mercoledì 15 marzo 2017

Razzi e lo stipendio da onorevole: "Guadagnavo più a fare l'operaio"

ilgiornale.it
Rachele Nenzi - Mer, 15/03/2017 - 16:33

Antonio Razzi spiega la sua posizione sugli stipendi da parlamentare. E dice: "Da operaio prendevo 6mila euro al mese. Ora mi fermo a 5mila"



Guadagnava più quando lavorava come operatio che adesso che è un senatore della Repubblica.
Ne è certo Antonio Razzi, senatore di Forza Italia, intervenuto questa mattina ai microfoni di Radio Cusano Campus, l'emittente dell'Università degli Studi Niccolò Cusano. Quando Roberto Arduini e Andrea Di Ciancio gli hanno domandato del suo compenso da parlamentare, Razzi non si è tirato indietro: "Se dal primo di gennaio non c'è più il vitalizio ed è contributivo, come tutti i lavoratori, arriva circa 800 euro dopo cinque anni. Con dieci anni si arriva a 1500 euro netti al mese, come un operaio, solo che il parlamentare versa molto di più di un operaio mensilmente2.

Secondo Razzi un parlamentare "lo fa per il bene dei cittadini, per fare il bene al Paese", quindi "ha bisogno di una certa quantità, perché se fa politica e va in giro per i paesi, o offre l'aperitivo a quello, o la cena all'altro, deve stare attento, altrimenti non gli basta quella paga che tutti hanno". Quasi quasi a Razzi sarebbe convenuto rimanere a fare l'operaio: "Un parlamentare prende poco meno di 5000 euro al mese - ha detto - Io da operaio prendevo 6000 euro al mese, però ero in casa e mi bastava, avevo la moglie, due figli, in Svizzera. Io ora ho più spese rispetto a quando facevo l'operaio in Svizzera. Ci sono le trasferte, è normale, tutti quelli che lavorano per lo Stato hanno queste trasferte".

Se gli italiani vedono di cattivo occhio senatori e deputati è perché l'accanimento "nasce dai media, come dice Trump, che ora gli stanno a rompere le palle per quello che ha guadagnato 12 anni fa". Ma lui non ci sta a passare per chi fa la bella vita alle spalle degli italiani: "Se ci sono persone che mi devono parlare o che mi devono spiegare qualche cosa, e magari andiamo al caffè o andiamo al bar, offro io. C'è un locale dove vado a mangiare tutte le settimane e il proprietario mi dice sempre che pago sempre io! Gli altri fanno sempre finta di niente, io invece mi alzo e pago, sono un gentiluomo".

Quarant’anni fa andava in onda la prima puntata di Supergulp!

lastampa.it
roberto pavanello

Il 15 marzo ’77 andava in onda la prima puntata del mitico programma. A un mese dall’avvento del colore, contribuì a cambiare la Rai


Nick Carter, l’investigatore creato da Bonvi e De Maria faceva anche da conduttore del programma con i suoi fidati aiutanti Patsy e il cinesino Ten. Nacquero con Gulp!

Non c’è bambino o ragazzo degli Anni Settanta che a sentire l’espressione «...e l’ultimo chiuda la porta» non torni con la mente alle avventure di Nick Carter e dei suoi aiutanti Patsy e Ten. Quei buffi personaggi animati che erano anche i «conduttori» di SuperGulp!, sottotitolo Fumetti in tv, programma che non è azzardato definire mitico.

La prima puntata andava in onda oggi, quarant’anni fa. Erano le 20,40 di martedì 15 marzo 1977 e la squadra di autori composta da Giancarlo Governi, Guido De Maria e Bonvi recuperava l’esperienza di Gulp!, dodici puntate andate in onda tra il ’72 e il ’73. Questa volta il programma era a colori e le puntate più lunghe (15 minuti), ma la collocazione era sempre la stessa, il secondo canale della Rai.
«Se ancora oggi parliamo di quel programma il merito è del coraggio, dell’intelligenza e della tenacia mia, di De Maria e di Bonvi e del direttore della Seconda Rete Massimo Fichera - ricorda Governi -. Gli feci vedere la puntata zero, si divertì così tanto che mi disse: “Fate cinquanta puntate”». I tre non si fecero pregare e scrissero una delle più memorabili pagine della tivù italiana: «Nel ’75 la Rai era stata riformata e noi potemmo godere di grande libertà - sottolinea Governi -, io ero il responsabile dei programmi speciali, che mi fu spiegato erano tutti quelli “non normali”. Tradotto: avevo la licenza di fare quello che volevo. E lo feci». 


(Tintin il ragazzino nato dalla matita del fumettista belga Hervé conobbe un grande successo nella sua versione a cartoni animati)

E così in prima serata arrivarono i cartoni animati a colorare i primi tv color (le trasmissioni a colori erano partite solo il primo febbraio). C’erano le avventure di Nick Carter, creato da Bonvi e De Maria, che se la doveva vedere con il «temibile» Stanislao Moulinsky e i suoi travestimenti. E poi, Tintin, Giumbolo e la sua canzoncina tormentone, gli eroi della Marvel come L’uomo ragno e I Fantastici Quattro. Ma soprattutto c’erano quelli che oggi sono i veri e propri prodotti di culto: quei fumetti animati a passo uno con la voce fuori campo di meravigliosi doppiatori che leggevano le nuvolette. Come dimenticare Corto Maltese e Alan Ford e il Gruppo Tnt?

E ancora Sturmtruppen, Lupo Alberto, Il Signor Rossi, Tex, Cocco Bill, ma anche Asterix e Charlie Brown: «Tutto il meglio dei fumetti, i personaggi che amavamo, accanto ai quali recuperammo gli eroi degli Anni Trenta come Mandrake e Flash Gordon. Grazie a loro agganciammo il pubblico più adulto, che quei fumetti li aveva letti quando era bimbo». Grandi e piccini sedevano insieme sul divano di casa e cantavano la sigla «fumetti in tivù ù ù ù»: «Ma Supergulp! non era un programma per bambini - tiene a precisare Governi - e infatti non andava in onda nella collocazione pomeridiana della tivù dei ragazzi».


(Alan Ford, il fumetto di Bunker, era uno dei momenti più seguiti e divertenti )

Quello fu l’inizio di una televisione nuova, si pensi a cos’era successo con Gulp!: «Mike Bongiorno si offese perché il secondo canale c’eravamo noi in contemporanea al suo Rischiatutto: “I fumetti a farmi concorrenza? Sia mai!”». Giancarlo Governi ancora adesso si diverte nel raccontare quegli anni formidabili, funestati (almeno secondo gli autori di Supergulp!) dall’avvento dei cartoni animati giapponesi, gli allora contestatissimi robot, con Goldrake in testa. E così nel 1981 andò in onda l’ultima puntata. Un’epoca era finita per sempre: «In economia si dice che la moneta buona scaccia quella cattiva. Noi ci ritenevamo moneta buona e così decidemmo che era giunto il momento di chiudere». Nessun pentimento: «Se Supergulp! è ricordato ancora oggi con tanto affetto è perché ci fermammo nel momento giusto. Se fossimo andati avanti ancora, chi lo sa come sarebbe andata? Io credo che sarebbe stato un errore». 


(Gli eroi della Marvel erano tra i più amati dai bambini: i Fantastici Quattro, l’Uomo Ragno, Capitan America, Thor erano tutti presenti in «Supergulp!»)

«Dice il saggio», per citare il piccolo Ten, tutto è bene quel che finisce bene. No? Forse. La voglia di ricominciare c’è stata: «Purtroppo nessuno ci ha mai dato retta - confessa con amarezza Governi -. E dire che grazie alla computer grafica sarebbe costato davvero quattro soldi. Noi animavamo i fumetti con il passo uno, mentre oggi basterebbe un comune computer. Pazienza, ormai è andata così». 
E allora buon compleanno, Supergulp!, sei davvero uno splendido quarantenne. A fumetti.

Modifiche e falsi storici, ecco come l’estrema destra italiana inquina le pagine di Wikipedia

lastampa.it
marco tonelli

Utenti prolifici che si nascondono dietro pseudonimi e fonti non verificate hanno modificato nel tempo decine di voci dedicate alle vicende storiche e ai protagonisti del ventennio nero e della Resistenza



José Antonio Primo de Rivera è stato il fondatore della Falange española, un movimento politico che voleva costruire uno stato fascista in Spagna. Fucilato dai repubblicani durante la guerra civile, Rivera è morto nel 1936, ma il suo nome rivive grazie alle azioni di un utente di Wikipedia in lingua italiana. Attivo dal 2008, Jose Antonio ha modificato decine di pagine dedicate alle vicende storiche e ai protagonisti del ventennio fascista e della resistenza.

Le sue azioni (insieme a quelle di altri utenti come TheIrrules, ad esempio) sono diventate l’oggetto di una ricerca sul revisionismo storico e sulla propaganda fascista attraverso le pagine dell’enciclopedia online. L’indagine è stata realizzata dal collettivo di storici, scrittori e attivisti

Nicoletta Bourbaki e pubblicata sul blog Giap. «Questa strategia cancella aggressori e aggrediti ne fa due variabili e permette di definire questi ruoli - o almeno di sfumarli a piacimento», scrivono gli autori. 

LA SQUADRA DI CASAPOUND
Allo stesso tempo, anche altri utenti, appartenenti a CasaPound, avevano messo in piedi una squadra dedita a modificare ed eliminare informazioni da biografie e pagine. In particolare, quelle dedicate ad episodi che possono mettere in cattiva luce il movimento neofascista: come la voce dedicata alla cosiddetta strage di Firenze, avvenuta il 13 dicembre del 2011. Il responsabile dell’omicidio di due ambulanti senegelesi è Gianluca Casseri, militante e simpatizzante dell’associazione. Ma questo particolare è stato più volte cancellato dalla voce. E come scriveva il coordinatore del gruppo Lorenzo Berti, per non incorrere nel controllo e nelle modifiche degli altri utenti, «bisogna creare delle utenze credibili per apparire come persone realmente interessate al miglioramento dell’enciclopedia». 

UTENTI PROLIFICI E CAPACI DI CITARE LE FONTI
Anche Jose Antonio sembra un utente credibile, ma proprio perché prolifico e soprattutto capace di citare fonti più o meno autorevoli. Le sue modifiche attribuiscono responsabilità e dipingono vittime, come nel caso degli scontri, avvenuti nel 1921, tra le squadre d’azione nazifasciste e i carabinieri nel comune toscano di Sarzana. E allo stesso tempo, infangano le biografie di medaglie d’oro della resistenza come Giancarlo Puecher Passavalli o dello psichiatra e neurologo veneziano Franco Basaglia, messo in stato di detenzione per antifascismo nel 1944. In particolare, a quest’ultimo viene attribuita una militanza nelle file dell’esercito della Repubblica di Salò.

Le modifiche di Jose Antonio si basano su fonti bibliografiche attendibili ma allo stesso tempo manipolate (Squadristi di Mimmo Franzinelli), altre più controverse e molto criticate come Vincitori e vinti di Bruno Vespa e le opere di Gianpaolo Pansa e infine, vengono citati anche volumi dichiaratamente di parte come 600 giorni di storia della Repubblica Sociale Italiana a Vicenza (pubblicato da Grafiche DIPRO, casa editrice vicina al movimento di estrema destra Forza Nuova). E come riportano gli autori della ricerca, l’utilizzo delle fonti serve a blindare la revisione: «Le regole di it.wiki prevedono che l’eliminazione di un testo che rimandi a una fonte citata, sia considerato vandalismo a meno che non si porti una fonte diversa che nello specifico contraddica quanto affermato dalla prima». 

Infine, secondo Nicoletta Bourbaki, il problema è alla base dell’enciclopedia stessa, basata su un meccanismo cumulativo del sapere: fondato sulla quantità e non sulla qualità dei contributi. «La nostra è una comunità aperta, nata e cresciuta grazie all’apporto continuo degli utenti e non è possibile evitare la presenza di alcune distorsioni proprio per la natura stessa di Wikipedia», commenta il portavoce della comunità italiana Maurizio Codogno e allo stesso tempo aggiunge che, in molti casi (soprattutto nelle pagine più celebri e frequentate) è grazie all’intervento di altri utenti che si è riusciti a correggere la modifica. «Ma non basta, mi piacerebbe che sempre più utenti operino su Wikipedia e non ne fruiscano solo», conclude Codogno. 

Allarmi

lastampa.it
jena@lastampa.it

Tra i migranti circola un forte sentimento di preoccupazione: “Siamo circondati da italiani”.

Le cattive compagnie

lastampa.it
mattia feltri

Sarete rimasti tutti colpiti dalle prodezze della baby gang - traduzione in italiano: branco di scemi - della provincia di Pavia. Quattro ragazzi fra i 15 e i 16 anni che al vertice della loro inventiva hanno preso un coetaneo, lo hanno denudato, violentato con una pigna e appeso a testa in giù da un ponte. E però, non per fare i soliti cinici, ma che anche i più giovani abbiano una predisposizione al male per cui saranno, spesso, dei conseguenti adulti, lo si sa dai tempi della scuola, con le letture della Guerra dei bottoni o dei Ragazzi della via Pál. 

E dunque un pochino più stupefacente (soltanto un pochino) è che i quattro, rinchiusi nel carcere minorile di Milano, abbiano cercato di attenuare le malefatte con metodi particolarmente infantili, considerate le attenuanti dell’età: tre hanno detto che l’idea era del capo, mentre il capo ha detto di essere soltanto l’esecutore dell’idea degli altri tre. Come se accodarsi non fosse invece un’aggravante, per malvagità elevata a meschineria. 

E la storia potrebbe finire qua se «l’idea è stata sua» non fosse lo slogan di un intero Paese fatto di persone che non c’entrano mai, o soltanto un po’, passavano di lì, e non sanno dare un giudizio di sé, ma sanno che la colpa della loro colpa è della scuola, del partito, della società, di tutti quelli da cui sono stati condotti sul terreno sbagliato. Sempre santo quel caro amico che, uscendo una sera, alla madre che gli diceva di stare attento alle cattive compagnie, rispose: mamma, sono io la cattiva compagnia. 

Il conto corrente gratuito per i pensionati? C’è da sei anni ma in pochi lo sanno

lastampa.it
sandra riccio

Il Conto Base è stato introdotto nel 2011. Le banche non lo pubblicizzano ed è rimasto un fantasma



Esiste già da diversi anni ma a conoscerlo sono davvero in pochi. Il Conto Base, una versione «minimale» del conto corrente tradizionale, è stato introdotto già nel 2011 nel nostro Paese. Le banche italiane sono obbligate a offrire questo tipo di strumento ai propri clienti, come previsto dalla convenzione siglata sei anni fa tra ministero delle Finanze e Banca d’Italia. Nel corso degli anni, tuttavia, questo Conto Base non è stato pubblicizzato a pieno e così è rimasto pressoché un fantasma.

DI COSA SI TRATTA?
Il Conto Base, permette di ridurre le spese annue da pagare per il proprio conto corrente che devono essere basse. Per fare qualche esempio, il Conto Base di Intesa Sanpaolo, come si può leggere sul sito della banca, ha un costo annuo di 30 euro per il canone. Quello di Unicredit è di 24 euro all’anno, che vuol dire 2 euro al mese.

C’è però anche una tutela in più che riguarda le fasce più «svantaggiate» per le quali il canone è azzerato. In più, lo Stato rinuncia a incassare il bollo annuo (34 euro per giacenze medie sopra ai 5mila euro nel corso dell’anno). Tutto questo era stato deciso già nel 2011 in piena crisi dell’euro.
Chi fa parte di queste categorie «svantaggiate»? Le condizioni azzerate e gratuite sono previste per i redditi bassissimi (Isee di 8mila euro). Il canone gratuito riguarda inoltre anche i pensionati con assegni bassi (18mila euro lordi l’anno, circa 1.500 euro di pensione lorda al mese). Non pagano il canone, né il bollo annuo.

COSA OFFRE IL CONTO BASE?
Se costa poco o niente è perché le funzioni sono base e quindi sono limitate. Le operazioni sono ridotte alla possibilità, per esempio, di prelevare e versare contante, inviare e ricevere bonifici. Sono quindi escluse operazioni come quelle relative alla gestione dei propri risparmi come, per esempio, l’acquisto di Btp o di fondi di investimento. Non si possono, inoltre chiedere fidi o aprire mutui. Né è previsto il rilascio di una carta di credito o del libretto degli assegni. Se si vuole più operatività occorre cambiare conto.

Ci sono comunque dei costi aggiuntivi che vanno pagati se, per esempio, si sfora il tetto di prelievi fissati in un anno con il Conto Base a canone agevolato (i maggiori istituti, per fare un esempio, prevedono solo 12 prelievi l’anno con bancomat). Occorre quindi conoscere bene queste condizioni e farsi bene i conti. Per evitare brutte sorprese a fine anno. C’è anche da dire che ormai sul mercato ci sono formule che azzerano il canone del conto corrente o hanno costi bassissimi e prevedono più possibilità di operare. Meglio quindi guardarsi intorno prima di decidere cosa scegliere. 

Lugano: calciatori in fabbrica alle 6 del mattino “per vedere come ci si guadagna il pane”

lastampa.it
paolo lauri

La decisione del tecnico Paolo Tramezzani dopo l’ultima sconfitta per 5-2 della sua squadra

Sveglia alle 5 e poi alle 6 già sul posto di lavoro. Non sono gli operai di una qualche azienda metalmeccanica, ma i calciatori del Lugano, squadra che milita nel campionato svizzero di Super League, reduci domenica da una pesante battuta d’arresto contro il Thun (sconfitti 5-2) dopo quattro risultati utili consecutivi. L’allenatore è Paolo Tramezzani, ex `secondo´ di Gianni De Biasi sulla panchina dell’Albania e volto televisivo Rai. Non l’ha presa bene ed ha agito di conseguenza: una visita agli operai di una fabbrica, «per vedere come lavora e si suda i soldi la gente comune». 

Il tecnico, secondo quanto riferisce la stampa svizzera, ha deciso che alla squadra serviva un bagno di umiltà. Già alle 6, ancor prima che arrivassero operai e impiegati, il pullman del Lugano ha parcheggiato davanti alla sede di un’impresa di vernici e pittura di Davesco e i giocatori sono scesi per conoscere i lavoratori. Poi tutti a Cornaredo per una seduta di allenamento: defaticante per chi ha giocato, lavoro aerobico per il resto del gruppo.

Tutto ciò è stato deciso da Tramezzani in persona, e per questo il presidente del club bianconero Angelo Renzetti non ha voluto fare commenti. «Non voglio immischiarmi - ha spiegato -: Tramezzani con la squadra può fare ciò che vuole».

Vale comunque sempre il vecchio detto: «Meglio fare questo che lavorare».

Ecco cosa hanno chiesto i governi a Google

lastampa.it
sara moraca

Il Transparency Report dà conto di tutte le informazioni che le autorità cercano di ottenere dal motore di ricerca. Ma rivela anche i dati che vorrebbero fossero rimossi

Il numero di richieste che Google riceve per la rimozione di indirizzi dall’indicizzazione dei risultati di ricerca continua a crescere. Lo dimostrano i dati contenuti nel Transparency Report, il rapporto annuale in cui il motore di ricerca pubblica un resoconto dettagliato di tutte le richieste di rimozione pervenute. Anche i Governi europei sfruttano in maniera crescente la possibilità di eliminare i dati contenuti nei prodotti Google: in soli sei anni, le richieste di rimozione presentate da enti governativi europei sono quasi quintuplicate, passando dalle 1.062 del dicembre 2009 alle 4.931 del dicembre 2015.

LE RICHIESTE DEL GOVERNO ITALIANO
Nel 2009, il Governo italiano ha presentato 57 richieste a Google, nel 2015 questo numero è salito a 125. Ciò che stupisce è la crescente complessità delle richieste presentate: dal 2009 a oggi, è drasticamente aumentato il numero di elementi per i quali è stata richiesta la rimozione. Anche se i dati possono essere imperfetti (perché, ad esempio, possono essere presentate diverse richieste per rimuovere lo stesso dato), le proporzioni sono decisamente cambiate: dalle 49 richieste presentate nel 2009, per un totale di 131 elementi da rimuovere (quindi, in media 2,67 elementi da rimuovere per richiesta), si passa ai 2658 elementi da

rimuovere delle 125 richieste presentate a fine 2015 (circa 21,26 elementi per richiesta). Mediamente, la complessità delle richieste, intesa come numero totale degli elementi da rimuovere, è quindi decuplicata in 6 anni. Nel secondo semestre 2015, le tre principali cause che hanno spinto enti governativi e tribunali italiani a chiedere la rimozione dei contenuti sono state rispettivamente: casi di diffamazione (59% dei casi), violazione della privacy o della sicurezza (22% dei casi), bullismo e molestie (10% dei casi). 

LE RICHIESTE DI ACCESSO AI DATI
Le richieste presentate dai Governi non riguardano solo la rimozione dei contenuti, ma anche l’accesso ai dati relativi agli account Google. Ricevuta la richiesta, il motore di ricerca si assicura che sia conforme alla legge e che non risulti troppo generica. Quando le circostanze lo consentono, la richiesta può essere circoscritta, limitando ad esempio il periodo di tempo preso in esame per una data estrapolazione di dati. Nel primo semestre 2016, le autorità governative e di polizia italiane hanno presentato 1.092 richieste di questo tipo: nel 38% dei casi sono state accolte e il motore di ricerca ha fornito informazioni precise per l’identificazione di 1.469 utenti/account.

CRESCONO I DATI PERCHÉ CRESCONO GLI UTENTI
“I dati forniti da Google sono certamente significativi ma dobbiamo considerare che spesso le richieste di rimozione dai risultati di ricerca intervengono soltanto quando non sia possibile (o risulti difficoltoso) riuscire a rimuovere il contenuto alla fonte. E ciò nel senso che spesso, una volta che sia stato rimosso un contenuto alla fonte, non vi è più la necessità di scomodare Google”, spiega Francesco Paolo Micozzi, avvocato esperto di diritto dell’informatica e nuove tecnologie. 

“In altri casi (soprattutto con riferimento ai casi di diffamazione) – continua Micozzi- è possibile che la richiesta di rimozione indirizzata a Google si riferisca alla copia cache dei contenuti originari. Altre volte, invece, ci si rivolge a Google per la rimozione di contenuti ospitati direttamente sui propri server: pensiamo, ad esempio, ai prodotti “Blogger” o, ancora, ai contenuti pubblicati su YouTube”. 

La crescita costante dei dati, spiega l’esperto, non è certo una sorpresa: “Aumentando il numero dei soggetti presenti in rete, aumenta la possibilità che taluno pubblichi contenuti lesivi dei diritti altrui. Un ruolo importante, per l’impennata dei dati relativi alle richieste di rimozione (soprattutto quelle relative ai casi di violazione della privacy), ha giocato, certamente, la sentenza della Corte di Giustizia dell’Unione Europea nel noto caso “Google Spain” che nel 2014 ha stabilito che il gestore di un motore di ricerca su Internet può essere ritenuto responsabile del trattamento da esso effettuato dei dati personali che appaiono su pagine web pubblicate da terzi”.

Vita e costi di uno zero-day: nuovi dettagli sul mercato dei cyberattacchi

lastampa.it
carola frediani

Dopo il caso Cia-Wikileaks, torna sotto accusa la compravendita di vulnerabilità da parte dei governi. Ecco cosa emerge, a partire da due studi



Quando un governo tiene nascosto un attacco informatico che sfrutta una vulnerabilità sconosciuta, c’è almeno il 5 per cento di possibilità che altri soggetti - Stati rivali, cybercriminali, hacker indipendenti - trovino la stessa falla. E la usino a loro volta. In alcuni casi però questa probabilità può salire oltre il 20 per cento. Del resto, vendere attacchi di questo tipo rende bene: gli exploit - i codici di attacco che sfruttano vulnerabilità - pagati dai governi costano in media tra i 50 e i 100mila dollari, ma possono salire a 300mila.

E in alcuni casi arrivare oltre un milione. Basta meno di un mese per sviluppare un attacco per una falla, e il costo di tale sviluppo è di 29mila dollari. Uno sviluppatore di exploit che si inserisca in questo mercato guadagna in media 150mila dollari l’anno. Mentre i compensi che arrivano dai programmi di bug bounty, i premi messi in palio dalle aziende per chi segnala loro dei bachi, restano decisamente inferiori. In cambio, sappiate che marzo (e non solo agosto) è un mese di fiacca nella produzione di exploit. Se volete comprarne uno, il periodo ottimale è gennaio.

Dopo il caso Cia-Wikileaks
Sono solo alcuni dei dati emersi in questi giorni che stanno gettando un po’ di luce sul mercato degli attacchi informatici, solitamente molto opaco. Ma andiamo per punti. Le ultime rivelazioni di Wikileaks sulla Cia hanno riacceso i riflettori sul mondo della compravendita e dello scambio di vulnerabilità. Negli oltre 8mila documenti rilasciati dal gruppo di Julian Assnage lo scorso 7 marzo spiccavano infatti alcune informazioni su software malevoli, trojan, e zero-days (vulnerabilità molto pregiate, perché note ancora solo agli attaccanti), usati dall’agenzia di intelligence per le proprie operazioni.

In particolare erano indicate alcune decine di exploit - codici di attacco che sfruttano una data vulnerabilità - mirati ai sistemi mobili di Apple (iOS) e Google (Android), ma anche a sistemi Windows, macOS and Linux. Google, Apple e Microsoft hanno poi fatto sapere di aver chiuso (in alcuni casi già da prima della pubblicazione online) gran parte delle falle indicate nei documenti della Cia - i quali vanno dal 2013 al 2016. E che stavano lavorando sulle rimanenti.

Tutto ciò in attesa di capire cosa voglia fare Wikileaks dei software e degli exploit veri e propri, cioè del loro codice, che a suo dire sarebbe in suo possesso: se passarlo alle aziende interessate dalle falle in modo da permettere loro di studiare in dettaglio gli attacchi (e difendersi), oppure pubblicarlo online o altro.


Il mercato degli exploit e il ruolo dei governi

Ma intanto si è riaperto il dibattito sull’acquisto e utilizzo di attacchi da parte dei governi, delle loro diverse agenzie, e di aziende. Un grande e confuso bazar diviso in settori - come avevamo raccontato in questo reportage - in cui gli Stati giocano un ruolo di primo piano. Di fatto contribuendo - secondo i critici di questo mercato - all’insicurezza informatica. Come? A grandi linee, quando un governo viene a conoscenza di una vulnerabilità in un software può decidere di comunicarla ai produttori dello stesso in modo da far chiudere la falla; oppure può decidere di tenerla nascosta per usarla contro altri in operazioni offensive (o, come vedremo, anche solo come mezzo di intelligence). In questo secondo caso però l’interrogativo cruciale è il seguente: nel mentre chi e quanti altri soggetti - Stati, loro agenzie, criminali - potrebbero scoprire la stessa falla e usarla? E quindi più in generale: quanto è alta la probabilità che una vulnerabilità trovata da qualcuno sia individuata e usata autonomamente anche da altri?

Sulla risposta a questa domanda si gioca la risposta politica di come gestire gli zero-day da parte dei governi. Perché più è alta la probabilità che altri trovino la stessa falla e la usino, più tenerla nascosta rende insicuro l’ecosistema digitale. Se invece tale probabilità fosse bassa o quasi nulla, i governi si eviterebbero l’accusa di alimentare l’insicurezza. Ora, la buona notizia è che a distanza di tre giorni dalla pubblicazione di Wikileaks, sono usciti due diversi e autorevoli studi che ambiscono a definire proprio questa probabilità. La cattiva notizia è che usano dati e metodologie diverse, arrivando a diverse conclusioni. Ma vale la pena di raccontarli perché restano una miniera di informazioni sul mondo degli attacchi informatici.

Lo studio RAND
Il primo di questi studi è della RAND Corporation - noto think tank di ricerca americano (con forti legami col governo Usa) - ed è molto dettagliato. Ma soprattutto arriva a due conclusioni: l’aspettativa di vita media di un exploit è piuttosto lunga (6,9 anni); e dopo un anno dalla loro prima scoperta, la percentuale di vulnerabilità che venivano riscoperte da altri era del 5,7 per cento. Questo valore viene anche chiamato tasso di collisione e si riferisce al fatto che due (o più) ricercatori trovino la stessa vulnerabilità in modo indipendente. “È importante chiarire che il tasso di collisione varia a seconda dell’intervallo di tempo preso in considerazione”, commenta la co-autrice del report, Lily Ablon, a La Stampa. “Il nostro variava da meno dell’1 per cento (su 90 giorni di intervallo) fino al 40 per cento (su 14 anni, il periodo in cui si estendeva il campione di dati, ndr)”.

Lo studio RAND si basa infatti sull’analisi di 200 zero days (fornite da un anonimo gruppo di ricercatori) tra il 2002 e il 2016. Ed è piaciuto molto a una serie di addetti ai lavori, da Rob Graham, ricercatore che fa sicurezza offensiva, al venditore di exploit noto come “The Grugq”. Le implicazioni le spiega bene il ricercatore Dan Guido (che ha contribuito al rapporto RAND) e che è direttore di Hack/Secure, una società di investimento nel campo della cybersicurezza: “È responsabilità delle aziende di software realizzare prodotti sicuri”, commenta a La Stampa.

“Notificare una singola vulnerabilità nel loro prodotto non serve a molto. Semmai la preoccupazione è che i criminali non abusino di questo tipo di vulnerabilità; e i dati RAND chiariscono che non c’è quasi sovrapposizione”. Insomma - è la sua tesi - anche se la falla non è notificata alle aziende, non c’è da preoccuparsi perché le probabilità che la trovino anche dei criminali sarebbero basse.

Lo studio di Harvard
Tuttavia in concomitanza è uscito anche un altro studio dell’università di Harvard, firmato dal noto crittografo Bruce Schneier e da Trey Herr. E il quadro che ne esce è meno rassicurante. Dopo aver esaminato i dati relativi a 4mila vulnerabilità soprattutto su browser e sistemi operativi, i due studiosi concludono che tra il 15 e il 20 per cento di tutte le vulnerabilità scoperte nei browser hanno almeno un doppione. Per Android, il 22 per cento sono riscoperte entro due mesi in media. E “ci sono ragioni per credere che l’attuale percentuale sia anche più alta per certi tipi di software”, scrive lo studio.

“La nostra analisi mostra che la riscoperta di vulnerabilità per bachi importanti e gravi è più comune di quanto si ritenga, ed è andata crescendo negli ultimi dieci anni”. Lo studio di Harvard è stato rilanciato da Edward Snowden che ha così commentato su Twitter: “Uno studio fondamentale di Harvard rileva che l’hacking governativo sta diventando sempre più rischioso: la possibilità che dei nemici sfruttino le stesse falle è di uno a cinque”.

Quindi? Alta o bassa probabilità?
“Il tasso di collisione andrebbe analizzato per settori e popolarità dei software attaccati”, avverte Alberto Pelliccione, che si occupa di sicurezza difensiva con l’azienda ReaQta dopo un passato nell’offensiva. “Software molto popolari sono sotto maggiore scrutinio da parte di più ricercatori o agenzie, quindi la sovrapposizione sarà maggiore. Inoltre la quantità di collisioni dipende anche dalla superficie di attacco, se è vasta (come in un browser o una suite Office) le collisioni sono relativamente più rare.

Se la superficie è ristretta le collisioni sono molto più alte perché tutti gli sforzi sono concentrati su superfici relativamente piccole ma di alto valore strategico”. A fare una sintesi dei due studi ci prova, sul suo blog, un altro noto ricercatore internazionale di sicurezza informatica, Matt Blaze: “Tutto ciò suggerisce (...) che non ci sia un singolo semplice fattore in grado di predire se una vulnerabilità sarà riscoperta. Quel che abbiamo imparato è soprattutto che serve più ricerca su questo tema”.

I tre livelli del mercato
Il report RAND è comunque ricco di dettagli economici e sociologici. Suddivide il numero di ricercatori di exploit su tre livelli. Quello più alto sarebbe composto da non più di 3mila ricercatori (ma le stime sono variabili) che di fatto lavorano soprattutto per il mercato grigio, quello alimentato dai governi. Segue il livello intermedio, che si concentra su vulnerabilità più “facili” e che viene foraggiato dal mercato cybercriminale. E infine, quello più basso e numeroso, composta da diverse migliaia di unità, che si distribuisce soprattutto su programmi e piattaforme di bug bounty come BugCrowd o HackerOne.Tra le aziende dedite a questo settore, della vendita di exploit, ce ne sarebbero una ventina solo tra i fornitori del governo Usa e di loro alleati.

Ma come si trova, al di là delle boutique specializzate alla Zerodium, un singolo venditore di exploit? “Di solito li incontri alle varie conferenze, come Pwn2own. In Italia sono in due o tre. Oppure ti si propongono loro. Ci sono poi vari circuiti di brokeraggio, venditori che hanno conoscenze nell’underground, vanno alle fiere e fanno da mediatori tra i ricercatori e gli acquirenti”, commenta Marco Valleri, fondatore dell’azienda Neutrino, dopo anni nel ramo offensivo. “I prezzi sono più alti in caso di esclusiva, cioè se il venditore poi toglie dal suo listino l’exploit che hai appena comprato. Ma ovviamente è basato tutto sulla fiducia”.


100mila dollari per un exploit
Nel mercato grigio - quello governativo - girano molti più soldi, come conferma anche il report RAND. Gli exploit sono venduti tra 50 e 100mila dollari, ma salgono facilmente a 150/300mila. In quello nero siamo invece sui 30-50mila. I pagamenti delle piattaforme di bug bounty sono tra i 300 e i 650 dollari. Tanto è vero che ci sono broker, come Zerodium, il cui motto si basa su un gioco di parole: “Paghiamo big bounties (grossi premi), non bug bounties”. Spesso è proprio il tipo di vulnerabilità ad essere diversa. Ma certo c’è uno squilibrio di fondo tra i vari mercati. Tra i colossi tech, Apple si è spinta fino a pagare un massimo di 200mila dollari. Microsoft 100mila.

“Confermo i prezzi medi della ricerca del mercato grigio, ovviamente ci sono casi particolari in cui si superano i 500mila con molta facilità, ma sono uno ogni 100 exploit”, commenta Simone Margaritelli, ricercatore di Zimperium, azienda americana che si occupa di sicurezza per dispositivi mobili e che ha deciso da poco di voler acquistare exploit noti (quindi non più zero-day) per addestrare i propri sistemi di riconoscimento di anomalie e malware. Un segmento interessante e meno noto di questo settore.

I programmi del governo
In realtà gli Stati Uniti hanno un programma creato apposta per valutare se tenere nascoste o rivelare vulnerabilità rilevanti. Si chiama Vulnerability Equities Process (VEP) e sebbene esista dal 2008 i dettagli (parziali e con omissis) sul suo funzionamento sono emersi solo nel 2016, dopo che l’Electronic Frontier Foundation ha obbligato il governo a divulgarli con un’azione legale. Ma, come notano le organizzazioni per i diritti digitali, mancano ancora troppi dettagli per poter valutare il funzionamento di un simile programma. Anche senza fornire informazioni classificate su specifiche vulnerabilità, “i criteri generali che determinano se queste siano rivelate o no dovrebbero essere pubblici.

Così come i numeri aggregati di zero day scoperti, di quelli notificati e di quelli tenuti nel cassetto”, scrive un terzo studio sul ruolo dei governi in questo settore, uscito lo scorso giugno. Ma non sarà facile avere più trasparenza in questo settore. “Per i governi più attivi in questo campo, le vulnerabilità accumulate hanno anche un valore di controintelligence, anche quando non le usano direttamente”, commenta ancora Pelliccione. “Le tieni al caldo, le identifichi con delle firme e le usi per monitorare i movimenti di altre agenzie e Stati”.