Ah! La praivaci! (e il selfhosting).

Sono sempre stato un sostenitore della Privacy, specialmente per quanto riguarda la questione dei dati. So che per alcuni la Privacy non e' importante, e li prego di inviarmi URL/applicazione , username e password del vostro sistema di home banking. Dopotutto della privacy non ve ne frega niente, giusto? O avete qualcosa da nascondere?

Detto questo, sto cominciando a trovare irritante il proliferare di persone (principalmente persone che vogliono fare i soldi col nuovo sito per la privacy e/o vogliono fare la nuova codacons della privacy per viverci sopra) che leggono due cosette su alcuni software opensource e se ne escono a dire che "il tale software vi dara' un sacco di privacy", "questo sito non vi ruba i dati", "qui abbiamo la criptazione End-2-End", e si mettono a spacciare i consigli della nonna su come si fa la praivacy.

Il problema e' che si tratta di enti politici, o enti che sono allineati ad una certa linea politica,  e sono fatti da "informatici prestati", cioe' persone che non hanno MAI costruito nessuna infrastruttura, e pensano che le infrastrutture esistenti siano fatte con gli stessi componenti della propria rete domestica.

E i loro consigli sono dati nella stessa ottica: "apple bada alla privacy". Sul serio? Il vostro telefono e' attaccato ad una rete telefonica nazionale, e voi pensate che se Apple vi mette il cippettino porto sicuro allora i vostri dati non usciranno da li? E non mi raccontate che "ma la telco ha solo i vostri metadati, non i dati":

Ci sono diversi  problemi che sfuggono a queste persone.

Sicurezza e Privacy sono, in realta' due cose tra cui bisogna scegliere. Proprio cosi'. Se dei delinquenti vi entrassero a casa di notte, la prima cosa che sperereste e' che la polizia faccia irruzione nel vostro appartamento e li arresti sul colpo. Giusto.

Ma , implicitamente, state chiedendo alla polizia di sapere chi c'e' nel vostro appartamento.

Se state camminando per la strada e un tizio vi segue con la manifesta intenzione di molestarvi, voi vorreste che immediatamente arrivi la volante, lo arresti e lo porti via.

Ma state dicendo che la volante dovrebbe sapere dove vi trovate e che cosa vi sta succedendo, onde intervenire.

No, quelli che dico io sono ancora piu' seccanti.

Ma se io vi dico che Alexa vi ascolta mentre siete in casa, vi scandalizzate perche' la vostra privacy e' compromessa, anche se vorreste che la polizia sapesse cosa succede in casa vostra nel caso l'idraulico abbia un raptus e vi aggredisca.

E se vi dico che grazie al vostro telefono google sa sempre dove siete parlate di Grande Fratello, pur sperando nel fatto che se doveste venire aggrediti, sarebbe bello che la volante arrivi MENTRE avviene l'Aggressione, se non prima.

Mi spiace, ma per prima cosa dovete scegliere tra sicurezza e privacy. Poche seghe: se domani la polizia fermasse dei criminali appena entrati in casa vostra, vi guardereste bene dal lamentarvi del fatto che la polizia li ha visti attraverso il vostro Alexa.

Non solo dovete scegliere tra sicurezza e privacy, ma dovrete farlo VOI, in persona. Non lo stato. Non la UE. Dovete proprio occuparvene VOI.

Durante l'ultimo dibattito elettorale tedesco Armin Laschet ha detto in TV che per prevenire ancora meglio il crimine, mettera' ancora piu' telecamere nei posti ove aumenta il rischio per le donne. Nessuno ha fiatato.Tutte le donne annuivano, compresa la Baerbock. SCELTA FATTA.

Ma e' la scelta sbagliata: se proprio volete una telecamera, tenete addosso una dashcam capace di collegarsi alla polizia, e accendetela e spegnetela se vi sentite in pericolo. Questo e' quel che dico quando dico "dovete occuparvene VOI".


Un altro problema sottovalutato e' che la parola privacy indica che si tratti di un fatto privato. Privato significa una cosa: non siete voi come collettivita' ad occuparvene, e quindi non e' un problema POLITICO in se'.

Se siete un oppositore del regime cinese e vivete in Cina, avete dei problemi di privacy MOLTO diversi da quelli che ho io scrivendo questo blog. Se invece siete un oppositori del regime cinese ma vivete vicino a casa mia, il problema di privacy e' perimetrale, perche' dovete invece preoccuparvi degli scagnozzi del regime , non tanto di essere screditati da un sistema che vi puo' chiudere il conto in banca, cancellare dall'anmagrafe, eccetera.

Se siete una persona pudica potreste avere dei problemi ad essere fotografate sotto la doccia. Ma non se siete Bella Hadid:

E se siete Valentina Nappi avete ancora MENO problemi di privacy:

Allora, dove mettiamo l'asticella? Chi ha problemi di privacy, e quali?

Il vero problema e' che la perdita della privacy e' una minaccia. Ma una minaccia ha effetti diversi in situazioni diverse e a seconda delle persone. Valentina Nappi e la mia vicina di casa hanno problemi di privacy MOLTO diversi. Se Valentina Nappi vivesse a Kabul oggi avrebbe ENORMI problemi di privacy. (E di uccisione.)

La stessa Bella Hadid , ammesso che faccia la doccia usando la biancheria intima, avrebbe dei SERI problemi se , piazzando una telecamera nel suo hotel, io scattassi una foto identica a quella. Questo e' il VERO punto: dipende dal consenso.

Ma "dipende dal consenso" significa che e' una questione personale, e che e' una questione relazionale. Vi faccio un esempio sulle implicazioni.

Se io sto cercando qualcosa (immagine, link) per questo sito, vado su Yandex. Perche'? Perche' io non voglio che google sappia cosa ho cercato per trovare queste immagini. E siccome le autorita' russe NON rispondono MAI alle richieste straniere di tracciare un IP, il discorso e' chiuso.

Ma un oppositore di Putin non solo non ha questa sicurezza: non ha lo stesso PROBLEMA: lui ha il problema di non far sapere a nessuno che si trova in un certo hotel, allo scopo di non farsi avvelenare le mutande. Lui non solo NON usera' yandex, ma non usera' nemmeno uno smartphone.

Tuttavia, Navalny non ha avuto alcun problema di privacy quando i servizi segreti tedeschi hanno esaminato il suo sangue, atomo per atomo. Eppure sono PII medici, quelli piu' riservati.

Morale: il problema della privacy non e' un problema monadico. Non e' un problema di "Eccoti un chilo di privacy". E' un problema di "privacy contro CHI", non "privacy contro COSA". Potrei essere tranquillissimo se il regime cinese ha i miei dati personali, perche' so che il regime cinese non mi mandera' certo la polizia in casa qui in Germania, mentre potrei NON essere d'accordo se li avesse la mia vicina di casa.

La privacy e' un problema DUALE: CHI ha i miei dati? Ma non solo... e' anche piu' complicato.

Di conseguenza, Yandex e Google possono raccogliere gli stessi dati, MA io preferisco che li abbia Yandex perche'... per diversi motivi, tra cui il fatto che Google puo' meglio incrociarli con altri dati che ha, mentre Yandex no.

Allora voi direte: ma per questo firmi una liberatoria , posto per posto, sito per sito, e vieni informato dell'uso dei tuoi dati.

No. Vengo informato del fatto che i miei dati vengano ceduti A TERZI. Ma non mi si dice CHI. Se dite alla mia vicina di casa che le sue foto nuda potrebbero essere vendute a terzi, un conto se "terzi" e' il suo nuovo fidanzato di Amburgo (cui lei stessa li manda), e un conto se si tratta di un pinco pallino qualsiasi. Chi diavolo sono questi "terzi"?

E anche rimanendo nell'ambito delle istituzioni e delle aziende, io non ho problemi se i miei dati sui consumi elettrici vengono condivisi con la StadtWerke, e anche con E.On, e magari con altre 15 aziende della griglia della rete elettrica tedesca. Mentre ho problemi se vengono dati ad Amazon. Ma entrambi sono presentati come "terzi" (in tedesco: alieni).

Ma in un caso aiuto la rete ad essere stabile, nel secondo mi becco ovunque pubblicita' di elettronica a basso consumo.

Allora mi direte che le cose stanno cosi' perche' posso fare "opt-out". Balle. Secondo voi posso fotografare la mia vicina di casa sotto la doccia a patto di consentirle di fare "opt-out"? E non mi tirate fuori il problema del consenso: quando arrivate su un sito web e LEGGETE l'informativa sulla privacy, il vostro IP e' gia' tracciato. Quindi avete gia' la foto della vicina. Da quel momento in poi tutto quello che offrite e' l'opt-out.

Tutti quei popup che vi spuntano quando andate sui siti web NON vi difendono: PRIMA il server logga i vostri dati, POI (col popup) vi chiede se volete fare opt-out. Quindi ok, la mia vicina entra a casa mia, chiede di andare in bagno, c'e' una telecamera, e solo quando esce io le dico "cara Gwen, posso tenere le tue foto? Puoi fare opt-out, se vuoi".

Ma c'e' di peggio. Supponiamo pure che la vicina abbia firmato un documento (o cliccato su una form) dove dice che GIAMMAI, il suo malvagio vicino italiano vedra' il suo prezioso pelo.

Ok.

Due anni fa ci siamo incontrati in una spa. E come sapete, nelle spa tedesche in sauna si va nudi. E come sapete, non fanno distinzioni tra maschi e femmine: tutti insieme. Pero' lei mi aveva vietato di vedere il suo augusto pelo. Devo scappare via? Deve scappare lei? Bisogna chiamare la polizia? E come mai lo stesso dato ha trattamenti diversi , pur con gli stessi data owner, data processor, eccetera? Perche' siamo in sauna, ovviamente, direte. Quindi ho il diritto di guardare le foto che le ho fatto sotto la doccia di casa, a patto di farlo in sauna?

Risposta: la prassi della privacy e' personale, relazionale ed arbitraria. Completamente arbitraria. Oppure e' solo inutile burocrazia.

Stabilito questo, quando si parla di dati e di privacy si parla NON di tutelarci contro precisi comportamenti, e nemmeno contro la ritenzione di dati, ma si parla di farlo in modo che il trattamento dei dati possa adeguarsi a nostre SCELTE ARBITRARIE.


E non e' finita qui.

Non esiste il "protonmail che rispetta la tua privacy". A parte che e' successo questo:

ProtonMail deletes ‘we don’t log your IP’ boast from website after French climate activist reportedly arrested
Cops can read the SMTP spec too, y’know

ma se anche fosse vero che Protonmail NON tiene l'IP ,  protonmail non puo' rispettare la tua privacy per la semplice ragione che il dato NON E' SOTTO IL TUO CONTROLLO ARBITRARIO.

La mia privacy e' qualcosa che nessun contratto scritto, o nessuna regola razionale (o sistema di regole razionali) puo' descrivere: l'unico modo per avere la mia personale, arbitraria e relazionale idea di privacy rispettata e' che il dato sia SEMPRE sotto il mio controllo.

Ed e' cosi' che Gwen controlla la privacy del suo pelo: siccome e' sempre in mano SUA, puo' applicare QUALSIASI regola, per quanto irrazionale, illogica, inconsistente, incoerente, a SUO ARBITRIO. Donna saggia, la Gwen; non per nulla era gia' adolescente quando io sono nato: non parliamo di "Gwen la grigia", ma di "Gwen la bianca". Che il Ballrog lo puppa a lei.

Ed e' per questo che non dovrei fotografare la Nappi sotto la gonna. Perche' a prescindere, Valentina "La castana" ha il CONTROLLO del suo dato. Se invece seguissi il concetto di liberatoria, che decide se io posso avere o meno il suo pelo, sarei autorizzato anche a fotografarla sotto la gonna, visto che sicuramente mi ha autorizzato (insieme a milioni di altri) ad osservare il suo intestino retto.

Poiche' Ella possiede il proprio retto e lo tiene nella sua infrastruttura (come e' sperabile che sia) , allora mantiene il diritto all' ARBITRARIETA' delle sue scelte.

Ma questo, in termini informatici, significa che la privacy e' possibile in quanto tale SOLO perche' sia Gwen la Bianca che Valentina la Castana fanno "selfhosting" del proprio pelo. Il dato risiede nella loro infrastruttura. Ed e' per questo che non potete piu' vedere il pelo di Mia Khalifa, una collega della Nappi; ha scelto arbitrariamente di smettere. Ma le riesce solo perche' il pelo, almeno quello cresciuto di recente, si trova sotto il suo controllo, nella sua infrastruttura.

Che non e' come "metterlo nel cloud": questo e' quello che fa Valentina Nappi quando mette il suo pelo su un sito a pagamento. E' molto diverso rispetto a tenere il pelo nelle mutande. Ed infatti, la Nappi e' anche consapevole che il pelo che ha messo sul cloud andra' a "terze parti" di cui lei NON sa nulla. Sarebbe diverso se la Nappi si facesse il suo minidatacenter in casa e lo gestisse lei? Non so quali conoscenze informatiche abbia, ma in teoria avrebbe maggiore controllo della cosa. Potrebbe anche fare solo la camgirl, e avrebbe ancora piu' controllo.(inizialmente)  Dico "in teoria" perche' uno screenshot e' sempre possibile, ma in teoria sarebbe possibile una steganografia ad hoc, che scriva sulla foto il nome di chi la sta vedendo al momento della visione. In tal caso, la Nappi avrebbe maggiore controllo. E cosi' via. Morale?

CHI NON CONTROLLA L'INFRASTRUTTURA NON CONTROLLA LA PRIVACY. NESSUN CONTRATTO , E NESSUNA LEGGE , POTRANNO MAI COPRIRE PER INTERO L'ARBITRARIETA' DELLE DECISIONI SUI DATI PRIVATI: E' UNO SPETTRO DI DECISIONI TROPPO GRANDE.

Non esiste "protonmail rispetta la privacy". Non esiste "duckduckgo non ti spia". Non esiste alcuna privacy senza controllo dell'infrastruttura. Ed e' per questo che non avete mai visto il pelo di Gwen la Bianca.

Allora la domanda che posso pormi e': la mia  inrastruttura rispetta la privacy? La mia privacy, di sicuro. Potete anche essere i migliori hacker del mondo, ma i dati che NON ho raccolto non li potete rubare. Non li ho raccolti. E non ne raccolgo nemmeno uno.

Allora io posso dire che si', la mia personale infrastruttura di selfhosting rispetta la privacy, solo perche' si adatta PERFETTAMENTE all'ARBITRARIETA' delle mie decisioni a riguardo.

Arbitrarieta' che NON puo' essere ricalcata da NESSUNA legislazione e da NESSUNA precauzione tecnica. Protonmail, dicono, ha i server sotto una montagna di granito in Svizzera e ha la legge svizzera che vi protegge. Aha. Peccato che un tizio francese e' stato arrestato quando la polizia svizzera ha chiesto loro l'indirizzo IP, e "loro" erano la magistratura svizzera. Qual'e' l'arbitrarieta'?

La definizione corretta di privacy e':

"ho il controllo che serve per poter applicare QUALSIASI policy ARBITRARIA sui miei dati personali, e anche per decidere quali siano personali e quali no, a seconda di chi puo' farne uso, secondo una logica PERSONALE ed ARBITRARIA".

E questo avviene in UNA SOLA condizione: selfhosting. Non dico sia sufficiente: dico che e' NECESSARIO.

Ovviamente adesso ci sara' tutta una serie di persone che dicono "selfhosting, va bene, ma come la mettiamo con gli accher che ti entrano?" Perche' e' vero: non ho una serie di security appliance di Juniper seguite da una serie di SA di Cisco, seguite da... eccetera , per proteggere i dati, come farebbe google.

Apparentemente sono piu' debole.

Ma lo sono solo singolarmente.


Il problema dello spionaggio DI MASSA.

Quando Snowden rivelo' al mondo quello che i tecnici sapevano gia', cioe' l'esistenza di innumerevoli backdoor  governative nei software, il problema non era che la polizia americana potesse o meno intercettare UNA persona. Quello puo' farlo, e puo' farlo in qualsiasi momento perche' e' garantito dalla legge (almeno, se vivete negli USA).

Il problema era la SCALA del problema. Cioe' che miliardi di persone venivano registrate e spiate di continuo ed in realtime, al punto che Intel vendeva a NSA quasi il 20% di tutte le CPU che produceva. (penso che la situazione sia invariata).

Ora, proviamo ad immaginare un mondo nel quale il vostro router di casa sia un po' piu' "grassottello" e contenga un bel NextCloud, con un disco esterno intercambiabile per i dati, e un social network federato (Mastodon, Pleroma, etc) e un serverino di posta elettronica, e qualcosa come XMPP/Prosody. Ci riesce il modello piu' grosso di Raspberry Pi, quello con 8GB di RAM.

Potrebbe NSA avere ugualmente i vostri dati? Beh, ovvio, ci sara' sempre qualche vulnerabilita' da sfruttare.

Ma....

Mah.... deve attaccare una decina di milioni di router domestici solo in Italia, poi altrettanti in Francia, Germania, eccetera, e deve prendersi tutto quello che c'e', ma puo' prendersi SOLO quello che c'e', cioe' quello che IO ho deciso di metterci e tenerci. A parte che questo susciterebbe IMMEDIATAMENTE l'attenzione dell' ISP, che si vede un peak average sull'upload che esplode, il problema e' che potrebbe leggere SOLO quello che c'e'.

(e non voglio affrontare il problema della deniability qui: in un cloud personale siete in condizioni di deniability in qualsiasi "prelievo" da remoto. L'unico modo di perderla e' che la polizia venga alle cinque del mattino a sequestrarvi tutto).

E lasciare o non lasciare un file sul mio cloud e' una scelta MIA. Se non ci metto un dato, non c'e' il dato. Se ci metto 450GB di porno, se li deve scaricare tutti solo per essere sicuro che quel file in realta' non contenga altro. Ed in ogni caso, non potrebbe scaricare cio' che ho rimosso ieri (e non credo proprio che farebbe la fatica di riscaricare TUTTO ogni giorno, altrimenti dovrebbe anche ri-scaricare la cartella coi porno, altrimenti diventerebbe un luogo sicuro ove nascondere cose).

Morale: in un mondo ipotetico ove TUTTI fanno selfhosting , (magari semplicemente perche' i CPE (i router/modem) sono piu' capaci, NSA puo' ancora bucare il vostro cloud usando le migliori tecnologie. Ma non puo' farlo su GRANDI masse di router, e in ogni caso otterebbe SOLO quello che voi ci avete messo sopra. Mentre usando soluzioni centrali, non sapete bene cosa venga raccolto: dipende da quanto sono bravi a sniffare il traffico.

Il selfhosting, cioe', oltre a darvi il POTERE di mettere sul vostro cloud quel che volete voi e di cancellarlo se vi va (potete anche cambiare disco con uno vuoto e distruggere il vecchio, se volete) , rende complicatissima anche la raccolta di dati DI MASSA.

La mia architettura domestica e' mista, contiene X86_64, ARM32, ARM64, e ora anche un simpatico RISC-V e il mio CPE usa MIPS. Sicuramente ognuno di questi processori avra' il suo modo di attaccare la pipeline e la branch prediction e tutto quanto, ma parliamo di un attacco "tailored". Non lo fate in MASSA.

Se il selfhosting NON vi offre una protezione "livello enterprise" contro un attacco "tailored", cioe' mirato contro la vostra infrastruttura, e' pero' una difficolta' (quasi) insormontabile se si tratta di far scalare la raccolta A LIVELLI DI RACCOLTA DI MASSA.

Continuiamo a sognare: tutti vogliono fare selfhosting ma non tutti sono competenti. Allora arrivano aziende che ti vendono una scatolina con dentro il tuo cloud personale: la attacchi al router e vai, hai tutto. Bello, eh?

Adesso si tratta , per NSA, di penetrare ogni marca di "scatolina", da quelle fatte in casa dallo smanettone a quelle in vendita, e scoprire che deve scaricare gli stessi 450GB di porno da tutti. E ottiene solo quello che gli utenti ci vogliono mettere sopra. Magari solo il porno. Ma se non lo scarichi steganografare nel porno diventa il nuovo metodo per sfuggire al controllo, e quindi DEVONO scaricarlo ed esaminarlo. Infattibile.

E devono rifarlo ogni giorno. Impossibile da nascondere agli ISP.

Morale:

LA PRIVACY PUO' ESSERE DECLINATA COME PRIVACY PERSONALE O PRIVACY DI MASSA. QUANDO SI TRATTA DI PROTEGGERSI CONTRO SORVEGLIANZA >DI MASSA<, IL CONTROLLO DELL'INFRASTRUTTURA PERSONALE E' >POTENZIALMENTE< SUFFICIENTE.

Ed e' questa la conclusione piu' importante. Se volete essere sicuri contro un attacco "tailored", come utenti "comuni" la cosa migliore e' di NON tenere le cose su computer che siano in rete o raggiungibili. Quindi l'oppositore del governo cinese deve COMUNQUE stare in campana.

Ma per nascondere il cittadino comune  dalla sorveglianza DI MASSA, il selfhosting e' tremendamente efficace.


Chi non vuole il selfhosting, tra gli "opliti della privacy"?

Immaginiamo di essere un "centro sociale anarchico/leninista/whatever", la classica situazione da Fronte Popolare di Giudea. Passate la vita a ribellarvi (apparentemente) contro il "capitalismo della sorveglianza".  In pratica, sono associazioni tenute in vita dal Ministero degli Interni, ben sapendo che ogni testa calda prima o poi ci fara' un salto, e schedarle tutte. Ma immaginiamo che foste davvero un "centro sociale anarchico/leninista/whatever" e che il ministero non c'entri nulla.

Quello che dovreste fare e', per esempio, comprare un raspberry, comprare una scatolina per farlo diventare carino, un piccolo dongle USB per i dati, e vendere la vostra scatolina ai soci dopo averci installato tutto quel che serve. Siccome non tutti i soci sono esperti, non una scatolina a testa: basta uno su dieci che poi offra ad altri nove un account. Diciamo il piu' smanettone.

Cosa succederebbe? Beh, succederebbe che non tutti gli iscritti lo comprerebbero, ma siccome gli iscritti si conoscono, cinque o sei persone potrebbero farsi il loro pod con Pleroma e dividere quelle 10.000 persone (che oggi stanno sul singolo server del centro sociale) in qualcosa come 1000 pod diversi. E come se non bastasse, quei pod non tengono logs.

Certo, sarebbe lo smanettone di turno che compra lo scatolino, lo attacca al router, e al massimo (se il router e' vecchio e non supporta UpNP) dovra' configurarsi a mano il DDNS e il port forwarding. Ci sta.  Poi invita, diciamo, dieci amici che conosce personalmente.

Eh, cosi' non va. Per gli ideali del "centro sociale anarchico/leninista/whatever" sarebbe PERFETTO, ma il ministero perde la possibilita' di tracciare 10.000 persone in un colpo solo. Se invece vendiamo scatoline a 1000 persone, bisogna entrare in tutte, e magari scoprire che NON tengono i logs.

Potete stare tranquilli che, in questo caso, il "centro sociale anarchico/leninista/whatever" dira' che e' molto meglio stare in 10.000 su un server solo: il consiglio rispecchia esattamente il bisogno , del ministero, di prendere piu' IP possibile da un solo server.

Ed e' per questo che i server Mastodon dei centrosocialati arrivano, nei casi piu' estremi, a 10.000 utenti. Ed e' per questo che NON fanno nulla per spingere il selfhosting.

Altro caso sono quelle istanze da 500.000 utenti che vedo in giro. Cavolo, avete appena detto che siete li' per sfuggire alla sorveglianza DI MASSA, e poi costruite infrastrutture che in caso di leaks farebbero uscire GRANDI MASSE di logs? Sul serio?

Non ci vuole molto a capire che poi, dietro queste grandi (e costose) istanze poi ci sia una campagna di donazioni, anche anonime, e non ci stupisce se alcuni donatori chiedono di fornire i log di tanto in tanto: sono personcine carine in divisa. E NSA ha un sacco di budget.

E quindi faranno due cose:

  • se scrivono il software lo faranno diventare cosi' difficile e costoso da deployare e mantenere (vedi il caso Matrix/Signal) che il selfhosting non si possa fare "con la scatolina".
  • se si limitano a mantenere l'istanza, si guarderanno bene dal finanziarsi vendendo "scatoline" con dentro "l'istanza facile", per diffondere il "Verbo".

e in questo modo ostacolano il selfhosting. Guarda caso, alcuni "donatori anonimi" apprezzeranno.

Spero di essermi spiegato. So di essere stato prolisso, ma l'argomento a mio avviso andava sviscerato meglio.

Chi NON consiglia il selfhosting non e' un "oplita della privacy" che crede di essere. E' solo uno che sta cercando di attirarvi sulla sua istanza. Perche' NSA e i ministeri degli interni hanno molto budget, e il budget e' bello.


I sacerdoti dell' OpenSource di Stato e gli stregoni della criptazione.

Altre due categorie che si oppongono al selfhosting sono gli stregoni dell'Opensource di stato e gli stregoni della criptazione.

Esiste tutta una pletora di personaggi che oggi siede dentro le istituzioni, e tutti questi [vecchi] signori  si fanno applaudire dai giovani anziani perche' dicono "Opensource risolve ogni problema , opensource ti fa felice, opensource e' il futuro, opensource di su', e opensource di giu'".

Queste persone non vedono nessun problema di infrastruttura nel discorso privacy, dal momento che spesso non capiscono nulla di infrastrutture, e specialmente non capiscono nulla del problema che stanno affrontando. Il fatto che il codice sia pubblico per loro significa che sia "etico" , ma quando andiamo a vedere la parte "etica" di moltissimi software opensource troviamo che sono nati dai cosiddetti "benevolent dictators". Parlavamo di etica? Certo. Ma di QUALE etica?

Si continua a parlare di "maintained by community" per nascondere che l'azienda che contribuisce di piu' ad un progetto opensource vince sempre semplicemente perche' dedica piu' programmatori al progetto. Interessante, ma a questo punto l' "etica" del software qual'e'?

Ma loro sono i sacerdoti dell'opensource, e anche se sono arrivati nei palazzi del potere con qualche anno di ritardo, rimangono i detentori del record "di aver detto la parola opensource per primi". Ed e' questo il loro merito. Risultato?

Risultato: per il cloud "Gaia-X" e' stato scelto un software opensource anziche' uno proprietario. Bellissimo. Bellissimo? Sarebbe bellissimo, se questo software FACESSE QUELLO CHE SI PROPONE DI FARE GAIA-X.  Lo fa? No.

C'e' stato chiaramente un descoping di molte specifiche, o almeno di molte aspettative. Ma e' OpenSource, e quindi e' una grande vittoria. Certo, gira su Linux e l 27% del codice del kernel e' contributo Microsoft, ma "abbiamo cacciato Microsoft, hurra!".

No, non solo NON avete cacciato Microsoft da Gaia-X, ma avete distolto l'attenzione dagli obiettivi di Gaia-X, cantando una vittoria che non significa nulla in termini di fiducia verso il prodotto, ne' delle caratteristiche del prodotto che volete ottenere. Si voleva un gigantesco cloud federato con una condivisione trasparente del consenso all'utilizzo dei dati. Ma la parte di consenso trasparente e' mancante: esiste al massimo un meccanismo di RBAC. Complimenti.

Scommetto che arriveranno i soliti necromanti a proporre di aggiungerci una blockchain e gli NFT per ovviare a queste carenze: arrivano SEMPRE. Ma cio' non toglie che si sia scelto un software carente (anziche' scriverne e manutenerne uno) , solo per dare ai sacerdoti dell' Opensource la possibilita' di cantare vittoria e sentirsi giovani. Ragazzi, Linux ha la sua eta': proponendo Linux non sembrate giovani. Anzi.

Questi signori dell'opensource spingeranno per qualcosa di fortemente federato, se non selfhosted "as much as possible"? No. Anzi, persino la possibilita' di edge computing all'interno dei CO delle telco e' sfumata per colpa di quella scelta: visto il sistema di RBAC scelto, si andrebbe contro tutte le buone pratiche per la sicurezza di rete. Congratulazioni, Chiesa del LAMP, e condoglianze a chi sperava in qualcosa di meglio.

Premere per una maggiore diffusione di sistemi selfhosted avrebbe probabilmente reso piu' complicata la sorveglianza di massa, ma i sacerdoti ritardatari dell' OSS non avrebbero potuto gridare vittoria. E quindi, non spingeranno MAI in quella direzione.

E a proposito di cripto, un'altra categoria si oppone al selfhosting: gli stregoni della criptazione. Non parlo SOLO dei fanatici della "BlockChain", parlo in generale di tutti quelli che credono che la criptazione risolva i problemi della privacy.

Se credi che la criptazione risolva i problemi di privacy, o anche solo della sicurezza, o non hai capito la criptazione o non hai capito la privacy. Tantomeno la sicurezza.

Non dico che chiunque parli di criptazione dovrebbe almeno aver dato l'esame di teoria dei numeri. Questo e' ovvio: tutti lo hanno fatto, naturalmente. Quello che dico e' che la criptazione non risolve del tutto il problema della privacy, e anzi puo' peggiorare le cose.

Supponiamo pure che la criptazione funzioni, cioe' che le CA che accettiamo siano TUTTE credibili e che NESSUNO fornisca le chiavi private al paese che fa spionaggio di massa. Cosa che ovviamente NON e'.

La Privacy non e' solo proteggere il contenuto criptandolo. La privacy contiene, per esempio, il concetto di deniability. Cosi' come il concetto di anonimato.

E mi spiegate in che modo tutelate l'anonimato, quando un certificato crittografico descrive l'identita' di ALMENO una delle due parti? Potrebbe farlo se si usassero tecniche semplici, con certificati selfsigned. In quel caso l'unico modo per essere sicuri che sia proprio A a parlare con Proprio B sarebbe venire in possesso delle chiavi private. Ma se ci mettete di mezzo una CA, siete sicuri al 100% che fosse proprio A a parlare con proprio B senza bisogno di avere le chiavi.

Complimenti per la privacy. E spesso, per essere sicuri della vostra VPN, ci mettete pure un certificato ... lato client.

Avete un certificato lato client  a testa per entrare dentro una VPN: la vpn e' sicura, ma la vostra privacy ... no. Non siete decisamente "anonimi" nel primo tratto.

Ma c'e' gente (che io chiamo stregoni della crittografia) che vi suggerisce di usare una VPN con doppio certificato client e server per aggiungere sicurezza... mentre usate TOR per girare in internet. Per essere anonimi rispetto al provider di VPN. Non scherzo. "Usate un certificato lato client nella VPN, e poi attaccatevi a Tor cosi' fate due cose che vi rendono anonimi". In realta' l'uso del certificato lato client annulla l'anonimato offerto da Tor, visto che alla fine la prima cosa che fate quando uscite da Tor e' di identificarvi con il provider VPN.

E la differenza tra "criptare il contenuto" e "nascondere il canale" e' difficile da comprendere, perche' le due cose possono sovrapporsi, cosi' come e' difficile distinguere tra "sicurezza" e "anonimato". Per la sicurezza (specialmente perimetrale) e' indispensabile identificare chi parla con chi, ma per l'anonimato ovviamente e'una sconfitta: d'altro canto senza sicurezza non potete nemmeno contare sull'anonimato, ma non e' sempre vero il contrario, la rete cinese e' sicurissima, ma non anonima. Ma questa sottile differenza sfugge ai piu'.

Quando dite che volete fare selfhosting, gli eroi che amano il certificato dentro Tor per uscire verso la VPN vi diranno che ... no, non va bene. Qualcuno potrebbe rubarvi il certificato e usarlo contro di voi (e via di "almeno installa un vault" e roba varia: dimenticano che se qualcuno entra nel mio sistema e fa privilege escalation, ha gia' la mia privacy in mano). E vi dicono "meglio se ti fai una VPS, costa poco e i certificati sono al sicuro". E, aggiungono con aria dotta, "se proprio non ti fidi del provider allora cripta il disco". Wow.

E hanno ragione, a parte il fatto che tu non cripti proprio nulla ma chiedi al provider cloud di farlo, e che non custodisci alcun certificato, ma chiedi al provider cloud di farlo. Lo fara' ?

Dopotutto abbiamo scelto il piu' economico: cosa potrebbe mai andare storto?

Se siete ad un livello per il quale conoscete poche buone pratiche, selfhosting e cloud si equivalgono perche' fanno schifo entrambi: ma guarda caso gli stregoni della criptazione scelgono sempre il cloud. Che sia dovuto al fatto che confidare troppo nella criptazione sia , in se', una cattiva pratica?

E in ogni caso, il cloud sarebbe comunque da evitarsi, per la semplice ragione che si trasforma immediatanente in una lotta a chi monitora/sniffa/sorveglia meglio l'infrastruttura che circonda e precede i server: switch, service edge, fabric, eccetera.

E quindi ancora, provate a fare selfhosting. Se non ci riuscite chiedete ad un amico. Per quanto coglione possa essere il vostro amico, avrete comunque piu' controllo. Cioe', potrete esercitare le vostre scelte arbitrarie, SE NON ALTRO SPEGNENDO L'HOST CHE AVETE IN CASA se credete che sia compromesso.

Potete spegnere un cloud, per caso?

Loweel

Loweel