichino l’atto di fede iniziale, si aggiungono spiegazioni sul fatto che la controparte, in maniera malevola, nega la verità per ragioni più o meno oscure. Neppure rilevazioni specifiche pseudo scientifiche contrarie smuovono il consolidato derivante dall’assuno iniziale che è una verità assoluta e morale. Il risultato è che se non credi sei o stolto o in malafede.
Le conseguenze piu pericolose di questo modo di interagire con la realtà sono legate alla gestione dei problemi; non affrontando il problema per quello che è ma per quello io “voglio-credo” che sia e rinunciando al metodo scientifico di controllo, di fatto non definisco il problema e quindi non sono in grado di determinare una soluzione se non con atti di “fede” estremi.
Lo stesso atteggiamento di chiusura si ritrova in tutti i settori, informatica compresa, dove sarebbe opportuno invece cercare di creare modelli di confronto dialettico più aperti invece che chiusure aprioristiche o adesioni talebane. Si pensi a Privacy e GDPR come esempi.
Per capirci la natura del problema è estremamente concreta. Si pensi al fenomeno, comune, del ripetersi degli stessi incidenti di sicurezza informatica presso una azienda. Si potrebbe pensare che imparando dall’incidente si mettano in campo soluzioni e processi per mitigare ed indirizzare il problema. Invece, al di la della estremizzazione della risposta all’attacco (spesso sconclusionata quanto erratica), non si cambiano le assunzioni che hanno portato al problema perchè radicate come “verità” (il famosdo ‘abbiamo sempre fatto così’ non ne è che una esternazione) anche per la incapacità di comunicare tra le varie componenti aziendali vincolate ai loro linguaggi settoriali specifici. E come si diceva all’inizio la verità assume una valenza legata al moduoo comunicativo estremamente forte. Del resto il linguaggio tecnico è vincolato ad assunzioni di verità che ne determinano le caratteristiche.
Metodo scientifico? Cosa è?
Ma perchè il metodo scientifico viene sempre piu rigettato? Uno dei problemi è una fondamentale incomprensione di cosa sia la scienza. Le scienze, non solo quelle naturali, non forniscono verità ma “spiegazioni” dei fenomeni attraverso la modellizzazione e la ripetibilità. I modelli per essere accettati devono avere, almeno, 3 parametri fondamentali:
partire da dati di analisi definiti in cui vi sono dati di riferimento, assunzioni di processo e risultati di output
costruire un modello del fenomeno che elaborando i dati definiti produca risultati ripetibili e\o confrontabili
Una “peer” review che consenta a soggetti informati di analizzare dati, modello ed output evidenziando, se necessario errori e correzioni.
Ora tutti e 3 i punti sono di difficile applicazione nella vita normale in quanto richiedono, a fronte di un problema, di essere in grado di definirne il contorno (e quindi esercitare una azione critica sulla raccolta e processo dei dati), crearne un modello ( e quindi farsi una idea di cosa succede) e, sopratutto, confrontarsi con “esperti” (e quindi mettere in discussione le proprie assunzioni in un confronto paritetico).
Si noti che sia la modellizazione che il fatto che gli output siano ripetibili e\o confrontabili non coincide con la idea classica del metodo sceintifico per esperimento empirico. Se cosi non fosse quasi tutta la fisica teorica del 900 non sarebbe da considerare scienza. In altre parole il metodo scientifico può anche astrarsi dalla realtà empirica.
Risulta evidente come sopratutto la “messa in discussione dei propri assunti in un confronto paritetico” sia la funzione di attrito maggiore, in quanto richiede che vi sia una posizione non morale sul giudizio della eventuale controparte.
Un approccio non “morale” comporta, Ça va sans dire, assumere che la controparte possa comprendere anche il proprio punto di vista a patto di presentarlo in maniera comprensibile (in comunicazione lo sforzo di adattamento maggiore deve essere da parte del mittente che ha i contenuti trasmissivi). Questo vincolo è spesso evidente quando, ad esempio, gruppi aziendali quali IT, Sicurezza, Compliance e Board si confrontano. Non di rado le discussioni partono con un non espresso “ma voi non potete capire”, mentre sarebbe opportuno partire da un “cerco di capire te e tu cerca di fare altrettanto con me, che magari un punto di incontro si trova”.
La sicurezza informatica, mio campo elettivo, soffre profondamente di questi problemi. La mancanza di metodo sceintifico è, nonostante molti si crogiolino nel pensare di essere in ambito STEM, evidente ad esempio nella mancanza di risk management che richiede proprio un approccio scientifico con i 3 punti citati in precedenza. Paradossale che proprio l’ambito ove occorre calcolare dimensioni precise e creare modelli si passi il punto in secondo piano.
Ma non solo la sicurezza informatica avrebbe bisogno di una “strigliata”, tutto il nostro modo di gestire la veridicità delle fonti andrebbe rivisto, sopratutto quando la distanza tra la fonte e la informazione è ampia (come nel caso dei social media). E si ricordi che trovare una adesione di branco ad una informazione non è avere una peer review che, invece, richiede un confronto e quindi una messa in discussione degli assunti.
Se si usasse l’approccio scientifico anche nella lettura dei giornali e delle notizie “googlate” probabilmente molte delle cose scritte e lette assumerebbero un valore diverso, ma toglierebbe a molti leoni da tastiera, manager assoluti ed indiscutibili, politici portatori del verbo e economisti del miracolo il terreno su cui traggono le loro fortune.
Ma occorre anche essere concreti, la idea che si possa analizzare tutti i pezzi di informazione cui siamo connessi è improbabile. Biologicamente abbiamo bisogno di semplifficare il flusso informativo che, altrimenti, ci schiaccerebbe. Quindi una certa parte di relativismo quando leggiamo le informazioni e le assumiamo è opportuno. Del resto anche al fonte più credibile potrebbe sbagliare, almeno parzialmente.
Non è un bel momento in generale per il mondo, e questo numero degli “The email files” avrei preferito non doverlo scrivere.
Ma occorre essere concreti, e così ho deciso di scrivere un numero dedicato al minimo di igiene che occorre implementare per la mail in caso di guerra, o operazione militare speciale.
Non mi interessa da che parte state, le valutazioni qui espresse sono generali, la sicurezza informatica ha le sue ragioni che sono indipendenti da fedi, credi o appartenenze. Spero quindi che leggiate queste note per quello che sono, semplicemente alcuni consigli per gestire con maggiore sicurezza il media di comunicazione più diffuso ed usato.
Un minimo di contesto.
Mentre nei media mainstream per lungo tempo si è sollevata la leggenda dell’hacker solitario, con cappuccio, merendine, e schermo verde, il mondo reale è abbastanza diverso.
La realtà che muove la sicurezza informatica è molto più complessa, l’hacker solitario è una immagine romanzata e poco credibile. Questo, intendiamoci, non vuol dire che non possano esserci individui particolarmente dotati che lavorano in maniera solitaria, ma che la maggior parte del contesto in cui si muovono i rischi informatici è molto più legato a gruppi organizzati che a tali soggetti.
Soprattutto in termini di cybercrime e cyberwarfare la presenza di gruppi organizzati è una nozione consolidata tra chi si occupa di questi ambiti.
Le considerazioni che seguiranno fanno riferimento principalmente alla mail, ma per larga parte sono estendibili ad altri ambiti.
Il motivo di questa edizione speciale è, di per sé, evidente: siamo, al di là delle sottigliezze linguistiche, di fronte ad uno stato di guerra e questo comporta una escalation di alcune dinamiche che vanno considerate e gestite.
Rischiamo qualcosa?
Dovrei dire che le norme di sicurezza minime andrebbero implementate sempre, a prescindere dalle crisi geopolitiche. Ma sono cosciente che chi non si è mai preoccupato della sicurezza delle proprie informazioni e dei propri dati, che non capisce il valore sotteso agli asset digitali, che non ha idea di dove risieda ed in cosa consista la propria proprietà intellettuale possa trovare difficoltà a reagire di fronte all’alzarsi della paura di attacchi che, proprio in quanto non compresi, suonano ancora più spaventosi.
Allora cerchiamo di fare un poco di chiarezza:
La posta è ancora il primo vettore di comunicazione in campo entreprise, ed uno dei vettori più diffusi a livello personale. è anche uno degli obiettivi spesso usati per sviluppare attacchi sia in ambito aziendale che personale.
Le motivazioni sono diverse, ma al lato tecnico si sovrappone il lato umano. Le email sono lette da esseri umani e quindi la vulnerabilità umana è uno dei bersagli di attacco.
Se lo sfruttamento di tali vulnerabilità in campo criminale assolve a funzioni prettamente di guadagno economico, in tempo di guerra si aggiungono problematiche legate alla disinformazione, spionaggio e anche cyber-warfare.
In particolare va osservato come la commistione tra attività di cyber warfare e criminali portate avanti da alcuni attori possa spostare, a parità di tecnologia usata, obiettivi e quindi danni. Se un obiettivo economico, tipico del cybercrime, è legato all’acquisizione di soldi ma non alla distruzione della vittima (anzi meglio se si può tornare a batter cassa), uno di warfare può essere invece orientato all’annullamento delle capacità operative del bersaglio.
Tutto questo non è compatibile con la favoletta dell’Hacker, ma è compatibile con una realtà molto più complessa.
Anche limitandosi alle notizie apparse recentemente la cosa dovrebbe oramai essere entrata nella comprensione dei più. Qualcuno avrà sentito delle affermazioni del gruppo di cyber-criminali “conti” che ha dichiarato la sua adesione alle azioni russe, mentre il collettivo “anonymous” si è schierato a favore della resistenza in Ucraina.
Ora “conti” è una organizzazione che è dedita da anni ad attività di criminalità informatica (principalmente attacchi ransomware) di cui si sapeva ci fossero legami con l’intelligence Russa, ma fin ad ora non c’era stata una dichiarazione esplicita in tal senso da parte di “conti”.
“Anonymous” invece è un collettivo di “Hacktivisti” che ha avuto momenti di notorietà nei mainstream anche le attività solte in occidente. All’interno della galassia “Anonymous”, decentrata e non organizzata in termini assoluti, è nota da tempo anche la presenza di gruppi con legami al mondo occidentale, sia stati che organizzazioni “private”.
La realtà è che la commistione tra gruppi di hacktivism, spesso dediti al defacing, ddos e data exfiltration, cybercriminali, principalmente dediti ad attività di criminalità informatica tipo gli attacchi ransomware, e gruppi dediti al cyber warfare orientati spesso a spionaggio o danneggiamento delle infrastrutture (stuxnet ricorda qualcosa?) è nota da anni, non è certo una novità delle ultime 2 settimane. Addirittura per alcuni stati, come la corea del nord, tale commistione funge anche come meccanismo di approvvigionamento di valuta per finanziare strutture interne.
la situazione è quindi simile a quella descritta nell’immagine sottostante.
Insomma dalla narrazione del singolo hacker alla realtà corre una certa differenza. diciamo che una definizione delle attività correnti sarebbe più correttamente quella descritta sotto:
che rappresenta in maniera più fedele quello che accade negli ultimi anni.
La posta ai tempi della guerra.
Ma come ci aiutano queste informazioni nel gestire la posta?
Andiamo per gradi, cosi ci capiamo.
Il mondo descritto sopra è così da qualche anno, quindi, per quando sia difficile da credere, le cose da implementare non variano molto da una situazione di guerra ad una di pace per la posta. Quello che cambia, principalmente, è la esposizione al rischio che aumenta dal lato cyber warfare. questo significa che a fronte, come si era detto prima, di attacchi che usano tecnologie analoghe a quelle di tempo di pace, l’obiettivo potrebbe diventare non quello economico ma quello di fermare o distruggere le capacità operative della vittima.
Ovviamente non tutti hanno gli stessi rischi, ci sono obiettivi più esposti ed alcuni meno esposti. Ma considerando che le tecniche in uso sono analoghe a quelle normalmente usate alcune osservazioni vanno fatte.
Social Engineering
Dal phishing alla BEC c’è da aspettarsi che il numero di attacchi sia crescente, e che i temi relativi alla guerra, ai profughi, alle conseguenze economiche della crisi corrente, ed anche alle polemiche politiche sarà in rialzo.
Le aziende che hanno attività nei teatri di scontro potrebbero vedere anche un aumento della pressione di attacchi sulla supply chain.
Una differenza rispetto le operazioni normali, è che la commistione tra cybercrime e cyber-warfare potrebbe spingere l’attaccante a utilizzare la vittima come testa di ponte per effettuare l’attacco verso una terza parte.
Per quello che riguarda le infrastrutture critiche, ricordo che stiamo parlando ancora della posta elettronica, ci potrebbe essere invece lo sviluppo di un attacco lasciato quiescente. Questi target sono spesso obiettivo degli attori di cyber-warfare, il cui modus operandi è spesso esteso su tempistiche diverse rispetto alle attività di cybercrime.
Account Takeover
Essendo la posta un meccanismo che si basa, alla ricezione, principalmente sulla fiducia di riconoscimento del ricevente nei confronti del mittente, le attività di account takeover sono estremamente efficienti perché permettono di aumentare il livello di fiducia sui contenuti perché provenienti da una fonte “credibile”.
Ricevere un messaggio da un mittente noto è infatti un meccanismo molto facile per creare un vincolo di fiducia.
Malware ed altre schifezze
Ebbene sì, il malware continua ad arrivare e ad essere utilizzato. Niente di nuovo sotto il sole, ma il rischio di un aumento anche da questo punto di vista è realistico. Il malware può essere deliverato in diversi modi:
tramite attachment
tramite file associato ad una URL
tramite codice malevolo su una landing page
…
e via dicendo.
Occorre quindi avere un poco di attenzione.
Cosa fare?
In realtà siamo in un clima di Business As Usual con un livello di rischio più alto. Il che significa che le cose che si sarebbe dovuto fare in tempi normali, adesso diventa ancora più impellente implementarle in maniera corretta.
vediamo di dare qualche indicazione:
occorre avere un sistema di protezione della posta avanzato, che sia in grado di offrire analisi su social engineering (esempio phishing, BEC) , malware, e che offra capacità di sandboxing contro il malware
antivirus aggiornato
malware detection in modalità aggressiva
Protezione su URL attiva sia in modalità preventiva ma anche e soprattutto “at click time” per contenuti compromessi post delivery
meglio avere accesso a sistemi di Threat intelligence per monitorare, almeno, che tipo di threat actor sta attaccandovi.
approccio cautelativo sulla gestione dei file
Non far passare gli eseguibili MAI
fare scansione di tutto, limitare le eccezioni al minimo indispensabile
nel dubbio metti in quarantena
quello che non si può scansionare (file criptati, zip con password, file danneggiati) non va consegnato direttamente all’utente ma esploso in maniera protetta
Usate un approccio restrittivo sui protocolli di email authentication:
Onorate le policy DMARC “reject” e “quarantine”
Quarantenare gli SPF hard fail
Quarantenare errori DKIM
Marcate le email provenienti dall’esterno in maniera che siano riconoscibili
aggiungete una nota ad inizio email (nessuno legge fino alla fine) che evidenzi le email provenienti dall’esterno
se non si possono creare note almeno cambiate il subject\oggetto
Verificate se serva una regola Anti-spoofing per bloccare almeno per i domini di cui siete sicuri non vengano generate email al di fuori dei vostri mailserver
Vietate lo scambio di posta per lavoro da parte di domini di email pubbliche (ex gmail, libero) a meno che non sia strettamente necessario
Verificate su canali di comunicazione alternativi (una telefonata vi salva la vita) tutte le richieste “inusuali” tipo cambio IBAN, solleciti pagamenti, comunicazione credenziali
Utilizzate sistemi di remediation automatica, nessun sistema è perfetto, non considerare la remediation vuol dire non ragionare in termini di sicurezza.
Formate gli utenti ed alzate il loro livello di attenzione.
Limitate al massimo le safelist, riducendole in numero e in termini di utenti cui le applicate. Se possibile non fate safelist che coinvolgono tutti gli utenti, leggetevi “the email files” sul safelisting
Insomma diciamocelo, non sono regole fuori dal mondo. A parte il riferimento alla threat intelligence il resto dovrebbe essere BAU (non nel senso del cane ma di Business as Usual).
Niente panico ma un minimo di norme di sopravvivenza, che in realtà funzionano anche in tempo di pace.
data la situazione corrente di guerra in corso, residuo pandemico, il carico di lavoro e la mia personale condizione oncologica ed ontologica (non è un errore di battitura, mi hanno tolto un tumore al colon ad inizio anno ma non mi va di parlarne e ho troppo da fare, ma va bene scherzarci sopra) ho ridotto drasticamente lo spazio per la pazienza quindi:
1) cercherò di non entrare nel merito delle questioni geopolitiche e\o pandemiche e\o socio-economiche correnti, fattasi eccezione per l’uso, garantito dalla costituzione, di sana ironia e malcelato sarcasmo di fronte ad evidenti baggianate. Quindi non escludo innoqui perculamenti, che non significano necessariamente un giudizio morale negativo nei confronti del perculato.😎
2) ho pazienza limitata, chi non accetta il lazzo (che in italiano potrebbe essere tradotto come “scherzo”) e si offende o, analogamente, usa l’ingiuria e l’offesa per sostenere le sue posizioni nei miei confornti, potebbe finire bloccato. Non per colpa sua, ma per la mia lungimirante esigenza di proteggere le mie comunicazioni in periodo di scarsa pazienza.
3) le mie comunicazioni aperiodiche potrebbero essere ancora più aperiodiche del solito, abbiate pazienza.
4) ho comprato un ampli per chitarra nuovo, e quindi potrei decidere di impegnare un poco del mio poco tempo libero su cose ben piu importanti che dissertare sulle vicende del globoterraqueo.
5) ricordatevi che il mio approccio “non ti considero cretino per le cose che dici, ma considero che dici certe cose perchè sei cretino” vale sempre anche e sopratutto per me stesso, figuriamoci per gli altri.
6) se non mi conosci, non sai la mia storia o le mie esperienze prima di fare commenti almeno va a vedere la mia bio, che non riporta tutto ma almeno un minimo dovrebbe farti capire chi chi parli cosi risparmiamo entrambi tempo ed energie.
7) se pensi che mi possa sentire intimidito per il tuo ruolo o supponenza, magari ti stai sopravvalutando un poco troppo, ma non per te… è che ho ben altre cose più impellenti di cui preoccuparmi.
8) se ti ho già bloccato (successo 2 giorni fa l’ultimo caso) non vedrai questo messaggio, ma eventualmente chiedi a qualcuno di leggertelo 😂🤣
9) Se non riesco a rispondere a messaggi o post in tempi accettabili è a causa dei punti 1-8.😋
10) comunque sia voglio bene e rispetto la maggior parte di voi, anche se non tutti 🤣😂😋
ed anche oggi ho fatto un decalogo, spero che Alessandro apprezzi lo spirito evangelizzatore che mi pervade.
Notice to sailors:
given the current in-progress war situation, pandemic residue, the workload, and my personal oncological and ontological condition (it is not a typo, they removed a colon cancer at the beginning of the year, but I don’t want to talk about it, and I too much to do) I drastically reduced the space for patience so:
1) I will try not to enter into the merits of current geopolitical and/or pandemic and/or socio-economic issues, except for the use, guaranteed by the constitution, of healthy irony and ill-concealed sarcasm in the face of blatant nonsense. So I do not exclude harmless percolations, which do not necessarily mean a negative moral judgment towards the percolated
2) I have limited patience; those who do not accept the joke (which in Italian could be translated as “joke”) and are offended or, similarly, use insult and offense to support their positions against me could end up blocked. Not his fault, but my far-sighted need to protect my communications in times of lack of patience.
3) my aperiodic communications could be even more aperiodic than usual, be patient.
4) I bought a new guitar amp, and therefore I might decide to spend some of my little free time on things much more critical than disserting on the events of the globe.
5) remember that my approach, “I do not consider you stupid for the things you say, but I consider that you say certain things because you are stupid,” is always valid also and above all for myself, let alone for others.
6) if you do not know me, you do not know my history or my experiences before making comments. At least go and see my bio, which does not report everything. Still, at least a minimum should make you understand who you’re talking to so we both save time and energy.
7) if you think I may feel intimidated by your role or arrogance, maybe you are overestimating yourself a little too much, but not for you … it’s just that I have much more urgent things to worry about.
8) if I have already blocked you (it happened two days ago in the last case), you will not see this message, but possibly ask someone to read it to you 😂🤣
9) If I can’t reply to messages or posts at an acceptable time, it is because of points 1-8.😋
10) however it is, I love and respect most of you, even if not all 🤣😂😋
and even today, I made a decalogue; I hope Alessandro appreciates the evangelizing spirit that pervades me.
