Internet 2000: tecnologie (05 di 06)

Sicurezza e privacy

La sicurezza del transito dei dati su Internet è un problema che riguarda sia la grande utenza (le reti locali o su territorio che si connettono a Internet) sia la moltitudine di navigatori che si collegano alla rete attraverso le normali linee telefoniche.

La distinzione tra queste due macro-categorie ci permette di identificare problematiche parzialmente distinte: l'utente medio avrà principalmente l'esigenza di garantire la propria privacy, e di evitare di 'contrarre' in rete virus pericolosi per l'integrità dei propri dati; un amministratore di sistema o di una rete locale dovrà invece proteggersi da intrusioni esterne, e mantenere la distinzione fra la parte 'pubblica' e la parte 'privata' del proprio network.

Per quanto riguarda l'utente privato, è bene ribadire che la corrispondenza non crittografata che viaggia via Internet è potenzialmente insicura (possiamo pensare all'equivalente elettronico di una cartolina), nel senso che i gestori dei sistemi attraverso i quali transita la nostra posta (ed eventualmente anche hacker esterni che fossero riusciti ad avere accesso al sistema e ad attribuirsi lo stesso livello di autorità del suo gestore) possono, volendo, leggerne e modificarne il contenuto. A parziale limitazione di questa intrinseca mancanza di sicurezza, va detto che la mole immensa di posta elettronica che circola su Internet costituisce da sola una forte garanzia di privacy.

In ogni caso, una soluzione efficace al problema esiste, ed è rappresentata proprio dai software di criptatura: dato che la lettera viaggia in forma binaria (e quindi come una lunga catena di zero e uno), applicarvi algoritmi di cifratura è assai semplice.

Quanto ai virus, è bene dire subito che, a patto di usare un minimo di prudenza, 'contrarre' virus attraverso Internet non è così facile come vorrebbero i periodici allarmi diffusi al riguardo. I file di testo, i file HTML, i file di immagini vengono solo 'letti' da altri programmi, e non eseguiti: non possono dunque trasmettere alcun virus. Virus potrebbero invece essere contenuti (sotto forma di insiemi di macroistruzioni) in documenti generati da programmi complessi, come Microsoft Word ed Excel. Se prelevate in rete (da siti di dubbia affidabilità) documenti di questo tipo, un controllo antivirus non guasta mai. Quanto ai file eseguibili prelevati via FTP, la garanzia migliore viene dal sito di provenienza: in genere li preleveremo infatti direttamente dai computer della casa produttrice, o da biblioteche shareware pubbliche e molto controllate. In ogni caso, una verifica antivirus prima di eseguire il file resta una buona pratica. I rischi aumentano, naturalmente, se andiamo a prelevare programmi nei newsgroup dedicati allo scambio di software o se eseguiamo senza controllo programmi ricevuti in attachment con messaggi di posta elettronica provenienti da sconosciuti. D'altro canto, prendere un virus in questo modo vuol dire esserselo cercato!

A proposito di virus: ricordate che Internet è anche una formidabile risorsa per procurarsi - e tenere aggiornati - programmi antivirus. Molte case produttrici distribuiscono software di questo tipo attraverso la rete; le più famose sono probabilmente la Network Associates/McAfee (http://www.mcafee.com) e la Symantec (http://www.symantec.com). Il CD-ROM allegato a questo libro contiene alcuni buoni programmi antivirus (programma su CD), nelle versioni di pubblico dominio; ricordiamo tuttavia che gli antivirus vanno sempre tenuti aggiornati, e che se si decide di utilizzare regolarmente un antivirus occorre pagare alla casa produttrice la relativa registrazione.

Potenzialmente a rischio sono poi le 'applicazioni distribuite', come gli applet Java o i controlli ActiveX. Tuttavia, i browser in grado di visualizzarle incorporano una serie di controlli molto stretti, e il fatto che queste applicazioni girino sempre su macchine virtuali (e quindi non siano in contatto diretto con il sistema operativo) rende più facile controllarne gli effetti. Inoltre, molti degli applet che incontreremo durante la nostra navigazione sono messi in rete da siti noti, che sono evidentemente responsabili della 'regolarità' del codice. In ogni caso, il consiglio - se non si è utenti esperti - è quello di non ridurre mai le opzioni di sicurezza sulla gestione di applet Java preconfigurate all'interno del browser.

Un'ultima osservazione riguarda chi ha deciso di installare sul proprio computer non solo moduli client, ma anche moduli server - ad esempio un server FTP - o chi usa sistemi operativi 'aperti alla rete' come Windows 95/98 o Windows NT/2000. Tenete presente che in questo caso un utente esterno potrebbe, in linea di principio, accedere al vostro sistema mentre siete collegati a Internet: per questo motivo, evitate di utilizzare l'opzione di condivisione delle risorse, e prima di installare un modulo server assicuratevi di saper padroneggiare i relativi sistemi di sicurezza.

Specialmente nel caso di computer dotati di sistemi operativi Windows 95/98 e connessi alla rete con IP fisso, è particolarmente importante controllare regolarmente con software antivirus, ed eventualmente far testare ad un esperto, la configurazione del PC. Windows 95 e 98, infatti, non sono dotati di un file system (il modulo del sistema operativo che gestisce i dati sulle unità di memoria di massa) in grado di garantire la sicurezza in ambienti condivisi, come invece accade con Windows NT e Windows 2000. Per dare un idea di quanto può accadere se si trascurano le opportune misure di protezione basti dire che esistono dei programmi virus (come Net Bus e Back Orifice), mascherati a volte da video games apparentemente innocui, che una volta attivati rendono completamente visibili, cancellabili e modificabili tutti i file e le risorse del nostro computer: programmi e applicazioni possono essere avviati contro la nostra volontà; la tastiera e il mouse possono essere controllati da un utente anonimo che sfrutta i canali aperti dai virus; istante per istante potrebbe essere controllato tutto ciò che scriviamo; il nostro browser potrebbe essere guidato su un sito scelto da un malintenzionato nascosto nei meandri della rete. Una fondamentale norma di comportamento che aiuta ad evitare queste spiacevoli situazioni è quella di non installare mai software di cui non si conosce esattamente la provenienza e non aprire mai file ricevuti come attachment di messaggi di posta elettronica inviati da sconosciuti o comunque inaspettati. Su questi temi, comunque, ci siamo già soffermati nella sezione del manuale dedicata alla posta elettronica.

Assai più complesso è il discorso sulla sicurezza di grossi sistemi e di reti locali connesse ad Internet. In questo caso la protezione delle risorse informatiche è un compito professionale che va affidato a personale specializzato: di norma si può trattare dell'amministratore di rete, ma nei sistemi più complessi le figure responsabili possono anche essere molteplici. Mantenere la sicurezza informatica, infatti, è un compito assai difficile, e renderemmo un pessimo servigio se fingessimo di poter riassumere in poche righe i consigli e le istruzioni necessarie.

Per coloro che si trovano a gestire dei sistemi medio piccoli, ricordiamo che è buona norma disabilitare gli account 'standard' o di prova che i sistemi operativi Unix e NT creano automaticamente (e che costituiscono una facile porta di accesso per curiosi o malintenzionati). Altrettanto importante è l'acquisizione, in merito ai problemi di sicurezza, di informazioni aggiornate, dettagliate e mirate alla specifica configurazione del proprio sistema (al riguardo la rete è una ottima fonte). È inoltre opportuno installare gli aggiornamenti o patch rilasciati periodicamente dai produttori dei sistemi operativi: con il tempo, infatti, vengono scoperti e corretti errori nel software che lasciano margine a possibili effrazioni. Ricordate poi che è sempre reperibile la separazione logica dei computer 'aperti' a Internet da quelli nei quali sono contenuti dati delicati o riservati. A tale fine possono essere utilizzati dei sistemi di firewall. Si tratta di sistemi software e hardware che mirano a tenere distinti i settori 'pubblici' da quelli 'privati' di una rete, bloccando gli accessi non desiderati. La separazione fisica dei computer in rete e di quelli contenenti dati riservati, infine, è ovviamente il metodo che garantisce la massima sicurezza.

SSL e connessioni protette

Una recente ricerca dell'Università Bocconi di Milano ha sottolineato l'incremento degli investimenti commerciali in rete: sono circa un migliaio gli esercizi commerciali italiani on-line. Anche le curve d'incremento dello shopping on-line sono in positivo: sarebbero ormai circa 400.000 gli italiani che hanno effettuato acquisti attraverso Internet. Una proiezione della Deloitte Consulting (http://www.dc.com/) parla di un volume di affari per il commercio elettronico pari a mille miliardi di dollari entro il 2002! Cifre senz'altro impressionanti, ma considerando che attualmente il metodo di pagamento più usato dagli utenti della rete è ancora l'utilizzo della carta di credito, quali sono gli strumenti in grado di evitare frodi e violazioni della privacy, a tutela dei consumatori e di quanti offrono servizi in rete?

Fra le tecnologie di protezione dei dati legate al mondo del commercio on-line, due hanno assunto il ruolo di standard principali: il protocollo SET (Secure Electronic Transaction) e le transazioni sicure SSL (Secure Sockets Layer).

Il più efficiente è senza dubbio il protocollo SET, sviluppato congiuntamente da Visa e Master Card con lo specifico obiettivo di garantire la riservatezza delle transazioni con carta di credito su Internet e basato su un algoritmo di cifratura RSA a 1024 bit [100]. Ma alla efficienza si affianca un certa complessità di implementazione, che ne ha limitato molto la diffusione. Infatti, per poter essere utilizzato, SET richiede il rilascio ad ogni utente di un certificato da parte di una banca. Questa operazione avviene mediante la consegna di un software plug-in strettamente personale, rilasciato (su floppy o CD ROM) in singola copia, in grado di aggiungere funzionalità di borsellino elettronico ai comuni browser della rete. Quando si effettua un pagamento il plug-in interagisce in tempo reale con il server del rivenditore che a sua volta contatta una Certification Authority, cioè una società abilitata a certificare che l'utente sia possessore di carta di credito (una delle più note è la VeriSign, http://www.verisign.com). In caso di conferma la richiesta di pagamento viene inoltrata alla banca, che provvederà a inviare la conferma definitiva dell'avvenuta transazione. Il meccanismo funziona anche nel senso inverso: SET garantisce, infatti, anche l'identità del rivenditore al cliente, che ha così la conferma che il suo acquisto sia effettivamente avvenuto.

L'architettura SET come detto, nonostante garantisca dei livelli di sicurezza molto elevati, non ha riscosso un grosso successo fra gli utenti e i rivenditori della rete. Come appare evidente anche dalla nostra breve descrizione, infatti, si tratta di un meccanismo piuttosto complicato, specie per l'obbligo da parte dell'utente finale di installare un software che va ritirato di persona presso un istituto bancario.

Il sistema attualmente più utilizzato per gli acquisti on-line è invece il dispositivo per effettuare transazioni HTTP sicure denominato Secure Socket Layer (SSL). Sviluppato originariamente presso i laboratori di ricerca della Netscape Communications, SSL è praticamente divenuto uno standard per le transazioni commerciali in rete ed è utilizzato anche per altri servizi che richiedono un elevato tasso di sicurezza, come l'home banking, i servizi per la compravendita on-line di titoli e azioni, o le reti Extranet.

Come detto, SSL è una sorta di estensione del protocollo HTTP che permette di scomporre i dati inviati durante una transazione in una serie di pacchetti cifrati con un sistema a doppia chiave RSA. I pacchetti viaggiano 'sciolti' per la rete per poi venire decifrati e ricomposti dal computer remoto, elaborati e infine rispediti di nuovo in forma di pacchetti cifrati. A questa base, che ovvia alla prima grande lacuna di sicurezza del Web (il fatto, cioè, che il protocollo HTTP fa circolare i dati in chiaro), SSL aggiunge un sistema di certificazione, anch'esso controllato da un servizio di Certification Authority capace di garantire all'utente l'identità del server remoto. Poiché SSL viene implementato in modo nativo da tutti i browser attualmente disponibili, la sua utilizzazione è per l'utente completamente trasparente. Quando ci si connette ad un server Web che utilizza SSL, il browser automaticamente imposta la comunicazione cifrata e avverte l'utente del fatto che ci si trova in una area 'protetta'. A questo punto tutti i dati che vanno dal client al server e viceversa saranno cifrati.

A tutti coloro che intendono approfondire la conoscenza del protocollo SSL consigliamo di visitare le pagine Web della Netscape dedicate ai problemi di sicurezza in rete http://www.netscape.com/security/index.html; da questo sito sarà possibile avviare una procedura che vaglia il potenziale grado di sicurezza del browser con cui stiamo effettuando la navigazione. Nel caso il servizio della Netscape riscontrasse l'utilizzo da parte del browser di una vecchia e quindi meno sicura versione di SSL - attualmente lo standard più aggiornato è SSL 3 - verranno forniti automaticamente tutti i suggerimenti necessari per effettuare l'aggiornamento.

Pretty Good Privacy

Pretty Good Privacy (PGP) è un programma, sviluppato da Paul Zimmermann [101] e gratuitamente distribuito in rete, con cui è possibile cifrare praticamente tutti i tipi di file informatici, anche se questi non fossero destinati ad essere inviati tramite una rete telematica. Tuttavia la sua area di applicazione più comune è la cifratura della posta elettronica, scopo per cui, del resto, PGP è nato ed è divenuto uno standard di fatto.

Come le altre tecnologie che abbiamo visto sopra, anche PGP ricorre a un algoritmo di cifratura 'a doppia chiave' (basato su coppie di numeri primi assai alti) per garantire un livello di sicurezza quasi assoluto. Non è questa la sede per una spiegazione tecnica sul funzionamento - piuttosto complesso - di questo algoritmo. All'utente finale basti sapere che una volta avviato, PGP è in grado di generare per noi due lunghe stringhe di caratteri: una è la nostra chiave personale; dovremo custodirla gelosamente, e non comunicarla a nessuno; l'altra è la nostra chiave pubblica, che dovremo distribuire a tutti i nostri potenziali corrispondenti. Chi volesse scriverci un messaggio 'sicuro', dopo averlo redatto in chiaro lo dovrebbe dare in pasto alla sua versione di PGP, assieme alla nostra chiave pubblica. PGP usa la chiave pubblica per crittografare il messaggio, ma attenzione: chiave pubblica e chiave privata sono legate in modo tale che un messaggio crittografato con una chiave pubblica può essere decifrato solo disponendo della corrispondente chiave privata! Ciò significa che lo stesso mittente non potrà più decifrare il messaggio che PGP ha codificato per lui. Potrà però spedircelo in tutta sicurezza: solo noi, che disponiamo della chiave privata, potremo leggerlo.

Il meccanismo può sembrare complicato (e lo è: in realtà di norma un messaggio viene crittografato due volte: con la chiave privata del mittente, il che ne assicura la provenienza, e con la chiave pubblica del destinatario, il che ne assicura la segretezza). E se la teoria non è semplice, fino a qualche tempo fa, anche la pratica, cioè l'utilizzo e la configurazione dei software deputati alla cifratura con l'algoritmo realizzato da Zimmerman, non era affatto intuitiva. In passato esisteva un solo software di criptatura, la versione DOS di Pretty Good Privacy, sulla quale si basavano una gran quantità di programmi per Windows che svolgevano la sola funzione di interfaccia facilitando così l'utilizzo del programma. Oggi la situazione è migliorata e l'uso di PGP è diventato assai più amichevole, grazie allo sviluppo di interfacce grafiche sofisticate che si integrano direttamente con i programmi di videoscrittura e i principali client mail. L'implementazione migliore di PGP è la versione 6.0 di PGP Personal Privacy, che può essere scaricata dal sito della Network Associates, (http://www.nai.com) insieme a un esauriente manuale in formato Acrobat Reader. Questo programma installa dei plug in capaci di aggiungere le funzionalità PGP ai principali programmi di posta (fra questi Eudora, Outlook, Outlook Express), fornendo così agli utenti di Internet uno strumento molto potente per tutelare la privacy della loro corrispondenza elettronica.

Posta elettronica: cifratura e firme digitali

Se PGP ha rappresentato a lungo, e rappresenta tuttora, il migliore sistema per cifrare la posta elettronica, bisogna dire che i più recenti client di posta forniscono degli strumenti di cifratura interni piuttosto efficienti e versatili. Grazie ad essi programmi come Outlook, Outlook Express e Netscape Messenger sono in grado sia di cifrare il contenuto dei messaggi sia di certificare la provenienza di un messaggio (confermando inequivocabilmente l'identità del mittente).

La possibilità di certificare l'identità del mittente attualmente viene utilizzata per evitare che il nome di un utente venga speso sulla rete a sua insaputa (è infatti estremamente semplice mandare una e-mail a nome di un'altra persona: basta impostare adeguatamente le preferenze del client di posta elettronica). Ma nel prossimo futuro essa potrà trovare applicazione sia nel contesto del commercio elettronico sia nei rapporti con la pubblica amministrazione [102]. Per quanto riguarda la cifratura essa può essere utile in tutte quelle occasioni in cui è necessario far viaggiare in rete informazioni riservate (a questo proposito ricordiamo che le e-mail viaggiano da un mail server all'altro in chiaro).

Lo standard su cui si basano gli strumenti crittografici interni dei software di posta elettronica si chiama S/MIME (Secure Multi-Purpose Internet Mail Extensions) [103]. Anch'esso adotta il più volte menzionato algoritmo di cifratura a doppia chiave RSA. Tuttavia, poiché i numeri primi generati sono limitati a cifre di 40 bit, il livello di sicurezza ottenibile non è elevatissimo.

La prima cosa da fare per utilizzare questi strumenti è ottenere da una Certification Authority un certificato (o 'ID digitale') che contiene, opportunamente codificate, le nostre chiavi pubblica e privata. Si tratta di una operazione che viene gestita direttamente dal programma. Una volta ottenuto il certificato, il software è in grado di utilizzarlo in modo automatico per firmare e cifrare le nostre e-mail e per gestire le mail cifrate o firmate dai nostri corrispondenti. Anche queste operazioni sono completamente trasparenti per l'utente, che dovrà limitarsi ad indicare se vuole firmare o cifrare un dato messaggio.

Nei prossimi paragrafi vedremo in dettaglio come configurare e utilizzare gli strumenti di cifratura interni dei tre client di posta più diffusi: Outlook Express 5, Outlook 2000, e Netscape Messenger 4.61.

Come ottenere un ID Digitale

Un certificato o ID digitale, come detto, contiene la coppia di chiavi (una pubblica e una privata) associate univocamente ad un dato utente. Tale ID viene generato da un servizio abilitato di certificazione (o Certification Authority, CA), il cui server si adatta automaticamente ai software che lo richiedono (infatti i client Microsoft e quelli Netscape impiegano dei formati leggermente diversi). La più nota CA è la già citata VeriSign (http://www.verisign.com) [104].

Per ottenere un ID occorre effettuare una procedura di registrazione che coinvolge sia il client di posta elettronica sia il browser Web. Poiché durante questa procedura si ha una forte interazione fra i due software, è necessario impostare opportunamente il browser predefinito del sistema: se si utilizza un programma e-mail Microsoft è necessario avere come browser predefinito Explorer; lo stesso vale per Netscape Messenger che va utilizzato necessariamente insieme a Netscape Communicator. Vediamo ora il dettaglio della procedura di registrazione con i tre client.

Con Outlook 2000, il più sofisticato client mail sviluppato dalla Microsoft, è necessario compiere i seguenti passi:

Selezionare dal menu 'Strumenti' la voce 'Opzioni';
Selezionare la linguetta della scheda 'Protezione';
Premere il pulsante 'Ottieni ID digitale' che avvierà Internet Explorer;
Dalla finestra di Explorer selezionare il server CA desiderato (ad esempio VeriSign);
Seguire le istruzioni nelle pagine Web inviate dal server (ci verrà chiesto di scrivere alcuni nostri dati personali come nome e cognome, la data di nascita, l'indirizzo e-mail, etc.);
Aspettare il messaggio di conferma del server CA con l'abilitazione del certificato;
Aprire il messaggio di conferma e seguire le istruzioni accluse (Verisign ad esempio invia una mail in formato HTML con un apposito bottone 'Installa' che porta a compimento in modo automatico l'installazione dell'ID).

Molto simili sono le operazioni da effettuare per ottenere un ID digitale mediante Outlook Express 5:

Selezionare dal menu 'Strumenti' la voce 'Account';
Selezionare la linguetta della scheda 'Posta elettronica';
Selezionare l'account per cui si vuole ottenere un ID;
Premere il pulsante 'Proprietà';
Selezionare la linguetta della scheda 'Protezione';
Permere il pulsante 'Ottieni ID digitale';
Da questo punto in poi le operazioni da compiere sono le medesime del caso precedente.

Se si utilizza Netscape Messenger 4.61, infine, i passi da seguire sono i seguenti:

Premere dalla finestra del browser Web di Netscape Communicator il pulsante con il lucchetto;
Sotto la voce 'Certificates' selezionare 'Yours' e poi 'Get a certificate';
Premere il pulsante 'Go';
Seguire le istruzioni del server CA sulla finestra di Netscape Communicator;
Accettare la generazione delle chiavi;
Attendere l'e-mail del server CA e seguire le istruzioni.

A questo punto i nostri programmi di posta sono abilitati a mandare messaggi cifrati e/o firmati.

Come firmare i messaggi e spedire o ricevere messaggi cifrati

Utilizzando le chiavi contenute negli ID digitali i programmi di posta elettronica sono in grado spedire e ricevere messaggi cifrati e firmati. Il seguente quadro sinottico mostra le varie operazioni che i software possono compiere e quali chiavi vengono utilizzate per ciascuna di esse:

Azione da compiere	Chiave usata	Di chi?
Spedire un messaggio firmato	Chiave privata	Di chi spedisce
Autenticare un messaggio firmato ricevuto	Chiave pubblica	Di chi spedisce
Spedire un messaggio criptato	Chiave pubblica	Del ricevente
Decifrare un messaggio criptato	Chiave privata	Del ricevente

Per spedire un messaggio firmato con Outlook 2000 è sufficiente premere il pulsante 'Opzioni' nella finestra del modulo di scrittura della posta, e aggiungere il segno di spunta alla casella 'Aggiungi la firma digitale al messaggio in uscita'. Con Outlook Express, invece, occorre selezionare dalla finestra per spedire l'e-mail il menu 'Strumenti' e poi la voce 'Firma digitale'. Chi utilizza Netscape Messenger 4.61, infine, sempre dal modulo di composizione dei messaggi, deve premere il pulsante con il lucchetto e aggiungere il segno di spunta a 'Firma digitale'.

La spedizione di un messaggio cifrato ad un dato utente richiede invece la conoscenza della sua chiave pubblica (come si evince dal quadro sinottico). A tale fine è necessario avere ricevuto in precedenza un messaggio del nostro corrispondente contenente la sua firma digitale e aver inserito il mittente nella rubrica del client mail. Per effettuare quest'ultima operazione - con tutti i programmi presi in considerazione in questa sede - è sufficiente fare un click con il tasto destro del mouse sul campo del mittente e selezionare l'opzione 'aggiungi alla rubrica'. Oltre ai normali dati personali, nella rubrica viene memorizzata anche la chiave pubblica del mittente.

A questo punto, per spedire un messaggio cifrato con Outlook 2000 basta selezionare il destinatario dalla rubrica, premere 'Opzioni' nella finestra di composizione e selezionare 'Crittografa contenuto e allegati del messaggio'. Con Outlook Express si preme 'Nuova mail', e in seguito dal menu 'Strumenti' la voce 'Cifratura'. Con Netscape dalla finestra 'Nuovo messaggio' occorre scegliere l'icona con il lucchetto e selezionare l'opzione per la cifratura. Simmetricamente, se desideriamo ricevere posta cifrata dovremo prima inviare ai nostri corrispondenti una e-mail con allegata la firma digitale (abbiamo appena visto come si fa).

La decifrazione delle e-mail criptate, infine, avviene automaticamente: l'utente non deve far altro che controllare - come fa abitualmente - la sua posta, anche se i messaggi decifrati saranno opportunamente segnalati mediante una piccola icona nell'elenco dei messaggi ricevuti.

Attenzione: ricordiamo che i messaggi cifrati viaggiano in maniera sicura dal mittente al destinatario, ma - a meno di non prendere precauzioni ulteriori o di non cancellarli appena scritti o letti - possono essere ritrovati in chiaro da chiunque abbia accesso al computer sul quale sono stati composti o ricevuti.

PICS e il controllo dei contenuti

Uno dei problemi relativi ad Internet che sembrano maggiormente appassionare la pubblicistica è il controllo dell'accesso ai siti Web in base al loro contenuto. La ragione per cui questo controllo viene da più parti evocato è il pericolo che soggetti a rischio (bambini o comunque minori) possano accedere a risorse 'informative' che potrebbero arrecare turbamento, come siti contenenti materiali pornografici o violenti. L'incidenza percentuale di questi materiali rispetto al totale delle risorse disponibili su Web è assai bassa. Tuttavia è innegabile che molti siti pornografici siano facilmente raggiungibili. Ma esigenze di controllo simili sono state espresse anche da zelanti manager che intendono limitare le occasioni di 'distrazione telematica' dei loro dipendenti.

La soluzione al problema proposta con maggiore frequenza è l'introduzione di sistemi di controllo di tipo legislativo sui contenuti della rete. Indipendentemente dalla posizione ideologica che si può assumere nei confronti della censura - che gli autori di questo manuale comunque non approvano - l'idea di un controllo autoritario sui contenuti della rete si scontra con la sua struttura tecnica, che permette di superare qualsiasi sistema di controllo o impedimento esterno. Ad esempio non è facile bloccare l'arrivo di informazioni da paesi che non applicano restrizioni legali, a meno di impedire del tutto l'accesso alla rete (come avviene di norma in paesi controllati da regimi autoritari).

Una soluzione alternativa alla censura delle fonti è l'uso di sistemi di filtri che agiscano sul lato client, impedendo l'accesso a determinati contenuti da parte di soggetti non autorizzati. Come è noto, nel mondo dell'informatica uno dei problemi più difficili da risolvere è l'interpretazione semantica dei contenuti da parte degli elaboratori [105]. Per ovviare ai limiti 'cognitivi' degli attuali computer, dunque, e implementare un sistema di valutazione del contenuto dei siti Web, l'unica strada percorribile è quella del vaglio dei materiali pubblicati da parte di operatori umani.

Su questo principio si basa la Platform for Internet Content Selection (PICS), sviluppata dal W3 Consortium, e rilasciata come recommendation alla fine del 1996. Sul sito del W3C, all'indirizzo http://www.w3.org/PICS/ sono disponibili le specifiche ufficiali e altre informazioni su questa tecnologia.

PICS è un sistema che permette di associare etichette valutative alle pagine Web [106]. Ogni etichetta, mediante una sintassi formalizzata, fornisce una valutazione (rating) del contenuto della pagina in base ad una determinata classificazione, ed è univocamente associata alla pagina per la quale è stata rilasciata [107]. Le etichette PICS possono essere usate da apposite applicazioni o direttamente dai browser per filtrare le informazioni in arrivo dalla rete. Tali applicazioni sono in grado di confrontare l'etichetta del documento in arrivo con un insieme di criteri di valutazione indicati dall'utente: se la valutazione indicata risponde ai criteri prescelti la ricezione della pagina viene autorizzata; in caso contrario l'accesso alla pagina viene impedito.

L'aspetto positivo di questa tecnologia è che non esiste una autorità centrale che censura o approva il contenuto di un sito su World Wide Web. Il sistema si basa interamente sull'autocontrollo e sulla responsabilizzazione dei gestori di siti, degli autori di pagine Web e degli utenti. Le etichette PICS, infatti, possono essere assegnate in due modi: con il self-rating chi pubblica un sito applica autonomamente i marcatori PICS; con il third-party rating, i marcatori vengono apposti da specifiche agenzie indipendenti abilitate a svolgere questa funzione (Rating Agency) su esplicita richiesta dei responsabili dei singoli siti. Un importante servizio di rating è quello del Recreational Software Advisory Council (RSAC). Si tratta di un osservatorio indipendente finanziato da un gruppo di aziende e organizzazioni, tra cui lo stesso W3C, la Microsoft, Disney, IBM, Compuserve e Dell. Per avere informazioni, o richiedere una valutazione, si può visitare il sito Web http://www.rsac.org. In Italia un servizio di analogo è fornita da IT-RA (http://www.csr.unibo.it/ra/).

I sistemi di valutazione adottati fanno capo essenzialmente a due scale convenzionali: RSACi e SafeSurf. La scala RSACi (Recreational Software Advisory Council internet) seleziona i siti secondo una serie di dettagliati parametri che suddividono i possibili contenuti scabrosi in quattro categorie: linguaggio, scene di nudo, sesso, violenza. La scala SafeSurf ha un sistema più complicato: un gruppo di esperti ha definito quali siano gli argomenti 'adatti' a varie fasce di età. Il parametro 'fascia di età' viene poi combinato con valutazioni contenutistiche sulle seguenti categorie di contenuti: irreligiosità; soggetti eterosessuali; soggetti omosessuali; nudità; violenza; sesso; intolleranze religiose, razziali, sessuali; apologia dell'uso delle droghe; soggetti vari per adulti; gioco d'azzardo [108].

Le etichette PICS, come detto, possono essere utilizzate sia da appositi software che si interpongono tra il client Web e il pacchetto di accesso alla rete, sia direttamente dai browser. Tanto Internet Explorer quanto Netscape hanno la capacità di riconoscere i marcatori PICS e, a seconda delle impostazioni dell'utente, controllare l'accesso ai siti durante la navigazione.

L'amministrazione delle restrizioni di accesso con il browser Microsoft si effettua mediante la scheda 'Contenuto' nella finestra di configurazione delle 'Opzioni Internet'. Il pulsante 'Attiva' mette in funzione il sistema di controllo; il pulsante 'Impostazioni' invece ne consente la configurazione. Sia l'attivazione sia l'impostazione delle restrizioni sono protette da una password. Quando la restrizione è attiva il browser impedisce l'accesso a ogni pagina priva di etichette PICS. Le pagine etichettate vengono invece confrontate con il sistema di classificazione del servizio RSAC.

Per abilitare il controllo delle etichette PICS con Netscape suggeriamo di connettersi al sito http://www.netscape.com/communicator/netwatch e seguire le istruzioni fornite dalle pagine Web.

Note

[100] RSA, dal nome degli sviluppatori Rivest-Shamir-Adleman, è un algoritmo crittografico e di autenticazione specifico per la rete sviluppato a partire dal 1977. RSA è un sistema di cifratura a doppia chiave basato su calcoli eseguiti usando come base dei prodotti di numeri primi (un numero primo può essere diviso solo per sé stesso e per il numero uno). Impiegando numeri primi estremamente lunghi (con molte cifre) la scomposizione risulta estremamente difficile. Più sono lunghi i numeri primi generati e più è alto il livello si sicurezza. Nel caso del SET viene utilizzato un RSA a 1024 bit in grado di garantire un ottimo livello di sicurezza. Per ulteriori approfondimenti rimandiamo al sito http://www.rsa.com.

[101] E, come abbiamo visto, fonte per lo stesso Zimmermann di una lunga vicenda giudiziaria, per via della incriminazione affibbiatagli dal governo federale degli Stati Uniti.

[102] Ricordiamo a tale proposito che l'Italia ha recentemente elaborato una legislazione sulla firma digitale che è tra le più avanzate del mondo e che permette di attribuire valore legale ai documenti digitali.

[103] In alternativa alcuni software utilizzano PGP/MIME.

[104] Verisign mette a disposizione un ID di prova, gratuito per 60 giorni. Scaduti i giorni di prova il costo annuo di un ID con Verisign è di 14 dollari.

[105] Per la verità alcuni studi, che non hanno comunque prodotto standard validi, sono stati fatti basandosi sul riconoscimento delle immagini (tecnologia attualmente in continuo sviluppo): sono stati implementati software che, in base a studi statistici sui materiali pubblicati su pagine Web con contenuti pornografici, inibiscono la visualizzazione di immagini con determinati pattern di colori e forme. Altri esperimenti sono stati fatti in alcuni ambienti chat. La tecnica era quella di inibire automaticamente la pubblicazione di parole poste all'indice, arrivando a paradossi come quello di vietare conversazioni che utilizzano parole come "seno" che potrebbero, per esempio, essere intese nell'accezione scientifico/matematica (seno e coseno)!

[106] Normalmente le etichette PICS sono inserite all'interno di un file HTML. Tuttavia è possibile anche usare un servizio di etichettatura (label bureau) dinamico, che invia etichette su richiesta. Questo facilita la gestione del sistema di classificazione e aumenta le garanzie rispetto a possibili manomissioni delle etichette - rese comunque difficili dalla presenza di firme digitali cifrate. L'idea che sta alla base di questa proposta è simile a quella del famoso 'V-chip', introdotto negli Stati Uniti per controllare l'accesso dei bambini alla televisione. Ogni emissione televisiva trasporta anche delle informazioni sulla natura del contenuto trasmesso. Il V-chip, opportunamente programmato, può bloccare la ricezione di determinate categorie di programmi, impedendone la visione. Si è tuttavia rilevato che con tutta probabilità saranno i figli ad insegnare ai genitori come programmare il V-chip!

[107] Questo significa che ogni minima variazione della pagina invalida l'etichetta.

[108] Queste poche note descrittive ci permettono di percepire anche i limiti della tecnologia PICS. È facile intuire le difficoltà determinate dall'immensa mole di pagine Web da vagliare, la difficoltà di offrire criteri univoci di valutazione, gli ostacoli informatici per bloccare effettivamente la fruizione dei contenuti considerati inadatti per motivazioni morali o di copyright. Ma soprattutto occorre considerare che sia la legislazione relativa ai diritti d'autore, sia soprattutto le posizioni morali ed etiche rispetto alcuni argomenti, possono variare da paese a paese, da comunità a comunità, e persino da soggetto a soggetto.