Uso responsabile degli strumenti informatici, del web e
delle applicazioni internet Bruno Boni Castagnetti e Franco Marra
Evangelisti SlowebTorino, 4 marzo 2019 v1.0
Torino, 11 dicembre 2019 v2.0
Perché• Stiamo consegnando ai nostri guardiani le chiavi della nostra dorata prigione• Si dice che ciascuno di noi abbia in tasca circa 1000 volte la potenza di calcolo usata
per l’Apollo 11• Noi la utilizziamo solo in minima parte, ma c’è chi la utilizza invece molto bene
per fare soldi e acquisire potere alle nostre spalle, in cambio di nuove funzioni e forme di gratificazione• Per capire fino a che punto il gioco vale la candela• Per instillare un po’ di consapevolezza nel capitalismo della
sorveglianza• E infine per imparare a difenderci dalle minacce più comuni
2
Responsabile?
• Agg: che si comporta in modo riflessivo ed equilibrato, tenendo sempre consapevolmente presenti i pericoli e i danni che i propri atti o le proprie decisioni potrebbero comportare per sé e per altri, e cercando di evitare ogni comportamento dannoso (vocabolario Treccani)• Ad esempio comportamento che si tiene quando si visita una città
straniera, in particolare se non se ne conosce la lingua• Si tiene d’occhio il proprio passaporto e il proprio portafoglio• Si evitano se possibile i quartieri malfamati o si usa particolare cautela nel visitarli• Si frequentano persone conosciute e di buona reputazione• Ci si affida a delle guide
• Fate finta che Internet sia una città straniera con dei quartieri malfamati
3
Internet: la città straniera e malfamata
4
Internet
Browser
PC
Credenziali d'accesso ai servizi• ind. mail di chi accede• password
Credenziali d'accesso alla rete• Credenziali d'accesso
WiFi• Contratto con operatore Dispositivi utente
MapsGoogle driveFotoGMail
GooglePl
ay M
usic
GM
ail
Mai
l Google driveFoto
GMail
MS
Stor
e
One
driv
e
Out
look
Microsoft
IClo
ud
Apple Altri
TIM, Fastweb, Vodafone, 3 …
Play
Sto
re
Altr
i
Altr
i
Altr
i
Altr
i
Noi siamo qui!
App
Stor
eHot Spot WiFi
Wha
tsap
p
Face
book
Foto
APP
Goo
gle
driv
e
Come si accede ai servizi• Scaricando, installando e usando una applicazione o una app specifica
del servizio• Le app sono applicazioni per smartphone certificate da Apple, Google e
Microsoft, che si installano solo a partire dai rispettivi ‘store’ (negozi) App Store, Google Play e Microsoft Store
• Gli smartphone vengono venduti con app pre-installate, inclusa quella che permette l’accesso allo ‘store’
• Usando un ‘browser’• Un browser è una applicazione di accesso ‘generica’ che accede a qualunque
pagina su Internet a patto di specificarne il ‘link’ (o indirizzo, o URL)• Anche i browser hanno ‘store’ da cui scaricare ‘estensioni’ certificate
5
Identificare la pagina di un servizio (browser)• Il nome in chiaro, è replicato sulla scheda del browser che lo
visualizza• Il link (o indirizzo, o URL), che identifica univocamente una pagina in
Internet, è sempre scritto nella barra alta del browser (barra degli indirizzi)
Nome della scheda
Link (o indirizzo o URL)6
Pagina webScheda
Capire il link (browser)https://www.repubblica.it
• E’ composto da 2 parti principali• Il protocollo (ossia le regole con cui viene
trattata la pagina in questione: di solito inizia con http)
• Il nome (o dominio: di solito inizia con www)
• Separate da due punti e doppia barra (://)• Per essere sicuro il protocollo deve
terminare con ‘s’ ed essere preceduto da un lucchetto (o simbolo equivalente)
Protocollo Nome o dominio
Sicuro!
7
Le credenziali di accesso
8
La credenziali di accesso ai servizi• Come la chiave di una camera d’albergo, le credenziali servono ad entrare
nell’area dei servizi a noi dedicata, sia che si usi un’applicazione che un browser• Come in un albergo, vengono stabilite al momento della registrazione presso un
servizio, creando un account, e sono utilizzate per ogni successivo accesso al servizio stesso
• Il dispositivo se le ricorda• Smartphone: impostazioni -> account• PC: in un cookie
• Come per il passaporto o per un mazzo di chiavi, bisogna evitare che vengano rubate
• Di solito sono composte da:• Un proprio indirizzo di mail che ci identifica unicamente all’interno del servizio stesso• Una password segreta
• Bisogna che la password sia ‘robusta’
9
Sicurezza: il computer è un condominio
10
Computer
Alice BobInternet Internet
FacebookFacebook Google Google
PIN 1 PIN 2
Dove prosperano gli avvocati divorzisti
Il furto di identità• Le tue credenziali di accesso ai servizi sono memorizzate negli stessi
servizi dove ti sei registrato. Talvolta anche in chiaro• Pirati informatici possono aver violato quei servizi ed essersi impossessati
della vostre credenziali, che possono essere utilizzate su quel servizio (o su altri sui quali vi siete iscritti con le stesse credenziali) a nome vostro da malintenzionati. Si chiama furto di identità• Come scoprire se una tua password è stata rubata• Nel caso ti fosse capitato, devi cambiare la password su quel servizio e
sugli altri dove usi la stessa password• Esiste un mercato nero delle credenziali• In generale:
• Non usare mai la stessa password su più di un servizio• Usa password ‘robuste’: lunghe, con lettere minuscole e maiuscole, numeri e
simboli strani11
Come creare una password robusta ma facile da ricordare, e come ricordarsele tutte• Parti da una frase che ricordi bene: ad esempio il verso di una poesia e scegli almeno 8
caratteri, magari unendo più parole:• ‘..da tanta parte dell’ultimo orizzonte il guardo esclude..’ -> ‘orizzonteil’• Trasforma alcune lettere in numeri e simboli (o -> 0, i -> 1, e -> 3, z -> #)
• ‘0r1##0nt31l’• Raggruppa in uno i caratteri uguali e scrivi dopo quanti sono
• ‘0r1#20nt31l’• Metti un paio delle restanti lettere in maiuscolo
• ‘0r1#20NT31l’• Usa la password ottenuta per un servizio (password manager) che conserva le altre. Ad es: LastPass
o mSecure• Ogni tanto cambia la password principale
• Se vuoi essere ancora più sicuro, attiva se disponibile l’autenticazione a 2 fattori (quella usata dalle banche)
• I consigli di Aranzulla su come gestire le password
12
I nostri dati (e come se ne approfittano)
13
I dati: il petrolio del futuro. Dove sono?• In remoto
• In questo caso, noi non produciamo dati ma li cerchiamo per usarli. Es.: meteo, Trenitalia, Google Maps, ricerche
• Su post (pubblicazione)• I nostri dati sono caricati in remoto con una nostra azione consapevole (post, o pubblicazione). Es.:
Facebook, Twitter
• In back-up (copia di riserva)• Il servizio assicura in varie modalità una copia dei dati del nostro dispositivo, assicurandone la
sopravvivenza in caso di furto o distruzione del dispositivo stesso. Es.: Google foto, cloud
• In sincronismo • Il servizio assicura una copia dei dati sincronizzata con quelli presenti su un nostro dispositivo. Es.:
Contatti, cloud
• Possiamo condividere con altri utenti i nostri dati, una volta centralizzati, o utilizzarli da diversi dispositivi
14
Il Cloud computing• Backup, sincronismo,
condivisione e ubiquità, dalle tue cartelle al Cloud• Office on-line ti permette di
sviluppare documenti direttamente in Cloud• Consegni i tuoi dati al servizio• Il tuo (P)C diventa un semplice
dispositivo per l’input / output• Il servizio assume un ruolo
centrale nel tuo modello di calcolo• E’ diventato difficile creare
utenti ‘locali’15
Computer
AliceInternet
Google Drive
Microsoft Onedrive
PIN
Hanno fame dei tuoi dati
16
Non esistono pasti gratis!• Tutto ciò che sembra gratis ha un costo nascosto o produce danni• Chiediti come fa il produttore della app o della applicazione ‘gratis’ che vuoi
installare o del servizio che vuoi usare a fare i soldi (capire il modello di business)
• Nei casi più comuni stai pagando con i tuoi dati personali• Alcune stime valorizzano i tuoi dati personali intorno ai 1000$ / anno
• Nel caso peggiore ti sta fregando (ne parliamo dopo)• Esiste un mercato nero dei dati• In cambio hai nuove funzioni e gratificazioni (che possono portare a
dipendenze), grandi possibilità di ricerca, comunicazione e condivisione, sicurezza dei dati, informazione, divertimento etc.
17
Le informazioni personali e il microtargeting• Sulla base delle tue ricerche in Google, delle informazioni che fornisci quando ti registri,
riempi questionari o rispondi a domande, dei tuoi post, commenti, amicizie e like in Facebook, della tua posizione su Google maps, delle tessere del supermercato etc. i servizi Internet sanno moltissimo di te
• Queste informazioni ti catalogano all’interno di segmenti di popolazione, target per pubblicità commerciale o propaganda politica (profilazione)
• L’arte di capire come la pensi si chiama Sentiment Analysis• La segmentazione è messa all’asta e rivenduta ad aziende, partiti, servizi finanziari, privati etc.• Cambridge Analytica (Steve Bannon)
• Rubati i dati di 87 milioni di persone tramite un giochino• Le app inoltre possono sapere molto di te accedendo alle risorse del tuo smartphone (posizione,
camera, rubrica, agenda..)• Le informazioni su di te possono anche essere utilizzate a livello personale per decidere ad es. se
puoi accedere ad credito o ad posto di lavoro o come devi essere giudicato in un tribunale tramite algoritmi che possono determinare forme di classifica sociale o di credito
18
Franco, dov’eri?
• 11 gennaio 2017 (solo Franco e Google possono vedere)
• Si può disabilitare ma in pochi ne hanno consapevolezza e lo sanno fare• Google maps: Impostazioni -> Cronologia di Maps
• Se poi avete tempo di farlo per tutte le app che avete nello smartphone…
19
Gli algoritmi (Cathy O’Neil, Armi di distruzione matematica)• Gli algoritmi discriminano perché giudicano in massa e penalizzano le eccezioni
• Perché vivere in un quartiere povero mi discrimina indipendentemente dalle mie capacità personali o dalla mia libera scelta?
• Gli algoritmi sono segreti industriali e sono opachi• Non posso sapere quali criteri usano e ispezionare il codice
• Gli algoritmi sono affetti da pregiudizi (bias) di razza, genere, censo etc• Perché possono essere stati scritti da persone incompetenti o interessate• Perché i bias sono nei dati di cui gli algoritmi si nutrono
• Gli algoritmi sono difficilmente contestabili e ancor meno modificabili• Loro ti giudicano basandosi sulla probabilità che tu sia un qualcosa, ma tu per contestarli hai bisogno di prove
inoppugnabili, soldi e tempo• Modificare gli algoritmi costa e ci vuole tempo
• Gli algoritmi aumentano le disparità sociali• Penalizzano la gente confermando o peggiorando la loro situazione attuale
• I ricchi non si fanno giudicare dagli algoritmi
• Gli algoritmi sono usati per il controllo sociale 20
Una domanda
• Perché l’app della mia banca mi chiede l’accesso alla posizione e alla mia rubrica di contatti?
21
L’assimetria dei default e delle autorizzazioni
• I valori di default sono impostati a favore dei servizi
• La richieste di autorizzazioni a loro favore posso essere ossessive
22
Rischi, minacce e misinformazione(consigli su come evitare di essere fregati personalmente e socialmente)
23
La reputazione
• s.f.: il fatto di essere reputato, la stima e la considerazione in cui si è tenuti da altri (vocabolario Treccani)• E’ probabilmente il maggior valore che può avere una persona su un
blog o sui social, o un servizio in Internet (web reputation)• In caso di dubbi, misura tu stesso la reputazione di un servizio o di
una persona• Fai una ricerca su Google digitando il nome del servizio o della persona
seguito dalla parola ‘opinioni’ o ‘recensioni’• Usa un apposito servizio, ad es. Trustpilot
24
Applicazioni e app sicure• Le app sono le applicazioni per smartphone che si possono installare dagli ‘store’ certificati di
Google, Apple e Microsoft• Malgrado siano ragionevolmente sicuri diffida dai pasti gratis• Ricordati che le app possono essere gratis nel momento dell’installazione, ma poi chiedere
soldi durante il loro funzionamento (ad es. per venderti gettoni per poter giocare)• Le applicazioni del PC vanno scaricate solo dal sito del loro produttore, e non da siti
sconosciuti o di intermediazione (come ad es. Softonic), che spesso installano a tua insaputa altre applicazioni o motori di ricerca drogati dalla pubblicità (ad es. Ask toolbar): non è detto che nelle prime posizioni dei risultati di ricerca ci siano quelle buone
• Le applicazione del PC sconosciute vanno sempre sottoposte a scansione anti-virus subito dopo essere state scaricate, prima della loro installazione• Ad esempio usando un servizio on line come VirSCAN
25
App e smartphone• Non sono necessarie più di 20 – 25 app per avere a disposizione tutte le funzioni utili
nella normale vita di ogni giorno. Ad es.:• maps, mail, whatsapp, orologio, calendario, calcolatrice, traduttore, meteo, contatti, news,
facebook, twitter, telepass pay, trenitalia, spotify, banca, quotidiano preferito, RaiPlay, fotocamera, galleria, Google foto, Google scan, Satispay, GTT.. (e sono anche troppe)
• Evita la bulimia da app: possono essere rischiose, le usi poco e appesantiscono lo smartphone• Impara a gestire la memoria del tuo smartphone invece di comprarne uno nuovo
• Quando installi una app, concedi con giudizio le tue autorizzazioni• Localizzazione: saprà sempre dove sei• La fotocamera solo se strettamente indispensabile ai fini del servizio (ad es Google scan)• Contatti: l’indirizzo email è un dato personale a tutti gli effetti e non ne puoi disporre senza
l’autorizzazione del proprietario• Verifica le impostazioni di default (ad es. la cronologia di maps) e attiva solo le funzioni
di cui sei convinto
26
Pagamenti in rete e circolazione del denaro• In generale, per accedere ai servizi dove sono previsti pagamenti (come gli
‘store’ o quelli di acquisti on-line come Amazon) è necessaria la carta di credito• Evita di dare i suoi estremi a tutti i servizi che utilizzi
• Come per le password, può essere oggetto di furto da parte di pirati informatici• Esiste un mercato nero per gli estremi delle carte di credito• Usa possibilmente un servizio specializzato come Paypal che opera da
intermediario• Per far circolare il denaro (piccoli acquisti, amici) privilegia servizi che
usano l’IBAN invece della carta di credito, come Satispay
27
Le minacce dalla mail e da Whatsapp• Phishing (fishing = pesca)
• Una mail o messaggio contenente un link, che apparentemente viene da un tuo amico che sembra in difficoltà, dalla tua banca che denuncia un problema, da un corriere che dice che c’è una spedizione per te o per un tuo parente, o che ti avverte che c’è un messaggio whatsapp da leggere etc.
• Il link se cliccato può scaricare e attivare un virus o altro software malevolo (ad es. un famigerato ransomware che cifra i dati del tuo PC e ti chiede un riscatto per darti la chiave di decodifica)
• Il link si può aprire su una pagina internet clone del sito del servizio vero (ma senza ‘s’ nel protocollo e con un nome simile ma non giusto) che ti chiede le credenziali e se ne impossessa (e sono guai se non hai attivato l’autenticazione a 2 fattori – che è comunque lo standard per i servizi bancari)
• Scam (truffa)• Una mail o un messaggio che dice che puoi farti un sacco di soldi senza praticamente fare nulla
• Vincita di smartphone• Trasferimento di denaro da un paese straniero sul vostro conto corrente• Vincita di una lotteria• Appello strappa lacrime o richiesta di soldi per un problema urgente, con promessa di forti interessi o ricompensa• Di solito chiede il versamento di una somma di danaro limitata per far fronte alle spese dell’operazione promessa• Catene di sant’Antonio
• Esempi di minacce Whatsapp
28
Come riconoscere un phishing
• La presenza di un link: non cliccare mail il link di una mail o di un messaggio• Un italiano sgrammaticato• Una intestazione generica tipo ‘Caro cliente’: i servizi seri usano
sempre il tuo nome e cognome• Un indirizzo di mail che non corrisponde al servizio. Ad esempio:
[email protected] (i servizi seri usano il proprio dominio e non gmail o altri servizi di mail), o con un nome simile a quello vero, ad es. @intesosanpaolo.com invece di @intesasanpaolo.com
29
Le minacce dai siti• Siti malfamati possono essere stati progettati per attivare sul tuo
dispositivo codice malevolo• Anche in questo caso sono associati, per invitare all’accesso, a esche
di tipo monetario o sessuale• Per favore evitali• Istruzioni di Aranzulla su come identificare i siti falsi
30
Gli antivirus• L’antivirus migliore sei tu quanto tieni un comportamento responsabile
durante la navigazione sul web• Non esistono pasti gratis, su Internet come nella vita
• Se qualcuno ti offre qualcosa gratis molto probabilmente ha un interesse nascosto e ti sta offrendo un’esca
• Evita i quartieri malfamati• A queste condizioni l’antivirus che fa parte di Windows 10 (Windows Defender) e il
tuo browser sono in grado di difenderti dalle normali minacce• Se usi altri antivirus, aggiorna spesso la definizione dei virus
Una descrizione dettagliata dei vari virus, malware e altre minacce
31
Social (principalmente Facebook)
• Durante la registrazione dai solo le informazioni strettamente indispensabili• Prima di accettare un’amicizia, controlla!• Chiediti perché c’è qualcuno che chiede proprio la tua amicizia• Controlla il suo profilo• Controlla se avete amici in comune
• Non partecipare a giochini stupidi o sondaggi inutili (vedi caso Cambridge Analytica)• Spesso sono applicazioni di terze parti che hanno lo scopo di carpire i tuoi dati
• Quando posti (ma non solo) segui sempre le regole della Netiquette
32
La dipendenza
• Ogni like che ricevi aumenta per un breve periodo il tuo livello dell’ormone del piacere: la dopamina• Si dice che molte app siano espressamente progettate per dare
dipendenza
33
Verificare le notizie (e riconoscere le fake news)• Per molti la fonte principale di informazione è costituita dai social• Le fake news sono notizie false e altamente personalizzate• Non contestabili da chi è fuori target• Il decalogo di #bastabufale
1. Condividi solo notizie che hai verificato2. Usa gli strumenti di Internet per verificare le notizie3. Chiedi le fonti e le prove4. Chiedi aiuto a una persona esperta o a un ente veramente competente5. Ricorda che anche Internet e le Social Network sono manipolabili6. Riconosci i vari tipi e gli stili delle notizie false7. Hai un potere enorme, usalo bene8. Dai il buon esempio, non lamentarti del buio, ma accendi la luce
• In sostanza: sei diventato un produttore di contenuti, fai il giornalista
34
Il debunking (rimuovere le fandonie)
• ‘La pratica di mettere in dubbio o smentire - basandosi su metodologie scientifiche - affermazioni false, esagerate, antiscientifiche’ (Wikipedia: debunker)• Il blog di David Puente• Il Post• BUTAC (bufale un tanto al chilo)• Bufale e dintorni
35
La propaganda politica (la propaganda politica in rete)
• Le fake news e i fake account (account fasulli) sono strumenti consolidati di una quotidiana guerra sul web che si combatte:• Sul piano internazionale (ad es.: la russa Internet Research Agency)• Sul piano nazionale
• Dai regimi autoritari contro le opposizioni e i movimenti di liberazione• Dai partiti politici nei regimi democratici (ad es. la rete di fake account che
compongono la cosiddetta ‘Bestia’)• Dai terroristi
• Esiste un mercato nero di fake account• Si stima che a livello mondiale (48 paesi esaminati) siano stati spesi a questo
scopo decine di miliardi di dollari
36
Le nuove minacce• Grazie a tecniche di Intelligenza Artificiale:
• La sentiment analysis si basa sulla comprensione del testo e delle immagini, aumentando il grado e la precisione della profilazione, sia personale che sociale
• Il Phishing diventa ‘Spear fishing’ (pesca con l’arpione), e può essere indirizzato con livelli di personalizzazione che arrivano fino al singolo individuo, utilizzando informazioni personali e contenuti multimediali, in modo da apparire estremamente credibile
• Gli account falsi diventano ‘bot’, robot in grado di simulare le attività social di un essere umano e di agire in quantità e con grande produzione di contenuti
• Le fake news diventano ‘deep fake’, costituite da filmati falsi che riproducono in modo assai convincente chi è preso di mira in situazioni compromettenti, o riproducendo false ‘breaking news’ da associare ad eventi drammatici o catastrofici per aumentarne il potere propagandistico
• Il fuorionda di Matteo Renzi a Striscia la notizia
37
Concludendo: il decalogo del responsabile1. non frequentare siti pericolosi o stare molto attenti se si decide di farlo2. non fornire dettagli troppo personali ai social3. non diventare un’esca per le fake news4. non scaricare programmi di incerta provenienza5. fare attenzione alle truffe online6. non aprire allegati in mail sospette e mai cliccare sui link7. dotarsi di un buon antivirus e tenerlo aggiornato (ma quello di windows 10 va benissimo!)8- non usare una sola password per tutto (usare un PW manager)
9 prima di postare o chattare pensaci un po’
10. non insultare o odiare in rete
38
Abbiamo detto troppo: ora scappiamo!39
Questa presentazione è disponibile sulle pagine Facebook di Spi-Cgil Torino Lega 8 Pensionati Salvario e di Sloweb, e sul sito sloweb.org nella sezione i nostri eventi
40