security, Web 2.0

Luttazzi, la mala fede, e la ragione

[Sorry, this post is in Italian]

AGGIORNAMENTO 2 (14/6/2010):

Una pagina chiamata “Caccia al tesoro” compare su web archive gia’ a gennaio 2006: http://web.archive.org/web/20060112195056/http://www.danieleluttazzi.it/?q=node/144. Quindi, esisteva a gennaio 2006. Indicizzata circa 2 mesi dopo la sua creazione.

Si noti un dettaglio: node=144 invece di node=285. Con un formato di URL fondamentalmente diverso. Ovvero, c’e’ stato un cambio di CMS.

Questo chiaramente non toglie nessuno dei discorsi sul plagio, la copia, eccetera, ma quanto meno svuota l’accusa di cospirazione, che per quanto mi riguarda era fastidiosa (e non utile ai fini “morali” della discussione, che e’ quella di stabilire se e quanto sia lecito “copiare”/”citare”, con o senza riferimento). Non c’e’ stata, almeno per questo post, alcuna retrodatazione: esisteva gia’ nel 2005.

AGGIORNAMENTO (14/6/2010):

– Per correttezza, il gestore del blog ntvox, quello che per primo ha parlato di questa vicenda, mi ha chiesto di precisare che la questione di web.archive.org non e’ l’argomento chiave del suo blog, che invece e’ piu’ interessato alla discussione generale della liceita’ del copiare battute, e alla mole di battute apparentemente copiate da Luttazzi. Sebbene l’argomento venga citato nel blog, e’ vero che non ne e’ la questione fondamentale.

– Giusto per ripetere fino alla noia: mi sto formando una posizione sull’intera questione, e tale posizione ovviamente e’ personale. Questo blog e’ pero’ un blog tecnico, e questo post si riferisce solo agli aspetti tecnici di una prova usata in modo, a mio parere, tecnicamente errato. Non vuole essere un richiamo ad altre prove, o presunte tali. Ci sarebbe da discutere su cosa costituisca indizio e cosa prova inconfutabile; cosi’ come su quali siano i requisiti tecnici di quella che puo’ essere ammessa come “prova”. In questo post mi concentro sul perche’ questa specifica questione non possa essere ammessa come prova, per mancanza di requisiti tecnici. Full stop.

(fine)

Non lo nascondero’, fino a ieri mattina “ero” un fan di Daniele Luttazzi.
Dopo aver letto le notizie sull’eventuale “plagio” sono diventato un ex fan deluso.

Eppure qualcosa mi ha spinto a verificare le informazioni riportate, in particolare riguardo quella che viene ritenuta la prova “schiacciante” della mala fede del comico romagnolo.
Credo che ci siano delle ragioni prettamente tecniche che, invece, difendono tale buona fede o quanto meno dimostrano che le prove portate a suo carico sono, nel migliore dei casi, inconclusive.

Premetto: di professione faccio l’informatico, mi occupo di internet e networking, ho una certa esperienza personale di gestione di siti internet.

L’accusa: Luttazzi avrebbe copiato delle battute da famosi autori satirici e, onde evitare di essere smascherato quale plagiatore, avrebbe scritto sul suo blog due post in cui invitava a una “caccia al tesoro di citazioni”, retrodatando questi due post in modo tale da non destare “sospetti”.

Reperti dell’accusa: i due post in questione sono recuperabili dal blog di Luttazzi e sono:
http://www.danieleluttazzi.it/node/285 datato 9  giugno 2005
http://www.danieleluttazzi.it/node/324 datato 10 gennaio 2006

Prove dell’accusa: il sito internet http://web.archive.com. Tale sito permette di recuperare tutte le versioni precedenti di una pagina internet. Cercando su web.archive.com le due pagine in questione, vengono riportate le presunte “data di creazione”:
– per il post 285, tale data sarebbe il 9 ottobre 2007 (oltre 2 anni dopo la data riportata da Luttazzi)
– per il post 324, tale data sarebbe il 13 dicembre 2007 (poco meno di 2 anni dopo la data riportata da luttazzi)

Da un punto di vista tecnico-informatico, in realta’, quelle due date sono fuorvianti.
Quello che sfugge all’accusa e’ un piccolo dettaglio tecnico: la data che web.archive.org riporta NON e’ la data di creazione della pagina. Si tratta invece della data in cui tale pagina e’ stata raggiunta per la prima volta dai “robot” di web.archive.org. Se oggi viene creata una pagina internet, questa pagina ci mettera’ un certo tempo, piu’ o meno lungo, ad essere “trovata” da web.archive.org. Questo tempo puo’ richiedere, effettivamente, anni.

Ci si potrebbe chiedere, dunque, se due anni siano un tempo ragionevole per l’indicizzazione di un sito popolare come quello di Luttazzi. Chiaramente non e’ possibile, a rigor di logica, avere una risposta certa. Statisticamente parlando, pero’, abbiamo degli indizi piuttosto seri che i post non siano stati retrodatati da Luttazzi. Basta prendere alcune pagine a caso dal blog, e verificarne data riportata e data su web archive:

http://www.danieleluttazzi.it/node/277, data blog: 3 aprile 2007, MAI archiviata su web archive (forse questo dimostrerebbe che la pagina non esiste affatto?)
http://www.danieleluttazzi.it/node/286, data blog: 10 gennaio 2006, prima data web archive: 9 ottobre 2007
http://www.danieleluttazzi.it/node/289, data blog: 1 novembre 2006, prima data web archive: 9 ottobre 2007
http://www.danieleluttazzi.it/node/291, data blog: 14 marzo 2007, prima data web archive: 9 ottobre 2007 (per questa pagina viene riportata anche una modifica risalente al 2 agosto 2008, prova che dal 2007 in poi il sito di Luttazzi e’ stato costantemente seguito da web archive)

Si noti che molte di queste date risalgono a ottobre 2007. Anzi, allo stessa data di ottobre: il 9. La stessa data del presunto post incriminato. Motivo? L’intero sito e’ stato indicizzato a partire da ottobre 2007. Prima non era presente su web.archive.org.
A maggior riprova di questo, basti guardare http://web.archive.org/web/*/danieleluttazzi.it/* Questa pagina contiene l’elenco di TUTTE le pagine del sito danieleluttazzi.it presenti su web.archive.org. E’ facile verificare come fino al 9 ottobre 2007 il sito NON fosse indicizzato. Tant’e’ che in quella data sono state aggiunge letteralmente centinaia di pagine a web.archive.org

Lo stesso vale per altri blog.

Prendete, ad esempio, un altro comico molto, Beppe Grillo:
http://www.beppegrillo.it/2005/01/il_papa_e_infal.html data blog: 31 gennaio 2005, prima data web archive:
7 febbraio 2006 (oltre un anno dopo)

o quello del “cacciatore di bufale” Paolo Attivissimo:
http://attivissimo.blogspot.com/2005/12/come-sta-valentin-bene-grazie-e-ha.html data blog: 31 dicembre 2005, prima data web archive: 16 gennaio 2006

Succede anche al noto quotidiano online repubblica.it, seppur con meno attesa:
http://www.repubblica.it/ambiente/2010/04/27/news/marea-_nera-3646349/index.html?ref=search pubblicato il 27 aprile 2010 e non ancora su web archive; la pagina, tra l’altro, riporta un attesa di circa 6 mesi per entrare negli archivi (nel 2010, potrebbe essere stata piu’ alta nel 2007).

Se questo non prova che i due post in questione siano stati scritti davvero nel 2005 e nel 2006, diciamo che quanto meno e’ un indizio piuttosto forte che le date non siano state modificate manualmente. E comunque dimostra chiaramente che web.archive.org non puo’ essere usato, come e’ stato fatto, come prova per accusare Luttazzi di essersi difeso in mala fede, in quanto l’indicizzazione comincia troppo tardi.

Le valutazioni sul fatto se sia o meno lecito usare battute di altri non spettano a me da un punto di vista tecnico, ma al pubblico di Daniele. Di cui, ammirando prima di tutto lo stile di performance, torno a essere “fan”, dato che questo piccolo giro tecnico di verifica ha ristabilito la mia fiducia nella buona fede della sua difesa.

Mi piacerebbe che blogger, giornalisti, e altri accusatori verificassero il funzionamento di uno strumento tecnico di cui, evidentemente, hanno capito poco, prima di sbandierarlo come prova di mala fede.

Standard
security

Is socializing a security threat?

I’ve just come back home from a day at Infosec’09. What emerged from my visit at the exhibition held at Earl’s Court, London, is that security people are heading towards two goals:
– implementing security solutions using the Cloud Computing paradigm
– limiting internal risks by cutting employees’ access to personal e-mail or social networking websites.

I don’t know if you share this view, but I believe the two goals rely on two philosophies that are too far away from each other to co-exist. Namely, Cloud Computing brings globalization to the world of utility computing. Company are allowed to run their applications on servers that are, ultimately, shared with other companies. The basis for cloud computing is, I think, the trust in your provider and in the Internet itself. Every contract (or, simply, contact) of externalization relies on a web of trust.

I believe cloud computing to be the technical counter-part of Web 2.0, a mash-up of some extent, this time on a lower level of the TCP/IP stack (where Web 2.0 is at application/presentation level). Cloud computing is a really good thing because it allows companies of every size to personalize their technical solutions. The allocation of server resources can be effectively tuned according to the company needs and possibility of expense.

Social networking is actually based on the same philosophy, the globalization of user contacts and information. Surely this poses threats to privacy, but I’m not sure that these are to be tackled using a cut-every-service approach. Let’s be honest: companies want their employees to work and be productive. They see the time spent on social networking websites as time lost to productivity goals. But are things really this way?

My feeling about social networking is that the information sharing is actually able to improve performances. Let’s face reality: an unproductive employee will be unproductive no matter the possibility to connect to Facebook or Twitter. On the other hand, productive employees can effectively exploit social networks as a work tool. Which means you can use web 2.0 to learn to do task in a different way, or simply to explore what competitors are making.

Let’s take Twitter as an example: many companies are using it as a tool for corporate communication. Are we sure that preventing an employee from reading what his or her peers of a direct competitor are doing is a loss in performance?

Summarizing, I can’t see how social networking can be a security threat more than allowing employees to keep printed newspapers on their desks. Good employees will read the news and will make good use – for the company – of what they read; bad employees will keep on reading instead of working. Once again, it’s not IT security that can solve human-related problems. When companies will understand this, we will be finally able to move the debate on what can be best practice rules for exploiting web 2.0 in a corporate environment.

Standard