[Soci SLIP] spaventosa situazione con android

[loredana]

On Fri, 2011-05-20 at 17:34 +0000, Lucio Crusca wrote:

> > Molto piu' utile concentrarsi sul giornalista che sul problema in se'?
> > Onestamente, a me del giornalista non potrebbe fregar meno che niente.
> > Non e' quello il problema.
> 
> Non interesserebbe neache a me il giornalista, se non avesse dato
> informazioni scorrette e non avesse indotto i lettori (fra cui per esempio
> te) a credere che sia scoccata l'ora dei virus per Linux.

Donald Knuth sostiene che per insegnare bisogna partire da un concetto
vicino ma sbagliato, e che l'apprendimento e' il processo che lo
corregge.

Si direbbe che i giornalisti abbiano preso lezione da lui :)

A qualcosa e' comunque servito, quell'articolo. Se no, non saremmo
qui a parlare del problema (io non lo sapevo, a te google lo aveva
detto? Intendo, in forma anche indiretta, sul suo sito, da qualche
parte, per telefono :) Perche' pare che il problema ci sia, su questo
siamo daccordo.
 
> Forse qui c'è un malinteso sulla terminologia. Per me una rete Wifi aperta
> non è una rete Wifi accesa, ma una rete Wifi non protetta e non cifrata.

Anche per me. Pero' parlavo con in mente chi se ne va in giro pronto a
connettersi con tutto quel che trova o che lo trova. Io il wifi lo
disabilito fisicamente. Di fatto, non conosco nessun altro che lo faccia
sempre.

> Il problema descritto si applica solo alle reti non cifrate, non a
> qualsiasi Wifi (poi è vero, gli hotspot liberi normalmente sono non
> cifrati, ma non siamo mica obbligati ad usarli).

E tu conosci qualcuno che non li usi? O che sappia i rischi che corre,
usandoli? La rete del Veloce com'e', per dirne una?

> Inoltre io non mi sento assolutamente costretto ad usare nemmeno i servizi
> online di Google o altri. Vivo benissimo con la mia agenda sul mio
> cellulare sincronizzata con quella sul pc. 

Anch'io, ovviamente. Ma non si parlava di me e di te. Si parla dei
milioni, potenzialmente miliardi di persone, la' fuori. Se stai al gioco
condotto da google, allora cosi' devi fare. E non c'e' dubbio che a
starci siano in tanti e che saranno sempre di piu'. Di questo, cosi'
come del fornire servizi in http anziche' https, e' responsabile google,
mi pare. Sono scelte sue. Gli altri sono costretti o a star senza, o ad
abboccare. Come con windows...

> E ringrazio Android che essendo
> Linux alla base mi permette di installare il software di agenda che
> preferisco e sincronizzarmelo col pc nel modo che preferisco, senza dover
> installare software proprietari di terze parti sul pc.

Capisco il vantaggio di cui parli, per cui basterebbe un formato
standard, pero', l'intero android mi pare un po' eccessivo per un
problema del genere. Quello che non capisco, e' che bisogno ci sia di
buttar via la possibilita' di usare tutto il software libero e
costringere cosi' a sviluppare applicazioni che potranno girare solo su
android e sull'hardware supportato da android.

Di fatto, questo e' il problema e la fonte di confusione, prima ancora
del nostro giornalista: cosa diavolo e', android? Un ambiente di
sviluppo? Ce n'era bisogno? Perche'? Perche' mai lo si chiama sistema
operativo?

> No, è proprio questo che intendevo dire. Questo problema è stato
> presentato dal giornalista relativamente ai dispositivi Android perché
> faceva notizia, ma questo problema, esattamente lo stesso problema, è
> presente in tutte le applicazioni che parlano con i servizi google via
> HTTP invece che HTTPS, inclusa quella che ho scritto io di cui ti facevo
> l'esempio e che gira su un server Linux, ma che potrebbe tranquillamente
> funzionare anche su un notebook (solo che nel caso specifico ne avevo
> bisogno su un server). La colpa è di chi scrive le app (quindi
> nell'esempio anche mia), di Google che offre un servizio non sicuro per
> far passare dati personali e di chi usa la app consapevole del problema
> oppure non consapevole di cosa sta facendo. 

Ok. Se e' cosi', l'articolo non distingue. Mi chiedo anche, pero', come
potesse un articolo essere piu' preciso, facendosi comunque capire dal
suo pubblico. Resta vero che il problema e' "soprattutto" per le
applicazioni che girano su dispositivi con android, in particolare 
sui mobiles. Non mi pare che il giornalista faccia male il suo mestiere,
in questo senso. Come far arrivare la notizia al pubblico e metterlo in
guardia? Poi sulle imprecisioni possiamo anche discutere, pero' son meno
dannose, secondo me, del non dir niente. E fanno passare il messaggio.

> Se vuoi posso controllarlo, ma quello che Google aggiornerà (se mai questo
> aggiornamento dovesse veramente esserci) sono le sue app, non il sistema
> Android. Android è solo un kernel linux, qualche comando GNU ed una
> macchina virtuale Java. 

Ecco, cosi' sappiamo cos'e' android. Ma un kernel linux, qualche comando
GNU ed una macchina virtuale java non c'erano gia' bell'e pronti, solo
eventualmente da adattare/adottare? Che bisogno c'era di android e delle
applicazioni che girano solo su android, anziche' su tutta la gamma
hardware, dai sistemi embedded ai supercomputers, come nel caso di
GNU/linux? 

> > Ok, se fin qui siamo daccordo, allora possiamo anche dire che non c'e'
> > mai stato un problema di sicurezza con windows, visto che il problema
> > erano gli utenti, le applicazioni etc?
> 
> Nel caso di Windows, oltre ai problemi delle applicazioni e degli utenti,
> ci sono anche problemi di sicurezza del sistema in sè, presenti anche se
> non installi nulla oltre al sistema e lo dai in mano ad un utente
> coscienzioso, quindi no, non possiamo dirlo. 

Quali sono i problemi di windows che GNU/linux non ha, ad esempio?
Perche' anche GNU/linux non si puo' dire esente da bachi, basta seguire
gli aggiornamenti per la sicurezza e la loro frequenza per una qualsiasi
distribuzione. Ce n'e' per tutti i gusti. Io al problema di una macchina
GNU/linux sicura ci sto pensando da un bel pezzo e ancora non ho trovato
una buona soluzione. Semplicemente perche' il concetto di sicurezza
assoluta e', in se', assurdo. Quella roba non esiste.

In realta', poi, sono le applicazioni e soprattutto i servizi che
rendono la vita pericolosa. E la rete. E la diffusione. E, naturalmente,
la capacita' della maggioranza degli utenti di non prendere neppure la
piu' piccola delle precauzioni, di non volerne proprio sapere. E forse
anche tutti quelli che hanno sempre detto che il problema era di windows
e che usando linux il problema della sicurezza non c'era. E invece, doh,
c'e'.

> Gli stessi
> protocolli HTTP ed HTTPS, in ISO/OSI sono a livello 7, detto appunto
> livello applicativo. Il kernel non sa neppure cosa siano HTTP ed HTTPS.

Ovviamente, ma android non e' il kernel. Il kernel e' linux.

> Non sarebbe possibile correggere una cosa del genere a livello di kernel
> neanche volendo.

Ma android non e' il kernel. Chi ha detto kernel?

> E invece sta proprio nelle singole applicazioni. Poi la "distro" ufficiale
> di Android fatta da Google include anche le app di Google, e quindi Google
> metterà le app corrette a partire dalla versione 2.3.4, mentre pubblicherà
> una fix (per le app, non per Android) per chi ha una versione precedente
> di Android e quindi delle app bacate. 

Ci dai un link? Per curiosita'. Dove stanno queste informazioni per gli
utenti?

> Sono pienamente d'accordo, ed è il motivo per cui i miei dati li tengo sui
> miei computer ed esorto tutti a fare lo stesso, uscendo così da quello che
> tu chiami "obbligo" di essere sempre connessi.

Finche' ce lo permettono. Ma vale comunque solo per una nicchia, che non
fa testo. Il resto del mondo va la', come il resto del mondo e' andato
con windows. Qui il problema e' infinitamente piu' serio, pero'.

> >> Come dire che se non ci fosse Windows, Oulook sarebbe un software
> >> sicuro.
> >
> > Appunto. Questo e' gia' stato discusso sopra. Se tu ritieni windows e
> > android non colpevoli, allora NON la pensiamo allo stesso modo.
> 
> Windows sì, Android no (in questo caso ovviamente, in futuro chissà cosa
> potrà capitare).

Va beh ... A me basta tutto quel che e' capitato finora e sta capitando.
Se vuoi, diciamo windows e google, per essere precisi. 

> > rilevi o meno, che ne si sia consapevoli o no. Io mi sento in dovere
> > di segnalarlo. Tutto qui.
> 
> Va bene segnalarlo, io infatti non ce l'avevo con te, sei semplicemente
> caduta vittima della disinformazione data dal solito giornalista che come
> vedi assume un'importanza non trascurabile.

Non ci vedo nessun dramma. Non mi sento una vittima della
disinformazione. Grazie delle correzioni, ma il succo resta lo stesso.
Anzi, io l'ho trovato utile. Altrimenti, ripeto, non avrei neppure
saputo del problema. Leggerei molto volentieri cosa dice google ai suoi
utenti, direttamente, senza passare attraverso giornalisti. Ma non so
dove stia. Un link? 

> E certo che lo sa, ma cosa può fare oltre ad avvisare l'utente e
> chiedergli conferma? (nota che qui si parla degli SMS Trojan che non hanno
> nulla a che vedere con il problema HTTP/HTTPS/MITM/agenda/rubrica nè con
> le colpe di Google, sono solo stati messi lì dal giornalista per infarcire
> un po' l'allarmismo).

Io quel giornalista continuo a ringraziarlo, non per l'allarmismo, per
la notizia e per averne parlato e scritto. 

> > Ora spiegaglielo tu come devono fare, invece. Tieni pero' conto che
> > quello che gli utenti non hanno fatto per windows o per altri
> > snartphones, difficilmente faranno per android.
> 
> Il punto è che non esiste antivirus che metta al riparo l'utente da sè
> stesso. Vogliono mettere l'antivirus? Facciano pure, ma se poi installano
> ogni sorta di porcheria senza verificarne la provenienza ed autorizzando
> qualsiasi cosa senza leggere, non c'è antivirus che tenga.

Questo lo sappiamo benissimo, vale da sempre per windows, adesso vale
anche per android, basato su linux, ok? Abbastanza precisa, come
frase? :) 

Allora: signori e signore, state attenti, non vi basta che "sotto" ci
sia linux e non windows, per sentirvi al sicuro. Dal famigerato
articolo:

"Android malware has surged 400 percent since summer 2010, according to
the "Malicious Mobile Threats Report 2010/2011." 

Il malware per android e' aumentato del 400% dall'estate 2010, secondo
il rapporto  "Malicious Mobile threats" 2010/2011. 

"Any Android or desktop application that accesses Google services using
the ClientLogin protocol over HTTP is vulnerable".

Ogni applicazione android o desktop che acceda ai servizi google usando
il protocollo ClientLogin su http e' vulnerabile.

In attesa che google provveda e ci dica come, questi restano i fatti, 
se non smentiti. Imprecisioni a parte.

Loredana