lunedì 13 luglio 2015

Hacking Team a nudo: cosa faceva, come intercettava e cosa succederà adesso

Corriere della sera
di Roberto Pezzali - 12/07/2015 18:36

La scorsa settimana i server della più famosa società italiana di sorveglianza sono stati bucati: mail, software, codice sorgente e documenti riservati sono pubblici. Ecco cosa è successo e cosa può succedere ancora.



Nessuno è al sicuro, neppure le società che hanno costruito sulla sicurezza la loro immagine. Il caso di Hacking Team è probabilmente noto già a molti: la società italiana specializzata in software di spionaggio per usi governativi (e non solo) è stata a sua volta “hackerata” e 400 GB di materiale scottante sono finiti in rete. Scottante probabilmente non rende bene l’idea di quello che è successo, e anche noi abbiamo voluto attendere un po’ di tempo per ricostruire qualche pezzo di una matassa che inizia ad avere qualche filo libero ma che richiederà mesi per essere sbrogliata. Poco importa sapere chi è stato, quello che invece dev’essere ben chiaro è che quanto successo non solo è gravissimo, ma

potrebbe avere presto conseguenze abbastanza devastanti se non si corre ai ripari, conseguenze che dureranno anche diversi mesi. Hacking Team ha fatto sapere tramite il suo portavoce Eric Rabe di essere al lavoro per rimettere in sicurezza la sua rete che è stata prontamente disattivata dopo l’attacco, ma anche se Galileo tornasse ad essere operativo difficilmente Hacking Team riuscirà a rimettersi in piedi dopo questo colpo alla reputazione. Per fortuna, potrebbe aggiungere qualcuno dopo aver letto i dispacci e le email che Wikileaks ha pubblicato questa mattina e alcuni dei documenti recuperare nei giorni scorsi: Hacking Team non stava solo dalla parte dei buoni, stava dalla parte di chi li pagava e anche bene.


Tra i clienti, oltre a servizi segreti, forze dell’ordine e paesi di tutto il mondo anche Stati ai quali un software simile non poteva essere venduto, regimi dittatoriali o zone di conflitto. Non vogliamo tuttavia entrare nel merito politico della cosa: esistono dossier e enti che da anni denunciano il comportamento poco etico di aziende come Hacking Team, e ora che i documenti e le mail sono pubbliche le indagini faranno il loro corso. Procediamo quindi con ordine, perché i tasselli che compongono questo puzzle sono davvero tanti: chi può essere stato, come funzionava la sorveglianza e soprattutto cosa succederà adesso sono tre dei punti che andremo ad approfondire.

Chi ha bucato Hacking Team?
Bucare il sistema di una società che si occupa di sicurezza non dev’essere stato affatto semplice, e non a caso, come già successo con Sony Pictures, siamo propensi a credere che non sia stato solo attacco informatico, seppur complesso. Sottrarre, anche un poco per volta, 400 GB di dati frammentati che vanno dai codici sorgenti ai documenti per arrivare alle mail richiede troppo lavoro e troppi “livelli” da penetrare senza far suonare un campanello di allarme. Diverse fonti parlano di un probabile aiuto dall’interno, qualcuno che aveva le chiavi per accedere ai dati e piano piano ha iniziato ad accumulare il materiale per la diffusione. Una rivendicazione in realtà c’è stata: PhineasFisher, lo stesso nome che lo scorso anno annunciò, tramite l’account Twitter @GammaGroupPR, di aver bucato i server di un’altra società europea di spionaggio, la inglese Gamma Group, conosciuta come FinFisher.

L’account twitter, dormiente per quasi un anno, si è risvegliato in settimana per annunciare il secondo “colpo”, un colpo quasi mortale ai danni di Hacking Team. GammaGroup, alla quale erano stati sottratti “solo” 40 GB dai dati, era stata toccata infatti solo marginalmente: gli hacker non riuscirono infatti ad ottenere l’accesso a FinSpy, il software di controllo che l’azienda aveva sviluppato e che secondo gli attivisti era stato utilizzato in molti Paesi per scopi poco etici. Un post pubblicato su Reddit, datato agosto 2014, denunciava infatti l’uso di FinSpy in Bahrein per spiare giornalisti e dissidenti.

Sono in corso svariate indagini per capire come sia potuta accadere una cosa simile e nessuna ipotesi va esclusa, neppure eventuali dissidi interni al team stesso oppure guerra tra società concorrenti per una partita, quella delle intercettazioni, che vale milioni di dollari. David Vincenzetti, fondatore dell’azienda, ha deciso di parlare ieri dopo una settimana di silenzio: lui è convinto che la sua azienda si rimetterà in piedi, ma è pure convinto che quanto successo sia da attribuire ad un attacco da parte di una organizzazione che disponeva di fondi ingenti oppure da parte di uno Stato “amico” che voleva interrompere i rapporti tra Hacking Team e qualche Paese canaglia.

Cosa faceva esattamente Hacking Team
Hacking Team è una società di software: nel corso degli anni ha realizzato non solo un sistema di sorveglianza remota ma anche una serie di strumenti, i cosiddetti “trojan”, che permettono di controllare a distanza ogni dispositivo. Sul funzionamento di alcuni di questi scenderemo nel dettaglio più avanti, anche perché abbiamo curiosato nel codice sorgente di RCS, ovvero Remote Control System, una componente della suite Galileo usata per la sorveglianza e fiore all’occhiello dei prodotti venduti da Hacking Team. Remote Control System permette la sorveglianza di dispositivi di ogni tipo, da computer a smartphone, e consente a chi la utilizza di gestire i dati che arrivano dai diversi dispositivi controllati. L’azienda ovviamente non gestiva direttamente i dati raccolti, perché Hacking Team non voleva avere nulla a che fare con le intercettazioni e le “prove” che i suoi clienti raccoglievano: Hacking Team vendeva la piattaforma, rilasciava aggiornamenti periodici (soprattutto al database degli exploit) e insegnata ad utilizzarla con casi pratici, ma non era al corrente di quello che ci facevano poi i clienti con il loro software.


La console di una delle vecchie versioni di RCS

 Vincenzetti lo afferma anche nel corso di una intervista con il quotidiano La Stampa: “Noi siamo i buoni, e quando abbiamo saputo che Galileo era stato utilizzato per spiare un giornalista oppositore del governo, abbiamo chiesto spiegazioni, e alla fine nel 2014 abbiamo deciso di chiudere la fornitura”. Tante cose sono state dette in questi giorni, ma l’analisi dei programmi sembrano smentire alcune notizie che era uscite in maniera un po’ affrettata: Galileo, e quindi RCS, non hanno affatto una backdoor che permette a Hacking Team di controllare in remoto quello che fanno i clienti spegnendo anche il sistema in caso di emergenza.

 Non avrebbe avuto senso, sotto questo punto di vista, la comunicazione inviata ai clienti, confermata da più parti, di interrompere subito ogni attività perché c’era stata l’intrusione. L’altra notizia, infondata, è la possibilità di utilizzare Galileo in modo “attivo”, ovvero depositando prove all’interno dei computer per condannare eventuali innocenti. Le righe della libreria di Remote Control System, che fanno riferimento a file di nome “pedoporno.mpg”, “childporn.avi” e “bomb_blueprints.pdf”, sono in realtà dei riferimenti messi dai programmatori per ricordare che quella è la parte di codice che deve caricare l’elenco dei file da controllare.

 Non conosciamo i dettagli di funzionamento di RCS, ma crediamo che il software andasse a cercare elementi specifici che venivano definiti prima, senza scaricare tutti i dati: se la persona “spiata” apriva uno dei file specificati, il sorvegliante veniva avvisato all’istante. Una serie di campanelli d’allarme, anche perché più elementi si catturano maggiore è il rischio di essere scoperti, quindi si agiva su poche “prove” ben precise e circostanziate.

Nel reparto “evidence” di RCS c’è di tutto: la sorveglianza poteva davvero aver accesso a moltissimi elementi, dalle chat alle foto passando per numeri di telefono e SMS. Ecco l’elenco dei dati che RCS può raccogliere tramite gli agenti.






Come si infetta (e si spia) un computer 
La tecnica del Trojan Horse è probabilmente una delle più antiche, ed è proprio tramite un trojan che Hacking Team permette ai suoi clienti di intercettare ogni cosa, anche dati che teoricamente dovrebbero essere criptati. Se il sistema di controllo è solo uno, esistono invece numerose versioni di questi “trojan” da adattare ad ogni situazione e ad ogni dispositivo. La ricetta del perfetto spione comprende tre elementi di base: RCS, la console di controllo e monitoraggio, un “agente”, ovvero l’elemento da installare all’interno degli smartphone o dei computer e il “vettore”, ovvero il metodo o il trucco da usare per installare l’agente senza che lo spiato se ne accorga.
Per questi ultimi due elementi la società italiana aveva messo in piedi un servizio facile e immediato: HackingTeam Exploit Portal è un database completo online di exploit e di metodi da sfruttare per iniettare gli agenti. Come si può vedere da questo “manuale di training”, Hacking Team spiega ai suoi clienti che ogni software ha delle falle, alcune delle quali ancora non sono state scoperte. Grazie ad Exploit Portal è possibile installare l’agente all’interno di “file comuni come Adobe PDF, Microsoft PowerPoint e documenti di Word”.
 
Il database contiene un numero imprecisato di falle, alcune più semplici e altre più affidabili: sta ovviamente al cliente scegliere qual è il metodo migliore per intercettare una persona, se inviando un SMS oppure spedendo un documento per posta elettronica. Tramite HackingTeam Exploit Portal è possibile ricercare per piattaforma, per tipologia di exploit e per livello di exploit, anche se HackingTeam assicurava ai suoi clienti la presenza di almeno 3 vulnerabilità Zero-day, le più pericolose perché mai scoperte da nessuno e presenti quindi anche nelle ultime versioni aggiornate di software. Una di queste probabilmente apparteneva al “maledetto” Adobe Flash: Adobe l’altro giorno si è affrettata a chiudere una falla di Flash che in questi anni è stata usata per intercettare persone di mezzo mondo, e ieri ne ha trovate altre due: Flash Player, quando si tratta di bucare un computer, resta sempre il bersaglio prediletto. L’analisi dei codici del portale permetterà di risalire anche ad altre vulnerabilità in molti software noti, ma senza aggiornamenti molti computer resteranno comunque vulnerabili.
I trojan non vengono rilevati dagli antivirus
 
Infettare un computer o uno smartphone per controllarlo in remoto in ogni caso non è affatto semplice: su iOS, ad esempio, è possibile iniettare l’agente solo se si è effettuato il jailbreak mentre Android è decisamente più vulnerabile.
Anche qui però esistono delle eccezioni: sembra infatti che ad Apple siano sfuggiti dei malware mascherati da app regolarmente pubblicati sullo “store”: dalla mail qui sotto si apprende che Hacking Team stesse analizzando il lavoro fatto da un’altra azienda che, per bypassare il problema del jailbreak, aveva realizzato e caricato su AppStore una applicazione in grado di registrare screenshot e audio su iOS 7.
Spesso i clienti dovevano chiedere aiuto ad Hacking Team per gestire dei casi particolari: questa mail inviata dai Carabinieri fa infatti riferimento anche alla collaborazione di un ISP come Fastweb per penetrare nella rete di un sorvegliato, con la consapevolezza che la cosa avrebbe funzionato solo nel caso di connessione wireless.
La maggior parte degli exploit richiedevano infatti una minuziosa e dettagliata preparazione, perché avvenivano con la tecnica denominata Injection Proxy Appliance, o IPA.
Come evidenziato nel dettaglio di documento che mostriamo qui sotto la tecnica IPA prevede l’inserimento sulla stessa rete locale di chi dev’essere sorvegliato e l’alterazione dei pacchetti di rete, che vengono sostituititi con pacchetti simili ma infatti. Una persona entra in un bar, si collega al wi-fi pubblico, apre il browser e guarda un video su DailyMotion: il giorno successivo, una volta approntato l’agente, se rifarà la stessa cosa al posto del classico DailyMotion gli verrà servita una versione modificata contenente l’agente, con un “popup” di conferma per la visione. Identica alla versione originale, e senza visibili alterazioni della pagina web, la nuova versione inganna l’utente che dando l’ok installa l’agente a sua insaputa.
Fatta eccezione per un paio di vulnerabilità, nella maggior parte dei casi sempre l’utente a “installare” l’agente dando l’ok ad un popup oppure aprendo un documento.La connessione tra gli agenti installati e RCS passava tramite una serie di anonymizer, per schermare dall’esterno la rete di sorveglianza. Chi vuole perdere un po' di tempo ed è curioso di capire come funzionavano davvero le cose può leggere l'intero manuale in italiano della suite RCS disponibile ora a questo link: ci sono le istruzioni per gli installatori, i tecnici e gli analisti. 

I rischi per i clienti: indagini all’aria e contromosse dei sorvegliati
Secondo le prime indagini sono almeno cinquanta le inchieste avviate nelle Procure italiane che potrebbero essere andate in fumo con i sorvegliati che si sono resi conto di essere sotto controllo. Il vero problema della questione è essenzialmente questo: se diamo fiducia a quello che dice Vincenzetti e Hacking Team era davvero dalla parte dei buoni, la compromissione dei loro sistemi in pratica ha tolto il guinzaglio elettronico a moltissimi sorvegliati che ora potranno adeguarsi di conseguenza.
I "target" di RCS. Ls schermata appartiene sempre ad una versione vecchia di RCS

Anche perché, grazie alla firma degli agenti, è possibile sapere chi stava intercettando e cosa: rivolgendosi alle persone giuste un intercettato potrebbe scoprire l’ente che lo stava controllando. Abbiamo usato il condizionale per un semplice motivo: come nel migliore dei film di James Bond gli agenti “infettanti” potevano anche essere distrutti e rimossi senza lasciare traccia. Sicuramente Hacking Team aveva dato ai suoi clienti un bottone rosso da premere in caso di emergenza (come questo).

Non ci sono invece rischi di dati trafugati: il software come abbiamo già scritto non aveva backdoor, anche perché i Governi che lo acquistavano avevano la facoltà di controllare il codice sorgente: se qualcuno avesse trovato una via d’accesso la reputazione dell’azienda milanese sarebbe crollata. Vanno quindi escluse infiltrazioni nei database dei servizi segreti, della Polizia o altro ancora, almeno tramite Galileo o RCS. In ogni caso, analizzando il codice, qualche malintenzionato potrebbe aver trovato falle proprio in RCS sfruttandole per accedere al suo database: i 400 GB di dati sono stati diffusi la settimana scorsa, ma prima di diffonderli qualcuno potrebbe avere avuto il tempo di bucare il sistema RCS di qualche cliente scaricando l’intero database di soggetti sorvegliati e prove.

Siamo davvero tutti in pericolo?
C’è chi parla di blocco di settori strategici del paese, possibili infiltrazioni terroristiche nei database governativi e altro ancora, ma alla fine Galileo ed RCS non erano tool di hacking, erano solo programmi spia che raccoglievano dati. Utilizzando Galileo è teoricamente possibile spiare qualcuno che possiede a sua volta le chiavi di accesso a servizi più complessi, ma come abbiamo spiegato spiare una persona non è facile come bere un bicchier d’acqua: installare un agente sullo smartphone o sul computer di una persona attenta a non dare l’assenso a popup, a non aprire documenti sconosciuti e restia a navigare da hotspot pubblici non è semplice e serve la complicità di un provider. Tutte cose, queste, che sono facili per le Forze dell’Ordine o i Servizi Segreti ma non certo per i cattivi. Galileo inoltre è compromesso: parte della sua fortuna era composta da database di vettori e di exploit che ora sono pubblici, e nel giro di qualche settimana parte delle falle usate per iniettarli sarà stata chiusa e soprattutto antivirus e security suite saranno in grado di riconoscerli all’istante.
 Come funziona una intera suite di intercettazione

Installare poi RCS, anche avendo a disposizione il software che ora è sulla rete, non è affatto semplice anche se possibile: si può studiarlo, si può modificare e copiare, ma è impensabile mettere in piedi un piccolo studio di sorveglianza personale senza avere le competenze necessarie e senza le necessarie modifiche al codice. In ogni caso i curiosi possono dare un occhio al pacchetto di installazione destinato alla Turchia: ci sono dentro il software e tutti i manuali, sia quelli di amministrazione sia quelli di utilizzo.

Oltre 200 pagine da leggere per capire come funziona il software di sorveglianza. Hacking Team ha rilasciato nei giorni scorsi una dichiarazione un po’ allarmistica “Abbiamo perso la capacità di controllare chi utilizza la nostra tecnologia. Terroristi, estorsori ed altri possono implementarla a volontà. Crediamo sia una situazione estremamente pericolosa, è oramai evidente che esiste una grave minaccia” tuttavia diversi esperti di sicurezza hanno subito minimizzato.

Software simili a Galileo e RCS, quindi trojan e spyware sono disponibili in grandi quantità sul web (e nel darkweb), la forza di Hacking Team risiede nel supporto e nell’organizzazione. Qualcuno potrà anche replicare la tecnologia, ma non è la sola tecnologia presente sul mercato e probabilmente ce ne sono anche di più sofisticate.

Così è nata la "pirateria" che ridisegna il pop

Vittorio Feltri umilia Fabio Fazio: "Un profilo talmente alto da annegare in una pozzanghera"

Libero


Il presupposto è semplice: Che tempo che fa è in "ferie" e a Vittorio Feltri non manca, affatto, né il programma né il conduttore, Fabio Fazio. E il direttore ci tiene a farcelo sapere, con un editoriale di fuoco su Il Giornale dove si diverte a umiliare il conduttore paladino della sinistra. Feltri premette di non essere affezionato a lui, "e abbiamo le nostre ragioni, che magari sono torti: dalla tivù di Stato, pomposamente definita servizio pubblico, gradiremmo terzietà".

Soldi, soldi, soldi - Il fondatore di Libero ricorda poi come "Fazio invita davanti alla propria scrivania soltanto coloro che la pensano come lui", e che tutto ciò si traduce in un "un clamoroso successo per la sinistra, il cui mentore, Fabio, si assicura in tal modo la continuità su Rai 3 e la garanzia del sempiterno rinnovo del contratto, tra i più ricchi dell'universo televisivo". Feltri si sofferma proprio sul contratto faraonico, ed il fatto che Fazio sia strapagato, spiega, "suscita in noi una grande ammirazione, forse perché più che liberi siamo liberisti sfrenati e consideriamo degni di applausi coloro che guadagnano tanti bei soldini senza fare troppa fatica".

Frase da ko tecnico - Veleno pure, dunque. Ma non è finita. Il direttore sale d'intensità, e riattacca: "Di lui si può dire tutto tranne che sia sprovveduto. Al contrario, a onta di un aspetto da bravo ragazzo cresciuto all'oratorio, tra ostie e tonache di preti, è furbo e svelto quale faina". Ed eccoci alla frase da ko tecnico: "Ci sono uomini che camminano a testa alta e, se a terra è presente una banconota da 100 euro, anziché raccoglierla, la calpestano. Altri viceversa, se sentono in lontananza profumo di denaro, si precipitano sul medesimo e con nonchalance lo afferrano e lo intascano.

Giudicate voi a quale categoria appartiene il principe delle interviste alla melassa".

Boom - Finita? Nemmeno per idea. Il fondatore di Libero gira il coltello nella ferita e sparge pure del sale: "La domanda più cattiva che ha rivolto ai suoi ospiti è all'incirca questa: come sta?". Quindi l'ultimo giudizio, tranchant: "È accomodante, totalmente privo di senso dell'umorismo, un raffinato specialista in banalità reiterate. Il suo profilo è così alto da annegare nelle pozzanghere".

Latorre al comunista che lo vuole impiccato: "Lo vada a dire ai nostri figli"

Libero


"Spero che queste parole siano uscite dalla testa e non dal cuore, ma lo dicesse ai nostri figli". Così il fuciliere pugliese Massimiliano Latorre commenta su Facebook la frase del segretario di Rifondazione comunista di Rimini, Paolo Pantaleoni, che sul social network aveva scritto: "Ma non è ora che impicchino i due marò?". Il post era stato successivamente cancellato, con le scuse di Pantaleoni: "Si trattava di una battuta"

"Qui mi blocco - ha aggiunto Latorre - e non voglio far polemica. Quando saprà che siamo innocenti avrà ancora il coraggio di scherzare?. A tutto c'è un limite - ha concluso - anche alla sopportazione. Intanto la polemica sui social network non si spegne.

Juan Manuel Fangio, il corpo verrà riesumato: test del dna, vince il "presunto" figlio

Libero


Il corpo di Juan Manuel Fangio, 5 volte iridato in F1 e morto nel 1995 a 84 anni, verrà riesumato. Lo ha deciso il Tribunale di Mar del Plata che ha accolto la richiesta di tale Oscar Cesar Espinoza, che sostiene di essere suo figlio: il 7 agosto verrà effettuato l’esame del Dna sui resti del “Campionissimo” per verificare quanto dice Espinoza.

L’altro lato dell’arcobaleno: Facebook blocca l’attivista gay HappyAddis perché usa uno pseudonimo

La Stampa
stefano rizzato

 La regola “solo nomi reali” non permette deroghe, ma usare un nickname non è una scelta, se sei uno dei leader della comunità LGBT in Etiopia
 

 Il risultato dato da Facebook nel cercare la pagina di HappyAddis


Niente nickname o pseudonimi. In nessun caso. Neanche quando servono a salvarsi da chi nega i diritti e perseguita sulla base dell’orientamento sessuale. Nel mondo di Facebook le regole sono ferree. A volte troppo. Chiedere a HappyAddis, attivista per i diritti gay e LGBT in Etiopia. Bloccata da Facebook per il suo pseudonimo, quello che usa per difendersi da un Paese dove l’omosessualità è non solo un tabù, ma anche un crimine, che si paga con pene fino a 15 anni di carcere.

L’altro lato dell’arcobaleno
Da venerdì 10 luglio il profilo di HappyAddis su Facebook ha iniziato a non essere raggiungibile. Pagina non trovata. E così è stato fino a domenica mattina, quando in molti hanno iniziato a notare la contraddizione: ma come, proprio il social network diventato arcobaleno - a fine giugno - per festeggiare i matrimoni gay legali in tutti gli Stati Uniti ora non tutela chi rischia la libertà per promuovere i diritti LGBT? Così è, per ora, e la notizia è arrivata via Twitter, dove la regola “solo nomi reali” non si pone. E dove HappyAddis ha lanciato il suo appello: «@Facebook per favore ripristina il mio profilo bloccato. Uso uno pseudonimo per motivi di sicurezza e riservatezza».

Attivista web
Per sbloccare il profilo - come succede di norma in questi casi - Facebook ha chiesto all’attivista etiope di esibire per via telematica copia dei documenti che confermano la veridicità del nome che usa. In questo caso, impossibile. Ma con quel nickname HappyAddis ha creato e contribuisce ad amministrare diversi gruppi e forum per la comunità LGBT locale. Il più conosciuto è Zega Matters, usato da centinaia di persone per fare apertamente domande che altrove non potrebbero fare, e per darsi consigli su come affrontare la vita in un Paese in cui l’omosessualità è illegale e inconcepibile. Nato come forum, anche Zega Matters è diventato poi proprio un gruppo su Facebook e oggi ha oltre 1.100 aderenti. «Usare Facebook non è una scelta - ha spiegato HappyAddis alla stampa americana - perché è di gran lunga la piattaforma più popolare e altrove non troveremmo interlocutori».

Zuckerberg: “Ci stiamo lavorando”
Della regola contro gli pseudonimi non è la prima volta che si discute. Lo stesso Mark Zuckerberg, fondatore e CEO di Facebook, ne ha parlato il 30 giugno, nel suo botta e risposta pubblico. A domanda specifica sulla questione, ha spiegato: «L’uso di nomi reali è una parte importante di Facebook. Contribuisce alla sicurezza degli utenti, perché la gente tende molto meno ad agire in modo aggressivo se deve usare il proprio vero nome. Per la donna che sta cercando di evitare un ex marito violento è importante che lui non possa creare falsi profili. Ma è una regola che rende anche il servizio più semplice: la gente usa Facebook per cercare i propri amici: così basta digitare i nomi per trovarli». Uno spiraglio però c’è, spiega - nella stessa risposta - Zuckerberg: «Per nome reale non s’intende il nome all’anagrafe. Il tuo nome vero è quello usato dai tuoi amici. Se i tuoi amici ti chiamano con uno pseudonimo, dovresti poterlo usare anche su Facebook. In questo modo, potremo supportare chiunque usi il proprio nome vero, comprese le persone transgender. Ci stiamo lavorando».


YouTube: cari utenti uscite dall'anonimato

La Stampa

24/07/2012

 
Il sito invita chi pubblica commenti a usare la propria identità. Ma non è ancora un obbligo

 Frugate tra i commenti ai video pubblicati su YouTube, troverete di tutto: dalle dichiarazioni d'amore agli insulti più truci, dagli inviti alla tolleranza a ogni forma di razzismo. Tutto coperto da sicuro anonimato grazie ai nickname, gli pseudonimi che dissimulano l'identità di chi scrive. Google, però, sembra decisa a porre fine a questa cultura della "lettera anonima", e sta invitando gli utenti che lasciano messaggi sul sito di condivisione video a usare il loro vero nome.

Quando si prova a pubblicare un commento, appare una finestra pop-up che esorta a svelare la propria identità. Una identità che, se siete utenti sinceri di Google+ o di altro sevizio online di BigG, il motore di ricerca già conosce, e vi proporrà di adottare. Se insistete nel proposito di restare anonimi, potete selezionare l'opzione "non voglio usare il mio nome reale", ma non crediate di esservela già cavata così. Google vi chiederà di spiegare le ragioni della riservatezza. E fra le opzioni a disposizione non c'è la più ovvia: voglio restare anonimo. Per ora l'iniziativa riguarda gli Stati Uniti, ma presto sarà estesa in Europa e negli altri continenti.

Il tema dell'anonimato online è fra i più delicati. Può salvare la vita a chi scrive da Paesi in cui l'esercizio della libertà di opinione è un reato grave, ma la maggioranza degli esempi visibili in Rete ne testimoniano un uso volgare e immaturo. Facebook è stato il primo grande servizio online in cui gli utenti hanno abbandonato gli pseudonimi e, addirittura, si sono mostrati in fotografia. In molti commentarono che l'anonimato sul web apparteneva a una sua fase più acerba, e si sarebbe ridimensionato nel tempo. Ora Google sembra volere usare l'influenza del suo sito forse più potente per accelerare la trasformazione di questo costume online. Ma c'è già chi legge nell'operazione del motore di ricerca una nuova forma di pressione per sottoscrivere il suo social network o gli altri servizi a disposizione, e soprattutto favorire la profilazione dei propri utenti.

Malignità? Da Mountain View si limitano a commentare in un post: "Capiamo che usare il nome completo non è per tutti. Forse non volete che il vostro nome sia pubblicamente associato al vostro canale. Per continuare a usare YouTube con il nome utente scelto, basta cliccare su 'non voglio usare il mio vero nome' quando viene richiesto”. In effetti, non è ancora obbligatorio uscire dall'ombra. Ma l'invito a firmarsi quando si decide di aggredire verbalmente qualcuno, ci sembra del tutto civile e condivisibile, al di là di qualunque strategia.