Uso responsabile degli strumenti informatici, del web e

delle applicazioni internet Bruno Boni Castagnetti e Franco Marra

Evangelisti SlowebTorino, 4 marzo 2019 v1.0

Torino, 11 dicembre 2019 v2.0

Perché• Stiamo consegnando ai nostri guardiani le chiavi della nostra dorata prigione• Si dice che ciascuno di noi abbia in tasca circa 1000 volte la potenza di calcolo usata

per l’Apollo 11• Noi la utilizziamo solo in minima parte, ma c’è chi la utilizza invece molto bene

per fare soldi e acquisire potere alle nostre spalle, in cambio di nuove funzioni e forme di gratificazione• Per capire fino a che punto il gioco vale la candela• Per instillare un po’ di consapevolezza nel capitalismo della

sorveglianza• E infine per imparare a difenderci dalle minacce più comuni

2

Responsabile?

• Agg: che si comporta in modo riflessivo ed equilibrato, tenendo sempre consapevolmente presenti i pericoli e i danni che i propri atti o le proprie decisioni potrebbero comportare per sé e per altri, e cercando di evitare ogni comportamento dannoso (vocabolario Treccani)• Ad esempio comportamento che si tiene quando si visita una città

straniera, in particolare se non se ne conosce la lingua• Si tiene d’occhio il proprio passaporto e il proprio portafoglio• Si evitano se possibile i quartieri malfamati o si usa particolare cautela nel visitarli• Si frequentano persone conosciute e di buona reputazione• Ci si affida a delle guide

• Fate finta che Internet sia una città straniera con dei quartieri malfamati

3

Internet: la città straniera e malfamata

4

Internet

Browser

PC

Credenziali d'accesso ai servizi• ind. mail di chi accede• password

Credenziali d'accesso alla rete• Credenziali d'accesso

WiFi• Contratto con operatore Dispositivi utente

MapsGoogle driveFotoGMail

GooglePl

ay M

usic

GM

ail

Google

Mai

l Google driveFoto

GMail

Google

MS

Stor

e

One

driv

e

Out

look

Microsoft

IClo

ud

Apple Altri

TIM, Fastweb, Vodafone, 3 …

Play

Sto

re

Altr

i

Altr

i

Altr

i

Altr

i

Noi siamo qui!

App

Stor

eHot Spot WiFi

Wha

tsap

p

Face

book

Facebook

Foto

APP

Goo

gle

driv

e

Come si accede ai servizi• Scaricando, installando e usando una applicazione o una app specifica

del servizio• Le app sono applicazioni per smartphone certificate da Apple, Google e

Microsoft, che si installano solo a partire dai rispettivi ‘store’ (negozi) App Store, Google Play e Microsoft Store

• Gli smartphone vengono venduti con app pre-installate, inclusa quella che permette l’accesso allo ‘store’

• Usando un ‘browser’• Un browser è una applicazione di accesso ‘generica’ che accede a qualunque

pagina su Internet a patto di specificarne il ‘link’ (o indirizzo, o URL)• Anche i browser hanno ‘store’ da cui scaricare ‘estensioni’ certificate

5

Identificare la pagina di un servizio (browser)• Il nome in chiaro, è replicato sulla scheda del browser che lo

visualizza• Il link (o indirizzo, o URL), che identifica univocamente una pagina in

Internet, è sempre scritto nella barra alta del browser (barra degli indirizzi)

Nome della scheda

Link (o indirizzo o URL)6

Pagina webScheda

Capire il link (browser)https://www.repubblica.it

• E’ composto da 2 parti principali• Il protocollo (ossia le regole con cui viene

trattata la pagina in questione: di solito inizia con http)

• Il nome (o dominio: di solito inizia con www)

• Separate da due punti e doppia barra (://)• Per essere sicuro il protocollo deve

terminare con ‘s’ ed essere preceduto da un lucchetto (o simbolo equivalente)

Protocollo Nome o dominio

Sicuro!

7

Le credenziali di accesso

8

La credenziali di accesso ai servizi• Come la chiave di una camera d’albergo, le credenziali servono ad entrare

nell’area dei servizi a noi dedicata, sia che si usi un’applicazione che un browser• Come in un albergo, vengono stabilite al momento della registrazione presso un

servizio, creando un account, e sono utilizzate per ogni successivo accesso al servizio stesso

• Il dispositivo se le ricorda• Smartphone: impostazioni -> account• PC: in un cookie

• Come per il passaporto o per un mazzo di chiavi, bisogna evitare che vengano rubate

• Di solito sono composte da:• Un proprio indirizzo di mail che ci identifica unicamente all’interno del servizio stesso• Una password segreta

• Bisogna che la password sia ‘robusta’

9

Sicurezza: il computer è un condominio

10

Computer

Alice BobInternet Internet

FacebookFacebook Google Google

PIN 1 PIN 2

Dove prosperano gli avvocati divorzisti

Il furto di identità• Le tue credenziali di accesso ai servizi sono memorizzate negli stessi

servizi dove ti sei registrato. Talvolta anche in chiaro• Pirati informatici possono aver violato quei servizi ed essersi impossessati

della vostre credenziali, che possono essere utilizzate su quel servizio (o su altri sui quali vi siete iscritti con le stesse credenziali) a nome vostro da malintenzionati. Si chiama furto di identità• Come scoprire se una tua password è stata rubata• Nel caso ti fosse capitato, devi cambiare la password su quel servizio e

sugli altri dove usi la stessa password• Esiste un mercato nero delle credenziali• In generale:

• Non usare mai la stessa password su più di un servizio• Usa password ‘robuste’: lunghe, con lettere minuscole e maiuscole, numeri e

simboli strani11

Come creare una password robusta ma facile da ricordare, e come ricordarsele tutte• Parti da una frase che ricordi bene: ad esempio il verso di una poesia e scegli almeno 8

caratteri, magari unendo più parole:• ‘..da tanta parte dell’ultimo orizzonte il guardo esclude..’ -> ‘orizzonteil’• Trasforma alcune lettere in numeri e simboli (o -> 0, i -> 1, e -> 3, z -> #)

• ‘0r1##0nt31l’• Raggruppa in uno i caratteri uguali e scrivi dopo quanti sono

• ‘0r1#20nt31l’• Metti un paio delle restanti lettere in maiuscolo

• ‘0r1#20NT31l’• Usa la password ottenuta per un servizio (password manager) che conserva le altre. Ad es: LastPass

o mSecure• Ogni tanto cambia la password principale

• Se vuoi essere ancora più sicuro, attiva se disponibile l’autenticazione a 2 fattori (quella usata dalle banche)

• I consigli di Aranzulla su come gestire le password

12

I nostri dati (e come se ne approfittano)

13

I dati: il petrolio del futuro. Dove sono?• In remoto

• In questo caso, noi non produciamo dati ma li cerchiamo per usarli. Es.: meteo, Trenitalia, Google Maps, ricerche

• Su post (pubblicazione)• I nostri dati sono caricati in remoto con una nostra azione consapevole (post, o pubblicazione). Es.:

Facebook, Twitter

• In back-up (copia di riserva)• Il servizio assicura in varie modalità una copia dei dati del nostro dispositivo, assicurandone la

sopravvivenza in caso di furto o distruzione del dispositivo stesso. Es.: Google foto, cloud

• In sincronismo • Il servizio assicura una copia dei dati sincronizzata con quelli presenti su un nostro dispositivo. Es.:

Contatti, cloud

• Possiamo condividere con altri utenti i nostri dati, una volta centralizzati, o utilizzarli da diversi dispositivi

14

Il Cloud computing• Backup, sincronismo,

condivisione e ubiquità, dalle tue cartelle al Cloud• Office on-line ti permette di

sviluppare documenti direttamente in Cloud• Consegni i tuoi dati al servizio• Il tuo (P)C diventa un semplice

dispositivo per l’input / output• Il servizio assume un ruolo

centrale nel tuo modello di calcolo• E’ diventato difficile creare

utenti ‘locali’15

Computer

AliceInternet

Google Drive

Microsoft Onedrive

PIN

Hanno fame dei tuoi dati

16

Non esistono pasti gratis!• Tutto ciò che sembra gratis ha un costo nascosto o produce danni• Chiediti come fa il produttore della app o della applicazione ‘gratis’ che vuoi

installare o del servizio che vuoi usare a fare i soldi (capire il modello di business)

• Nei casi più comuni stai pagando con i tuoi dati personali• Alcune stime valorizzano i tuoi dati personali intorno ai 1000$ / anno

• Nel caso peggiore ti sta fregando (ne parliamo dopo)• Esiste un mercato nero dei dati• In cambio hai nuove funzioni e gratificazioni (che possono portare a

dipendenze), grandi possibilità di ricerca, comunicazione e condivisione, sicurezza dei dati, informazione, divertimento etc.

17

Le informazioni personali e il microtargeting• Sulla base delle tue ricerche in Google, delle informazioni che fornisci quando ti registri,

riempi questionari o rispondi a domande, dei tuoi post, commenti, amicizie e like in Facebook, della tua posizione su Google maps, delle tessere del supermercato etc. i servizi Internet sanno moltissimo di te

• Queste informazioni ti catalogano all’interno di segmenti di popolazione, target per pubblicità commerciale o propaganda politica (profilazione)

• L’arte di capire come la pensi si chiama Sentiment Analysis• La segmentazione è messa all’asta e rivenduta ad aziende, partiti, servizi finanziari, privati etc.• Cambridge Analytica (Steve Bannon)

• Rubati i dati di 87 milioni di persone tramite un giochino• Le app inoltre possono sapere molto di te accedendo alle risorse del tuo smartphone (posizione,

camera, rubrica, agenda..)• Le informazioni su di te possono anche essere utilizzate a livello personale per decidere ad es. se

puoi accedere ad credito o ad posto di lavoro o come devi essere giudicato in un tribunale tramite algoritmi che possono determinare forme di classifica sociale o di credito

18

Franco, dov’eri?

• 11 gennaio 2017 (solo Franco e Google possono vedere)

• Si può disabilitare ma in pochi ne hanno consapevolezza e lo sanno fare• Google maps: Impostazioni -> Cronologia di Maps

• Se poi avete tempo di farlo per tutte le app che avete nello smartphone…

19

Gli algoritmi (Cathy O’Neil, Armi di distruzione matematica)• Gli algoritmi discriminano perché giudicano in massa e penalizzano le eccezioni

• Perché vivere in un quartiere povero mi discrimina indipendentemente dalle mie capacità personali o dalla mia libera scelta?

• Gli algoritmi sono segreti industriali e sono opachi• Non posso sapere quali criteri usano e ispezionare il codice

• Gli algoritmi sono affetti da pregiudizi (bias) di razza, genere, censo etc• Perché possono essere stati scritti da persone incompetenti o interessate• Perché i bias sono nei dati di cui gli algoritmi si nutrono

• Gli algoritmi sono difficilmente contestabili e ancor meno modificabili• Loro ti giudicano basandosi sulla probabilità che tu sia un qualcosa, ma tu per contestarli hai bisogno di prove

inoppugnabili, soldi e tempo• Modificare gli algoritmi costa e ci vuole tempo

• Gli algoritmi aumentano le disparità sociali• Penalizzano la gente confermando o peggiorando la loro situazione attuale

• I ricchi non si fanno giudicare dagli algoritmi

• Gli algoritmi sono usati per il controllo sociale 20

Una domanda

• Perché l’app della mia banca mi chiede l’accesso alla posizione e alla mia rubrica di contatti?

21

L’assimetria dei default e delle autorizzazioni

• I valori di default sono impostati a favore dei servizi

• La richieste di autorizzazioni a loro favore posso essere ossessive

22

Rischi, minacce e misinformazione(consigli su come evitare di essere fregati personalmente e socialmente)

23

La reputazione

• s.f.: il fatto di essere reputato, la stima e la considerazione in cui si è tenuti da altri (vocabolario Treccani)• E’ probabilmente il maggior valore che può avere una persona su un

blog o sui social, o un servizio in Internet (web reputation)• In caso di dubbi, misura tu stesso la reputazione di un servizio o di

una persona• Fai una ricerca su Google digitando il nome del servizio o della persona

seguito dalla parola ‘opinioni’ o ‘recensioni’• Usa un apposito servizio, ad es. Trustpilot

24

Applicazioni e app sicure• Le app sono le applicazioni per smartphone che si possono installare dagli ‘store’ certificati di

Google, Apple e Microsoft• Malgrado siano ragionevolmente sicuri diffida dai pasti gratis• Ricordati che le app possono essere gratis nel momento dell’installazione, ma poi chiedere

soldi durante il loro funzionamento (ad es. per venderti gettoni per poter giocare)• Le applicazioni del PC vanno scaricate solo dal sito del loro produttore, e non da siti

sconosciuti o di intermediazione (come ad es. Softonic), che spesso installano a tua insaputa altre applicazioni o motori di ricerca drogati dalla pubblicità (ad es. Ask toolbar): non è detto che nelle prime posizioni dei risultati di ricerca ci siano quelle buone

• Le applicazione del PC sconosciute vanno sempre sottoposte a scansione anti-virus subito dopo essere state scaricate, prima della loro installazione• Ad esempio usando un servizio on line come VirSCAN

25

App e smartphone• Non sono necessarie più di 20 – 25 app per avere a disposizione tutte le funzioni utili

nella normale vita di ogni giorno. Ad es.:• maps, mail, whatsapp, orologio, calendario, calcolatrice, traduttore, meteo, contatti, news,

facebook, twitter, telepass pay, trenitalia, spotify, banca, quotidiano preferito, RaiPlay, fotocamera, galleria, Google foto, Google scan, Satispay, GTT.. (e sono anche troppe)

• Evita la bulimia da app: possono essere rischiose, le usi poco e appesantiscono lo smartphone• Impara a gestire la memoria del tuo smartphone invece di comprarne uno nuovo

• Quando installi una app, concedi con giudizio le tue autorizzazioni• Localizzazione: saprà sempre dove sei• La fotocamera solo se strettamente indispensabile ai fini del servizio (ad es Google scan)• Contatti: l’indirizzo email è un dato personale a tutti gli effetti e non ne puoi disporre senza

l’autorizzazione del proprietario• Verifica le impostazioni di default (ad es. la cronologia di maps) e attiva solo le funzioni

di cui sei convinto

26

Pagamenti in rete e circolazione del denaro• In generale, per accedere ai servizi dove sono previsti pagamenti (come gli

‘store’ o quelli di acquisti on-line come Amazon) è necessaria la carta di credito• Evita di dare i suoi estremi a tutti i servizi che utilizzi

• Come per le password, può essere oggetto di furto da parte di pirati informatici• Esiste un mercato nero per gli estremi delle carte di credito• Usa possibilmente un servizio specializzato come Paypal che opera da

intermediario• Per far circolare il denaro (piccoli acquisti, amici) privilegia servizi che

usano l’IBAN invece della carta di credito, come Satispay

27

Le minacce dalla mail e da Whatsapp• Phishing (fishing = pesca)

• Una mail o messaggio contenente un link, che apparentemente viene da un tuo amico che sembra in difficoltà, dalla tua banca che denuncia un problema, da un corriere che dice che c’è una spedizione per te o per un tuo parente, o che ti avverte che c’è un messaggio whatsapp da leggere etc.

• Il link se cliccato può scaricare e attivare un virus o altro software malevolo (ad es. un famigerato ransomware che cifra i dati del tuo PC e ti chiede un riscatto per darti la chiave di decodifica)

• Il link si può aprire su una pagina internet clone del sito del servizio vero (ma senza ‘s’ nel protocollo e con un nome simile ma non giusto) che ti chiede le credenziali e se ne impossessa (e sono guai se non hai attivato l’autenticazione a 2 fattori – che è comunque lo standard per i servizi bancari)

• Scam (truffa)• Una mail o un messaggio che dice che puoi farti un sacco di soldi senza praticamente fare nulla

• Vincita di smartphone• Trasferimento di denaro da un paese straniero sul vostro conto corrente• Vincita di una lotteria• Appello strappa lacrime o richiesta di soldi per un problema urgente, con promessa di forti interessi o ricompensa• Di solito chiede il versamento di una somma di danaro limitata per far fronte alle spese dell’operazione promessa• Catene di sant’Antonio

• Esempi di minacce Whatsapp

28

Come riconoscere un phishing

• La presenza di un link: non cliccare mail il link di una mail o di un messaggio• Un italiano sgrammaticato• Una intestazione generica tipo ‘Caro cliente’: i servizi seri usano

sempre il tuo nome e cognome• Un indirizzo di mail che non corrisponde al servizio. Ad esempio:

intesasanpaolo@gmail.com (i servizi seri usano il proprio dominio e non gmail o altri servizi di mail), o con un nome simile a quello vero, ad es. @intesosanpaolo.com invece di @intesasanpaolo.com

29

Le minacce dai siti• Siti malfamati possono essere stati progettati per attivare sul tuo

dispositivo codice malevolo• Anche in questo caso sono associati, per invitare all’accesso, a esche

di tipo monetario o sessuale• Per favore evitali• Istruzioni di Aranzulla su come identificare i siti falsi

30

Gli antivirus• L’antivirus migliore sei tu quanto tieni un comportamento responsabile

durante la navigazione sul web• Non esistono pasti gratis, su Internet come nella vita

• Se qualcuno ti offre qualcosa gratis molto probabilmente ha un interesse nascosto e ti sta offrendo un’esca

• Evita i quartieri malfamati• A queste condizioni l’antivirus che fa parte di Windows 10 (Windows Defender) e il

tuo browser sono in grado di difenderti dalle normali minacce• Se usi altri antivirus, aggiorna spesso la definizione dei virus

Una descrizione dettagliata dei vari virus, malware e altre minacce

31

Social (principalmente Facebook)

• Durante la registrazione dai solo le informazioni strettamente indispensabili• Prima di accettare un’amicizia, controlla!• Chiediti perché c’è qualcuno che chiede proprio la tua amicizia• Controlla il suo profilo• Controlla se avete amici in comune

• Non partecipare a giochini stupidi o sondaggi inutili (vedi caso Cambridge Analytica)• Spesso sono applicazioni di terze parti che hanno lo scopo di carpire i tuoi dati

• Quando posti (ma non solo) segui sempre le regole della Netiquette

32

La dipendenza

• Ogni like che ricevi aumenta per un breve periodo il tuo livello dell’ormone del piacere: la dopamina• Si dice che molte app siano espressamente progettate per dare

dipendenza

33

Verificare le notizie (e riconoscere le fake news)• Per molti la fonte principale di informazione è costituita dai social• Le fake news sono notizie false e altamente personalizzate• Non contestabili da chi è fuori target• Il decalogo di #bastabufale

1. Condividi solo notizie che hai verificato2. Usa gli strumenti di Internet per verificare le notizie3. Chiedi le fonti e le prove4. Chiedi aiuto a una persona esperta o a un ente veramente competente5. Ricorda che anche Internet e le Social Network sono manipolabili6. Riconosci i vari tipi e gli stili delle notizie false7. Hai un potere enorme, usalo bene8. Dai il buon esempio, non lamentarti del buio, ma accendi la luce

• In sostanza: sei diventato un produttore di contenuti, fai il giornalista

34

Il debunking (rimuovere le fandonie)

• ‘La pratica di mettere in dubbio o smentire - basandosi su metodologie scientifiche - affermazioni false, esagerate, antiscientifiche’ (Wikipedia: debunker)• Il blog di David Puente• Il Post• BUTAC (bufale un tanto al chilo)• Bufale e dintorni

35

La propaganda politica (la propaganda politica in rete)

• Le fake news e i fake account (account fasulli) sono strumenti consolidati di una quotidiana guerra sul web che si combatte:• Sul piano internazionale (ad es.: la russa Internet Research Agency)• Sul piano nazionale

• Dai regimi autoritari contro le opposizioni e i movimenti di liberazione• Dai partiti politici nei regimi democratici (ad es. la rete di fake account che

compongono la cosiddetta ‘Bestia’)• Dai terroristi

• Esiste un mercato nero di fake account• Si stima che a livello mondiale (48 paesi esaminati) siano stati spesi a questo

scopo decine di miliardi di dollari

36

Le nuove minacce• Grazie a tecniche di Intelligenza Artificiale:

• La sentiment analysis si basa sulla comprensione del testo e delle immagini, aumentando il grado e la precisione della profilazione, sia personale che sociale

• Il Phishing diventa ‘Spear fishing’ (pesca con l’arpione), e può essere indirizzato con livelli di personalizzazione che arrivano fino al singolo individuo, utilizzando informazioni personali e contenuti multimediali, in modo da apparire estremamente credibile

• Gli account falsi diventano ‘bot’, robot in grado di simulare le attività social di un essere umano e di agire in quantità e con grande produzione di contenuti

• Le fake news diventano ‘deep fake’, costituite da filmati falsi che riproducono in modo assai convincente chi è preso di mira in situazioni compromettenti, o riproducendo false ‘breaking news’ da associare ad eventi drammatici o catastrofici per aumentarne il potere propagandistico

• Il fuorionda di Matteo Renzi a Striscia la notizia

37

Concludendo: il decalogo del responsabile1. non frequentare siti pericolosi o stare molto attenti se si decide di farlo2. non fornire dettagli troppo personali ai social3. non diventare un’esca per le fake news4. non scaricare programmi di incerta provenienza5. fare attenzione alle truffe online6. non aprire allegati in mail sospette e mai cliccare sui link7. dotarsi di un buon antivirus e tenerlo aggiornato (ma quello di windows 10 va benissimo!)8- non usare una sola password per tutto (usare un PW manager)

9 prima di postare o chattare pensaci un po’

10. non insultare o odiare in rete

38

Abbiamo detto troppo: ora scappiamo!39

Questa presentazione è disponibile sulle pagine Facebook di Spi-Cgil Torino Lega 8 Pensionati Salvario e di Sloweb, e sul sito sloweb.org nella sezione i nostri eventi

40