ROTFL! :-D
La mia non voleva essere una "lezioncina": hai introdotto un concetto di cyber security in risposta a @miriamgreco@mastodon.uno e ho voluto estenderne il contesto perché limitarsi a dire che tutto tanto rimane insicuro è il primo passo per smettere di investire in sicurezza.
Di nuovo, quello che dici è vero¹, ma è molto parziale.
Non puoi ridurre la sicurezza informatica ad un valore scalare che si colloca fra insicuro (0) e sicuro (1).
Dipende da cosa vuoi proteggere (gli asset), dai perché (gli impatti che vuoi limitare), dalle minacce che ti circondano e dalle vulnerabilità cui sei sottoposto.
Vero, #Meltdown e #Spectre non sono mitigabili. Ma puoi controllare chi accede alla macchina.
Vero, i #WebBrowser sono estremamente ostili agli utenti, eseguono automaticamente codice personalizzato sotto il controllo di terze parti, ma puoi educare gli utenti a minimizzare i rischi in vari modi (plug-in, VPN, Tor etc...) o fornire loro macchine dedicate alla navigazione in rete etc...
Non è vero che non puoi far nulla.
E non è vero che ti basta una analisi delle minacce per decidere cosa fare.
E non è vero che ti basta una analisi delle vulnerabilità.
È vero che rimane sempre un rischio residuo. È vero che nessun sistema è sicuro contro qualsiasi avversario. ²
Tuttavia si può minimizzare (NON azzerare) tutta una serie di rischi.
E per farlo bisogna sapere che è effettivamente possibile e come.
Ed un modo per ridurre tutta una serie di vulnerabilità è evitare i sistemi centralizzati e quelli non ispezionabili (ovvero proprietari).
Questo non rimuove tutti i rischi, ma ne riduce moltissimi. E costa relativamente poco.
Ad esempio, #Matrix (sebbene ancora imperfetto) è molto migliore di #Signal, #Telegram e #WhatsApp perché open source, decentralizzato ed end-to-end encrypted by default (per quanto riguarda i dati.. i metadati sono un'altra storia).
Dire "eh ma tanto ti devi fidare dell'amministratore" significa fare una affermazione corretta ma tanto parziale da risultare irrilevante: è vero, ma la federazione ti permette di avere più account, ti permette di scegliere di chi fidarti e di rimuovere tale fiducia rapidamente (per non parlare del fatto che l'amministratore non può comunque conoscere il contenuto dei tuoi messaggi).
Insomma, essere fatalisti è irrazionale.
E non aiuta a migliorare le cose.
Perché se ci troviamo nel mondo cibernetico attuale è proprio a causa della profonda ignoranza delle persone su questi temi che, in quanto ignoranti, non possono esercitare una scelta consapevole come consumatori, acquirenti e utenti.
¹ per intenderci, sono talmente d'accordo da averne scritto profusamente in passato, attirandomi ban da diverse comunità amministrate da dipendenti di Google, vedi ad esempio http://www.tesio.it/2018/07/31/the-web-is-still-a-darpa-weapon.html http://www.tesio.it/2018/07/31/the-web-is-still-a-darpa-weapon.html https://dev.to/shamar/i-have-been-banned-from-lobsters-ask-me-anything-5041 etc...
² neanche un computer spento e disconnesso è sicuro contro chi vi ha accesso fisico
