Corrado Giustozzi, il Nightgaunt: sicurezza, privacy ed intelligiochi

logo Wiki@Home

Wikimedia Italia in cerca di segnali dal mondo
intervista a cura di Agatino Grillo

logo

lunedì 10 marzo 2008

Microbiografia

 
Corrado Giustozzi

Corrado Giustozzi è un esperto di sicurezza informatica, privacy, crittografia e criminalità informatica noto anche con il nickname Nightgaunt. È anche divulgatore scientifico, scrittore, professore a contratto di "Laboratorio di criminologia e criminalistica (criminalità informatica)" nel corso di laurea in Scienze dell'Investigazione dell'Università degli Studi dell'Aquila. Infine è anche ludologo nei settori dei giochi d’intelligenza, di parole, enigmistici, logici e matematici, di ruolo, di simulazione, al computer.

Incontro

L'incontro ha avuto luogo il 9 febbraio 2008 presso l'ufficio di Corrado in un grazioso palazzo ottocentesco della Roma risorgimentale. Scattare e farsi scattare le foto è stata la cosa più difficile! L'intervista invece è filata liscia e si è conclusa con una passeggiata tra le strade della Capitale mentre il sole cominciava a tramontare...

Intervista

W@H: Ciao Corrado e grazie per averci concesso questa intervista. Come appare chiaro dalle tue note biografiche (e dalle tue pagine web http://www.nightgaunt.org/) pur essendo la sicurezza delle informazioni la tua occupazione principale ti occupi però di molteplici temi; ne butto là qualcuno: divulgazione scientifica, giochi logici e matematici, fantascienza, fotografia, editoria ed addirittura sei stato doppiatore in un film. C’è un filo rosso che lega queste tue esperienze e sperimentazioni? O vai là dove ti conduce il cuore?

Corrado Giustozzi: Bella questa espressione, mi ci ritrovo pienamente e la faccio senz’altro mia! Sì, vado dove mi conduce il cuore: mi piace fare sempre cose nuove, mettermi continuamente alla prova, sfidarmi a fare cose che non ho mai fatto prima. Non smetterei mai di sperimentare, esplorare, imparare. Sono essenzialmente un inguaribile curioso: mi sento come quella proverbiale vecchietta del folklore romanesco che, pur essendo anzianissima, proprio non voleva rassegnarsi a morire perché ogni giorno scopriva ed imparava una cosa nuova! E sì, c’è un importante filo rosso che lega tutto quanto: cerco sempre di divertirmi in tutte le cose che faccio, anche e soprattutto sul lavoro!

La sicurezza delle informazioni

W@H: Parliamo di sicurezza ma prima di analizzare la situazione presente vorrei chiederti qualcosa sul futuro (prossimo). Come vedi la sicurezza delle informazioni nei prossimi mesi ed anni? C’è sicuramente, a livello globale, una fortissima accelerazione su questi temi e la consapevolezza comune che si tratti di un elemento imprescindibile è ormai assodata. Eppure la confusione pare regnare sovrana. Fuori dai nostri confini la sicurezza è ormai un tema strategico qui in Italia sembra tutto ridursi alle misure minime di sicurezza della privacy. Che ne pensi?

CG: Hai toccato un tema importantissimo. Purtroppo siamo in Italia e qui da noi le cose si fanno solo se sono obbligatorie per legge ed a rischio di pesantissime sanzioni; anche in questo caso comunque si fanno controvoglia, con ritardo ed al minimo essenziale, giusto quanto basta per non andare in galera. Quando poi è lo Stato il primo a disattendere le sue stesse leggi è chiaro che il cittadino ne ricava la percezione che le leggi in questione, e tutto i temi che girano loro intorno, siano irrilevanti o addirittura inutili. La legge sulla privacy, che pure era fatta bene e diceva cose straordinariamente sensate anche in merito alla pura e semplice sicurezza del business aziendale, a causa del ridicolo balletto di proroghe e proroghe delle proroghe è stata percepita come l’ennesima norma futile e astratta, da rispettare tutt’al più nella forma ma non certo nella sostanza. Nel resto del mondo la sicurezza è considerata una risorsa strategica mentre qui da noi è vista ancora come un costo pressoché inutile: il problema è culturale, ma con queste premesse non sarà facile risolverlo… La recente proposta di esentare le piccole aziende dalle misure minime di sicurezza previste dalla legge sulla privacy mi sembra sintomatico e ricorda la pretesa dei tassisti di non voler usare la cintura di sicurezza, ma tant’è…
 
Agatino Grillo e Corrado Giustozzi durante l'intervista
9 febbraio 2008

W@H: Quali pensi che saranno le prossime sfide in ambito security? Wi-Fi, RFID, cellulari che sono veri e propri PC, spionaggio industriale e vera e propria cyberwarfare… Che ne pensi? Di cosa dovrebbe realmente preoccuparsi un CIO italiano?

CG: Io vedo essenzialmente due scenari diversi a seconda della dimensione (e quindi della struttura) dell’organizzazione che deve proteggersi. Quelle piccole e piccolissime, quali gli studi professionali, dovrebbero temere soprattutto le intrusioni di worm finalizzate a trasformare i computer locali in zombie utilizzati per inviare spam o sferrare attacchi per conto terzi: si tratta di una minaccia molto diffusa ed in fortissima crescita, a causa della scarsa cultura informatica degli utenti e dei livelli bassissimi di protezione offerti dagli ISP sui propri collegamenti ADSL di tipo SOHO o "Office". Le aziende medie e grandi dovrebbero invece preoccuparsi maggiormente dei rischi interni, legati ad esempio a comportamenti illeciti o impropri da parte dei propri utenti (violazione del diritto d’autore, utilizzo non consono delle risorse informatiche aziendali, …). In ogni caso il problema della sicurezza non è nella tecnologia in sé ma nell’uso che ne fanno gli utenti.

W@H: In Italia il contrasto del cybercrime sembra aver fatto dei passi in avanti. A che punto siamo? C'è la giusta attenzione al fenomeno da parte delle istituzioni?

CG: Il termine cybercrime è assai ampio e copre moltissimi significati, quindi forse non è possibile generalizzare. Credo comunque che in generale negli ultimi anni il livello di attenzione verso questo fenomeno si sia alzato parecchio, e ciò è un bene. Rimane tuttavia ancora tanta strada da fare: quando si parla di cybercrime si pensa quasi esclusivamente all’hacker cattivo che tenta di intrudersi nei sistemi altrui, ma in realtà i problemi veri sono ben altri, e comunque la maggior parte dei guai viene non dall’esterno ma dall’interno delle organizzazioni.

W@H: E per quanto riguarda la guerra elettronica o cyberwar di cui periodicamente di riempiono i giornali? Il nostro paese è attrezzato per le nuove sfide?

CG: Proprio in questi ultimi mesi sono balzate agli onori delle cronache le dichiarazioni di alcuni importanti leader politici occidentali secondo cui la Cina starebbe rivolgendo da tempo attacchi sistematici contro i sistemi informativi governativi e militari dei rispettivi Paesi. E non è una novità neppure il fatto che alcune organizzazioni terroristiche considerino la cyberwar come un efficace strumento di combattimento non convenzionale. Diversi governi occidentali hanno da tempo approntato delle task-force specializzate per difendersi da tali attacchi ed hanno varato programmi di readiness con l’obiettivo di innalzare il livello di guardia delle proprie organizzazioni contro queste minacce. L’Italia tuttavia non sembra particolarmente impegnata su questo fronte: mi pare infatti che di concreto si sia fatto ben poco al di là di qualche sporadica ed effimera conferenza sulla protezione delle infrastrutture critiche. D’altronde ricordo che solo pochi anni fa un ministro elogiava la robustezza delle infrastrutture italiane in quanto, essendo ancora sostanzialmente basate su tecnologie primitive e non essendo interconnesse tra loro, risultavano di fatto immuni ai troppo sofisticati cyberattacchi moderni…
 
Corrado Giustozzi e Ron Rivest - 1999

W@H: In questa foto sei in compagnia con Ron Rivest uno dei padri della sicurezza delle informazioni ed autore (con altri) del crittosistema RSA. Dove lo hai conosciuto?

CG: Nel 1999 a Roma, quando ci furono contemporaneamente due conferenze di crittografia: una relativamente ad uno degli step per la selezione dell'AES ed un workshop sui sistemi di Fast Encryption. In quell'occasione conobbi anche Zimmermann, Diffie, Shamir e Schneier, ma non ho foto con loro! :-(

Certificazioni professionali in ambito sicurezza

W@H: Hai diverse certificazioni professionali in ambito ICT Security: CISM, Lead Auditor BS7799, ISO27001. Che differenze ci sono tra di loro?

CG: La certificazione CISM (Certified Information Security Manager) riguarda la conoscenza dei sistemi e dei processi di governance della sicurezza delle informazioni ed attesta anche la capacità di svolgere ruoli manageriali nella pianificazione e gestione della sicurezza stessa. La certificazione come Lead Auditor ISO27001 (o la sua precedente versione BS7799, oramai obsoleta) riguarda invece la conoscenza della norma internazionale ISO27001 relativa alla costruzione e conduzione dei Sistemi di gestione della sicurezza delle informazioni (SGSI) ed in particolare attesta la capacità di effettuare audit formali di tali sistemi anche a fini certificativi.
 
Corrado Giustozzi

W@H: Quale certificazione consiglieresti a chi volesse intraprendere questo tipo di carriera?

CG: Nessuna delle due è una certificazione strettamente tecnica, quindi entrambe sono adatte più a figure orientate ai ruoli consulenziali che agli smanettoni. La certificazione CISM è sicuramente più “orizzontale” e spazia su tutti gli aspetti strategici, operativi e di processo della gestione della sicurezza delle informazioni. La trovo indicata soprattutto per coloro che si sentono destinati a ruoli di responsabilità nella conduzione della sicurezza, o che intendono svolgere il ruolo di consulente in quest’ambito. La certificazione LA ISO27001 nasce per formare una specifica figura professionale, ossia l’auditor di SGSI, ma al di là di ciò offre un’interessantissima prospettiva sul ruolo pervasivo della sicurezza all’interno delle organizzazioni complesse. Per la sua natura prevede una buona esperienza sia nella sicurezza ICT che nell’analisi dei processi aziendali: in quanto tale è dunque indicata soprattutto a figure di taglio consulenziale che abbiano già maturato una discreta seniority.

Divulgazione scientifica

W@H: Ti definisci un Security Evangelist. Cosa intendi? Occorre ancora convincere i clienti della necessità (o opportunità) di adottare idonee misure di sicurezza? Oppure la denominazione si rivolge al grande pubblico? Cosa dobbiamo insegnare ai nostri figli? Come prepararli ad essere i cittadini (consapevoli) del futuro?

CG: La necessità di una capillare "evangelizzazione" secondo me c’è sempre, anche se diversificata ai vari livelli. Alle aziende, ad esempio, non è più necessario spiegare che dovrebbero adottare misure di sicurezza: molto probabilmente questo l’hanno già fatto. Tuttavia moltissime aziende sono ancora legate al vecchio paradigma della difesa perimetrale e non vedono i nuovi rischi interni, oppure percepiscono la sicurezza ancora come costo e non come risorsa. È qui che serve un evangelista. Alla gente invece bisogna spiegare altre cose: come approcciare l’uso delle tecnologie avanzate, come difendersi dalla criminalità informatica, come fare acquisti sicuri sul Web o come evitare rischi sui chat. Anche questa è evangelizzazione ed il fine ultimo è quello di dare all’uomo della strada fiducia nella tecnologia e adeguati strumenti concettuali per sopravvivere nel cyberspazio.


W@H: Parliamo ancora di divulgazione scientifica. Come facilitare l’awareness nel grande pubblico? La tua esperienza di giornalista scientifico ti è stata di aiuto a riguardo? E come evitare il rischio del pressappochismo? Il web offre migliaia di risorse dedicate alla sicurezza. Ci possiamo fidare di tutti? Qual è il ruolo che le istituzioni possono giocare a riguardo?

CG: Come noto, è assai più difficile per un attore far ridere (bene) che far piangere. Allo stesso modo per un autore è molto più difficile fare divulgazione (buona) che non scrivere saggi ponderosi e complicati. Divulgare infatti non vuol dire snaturare, spettacolarizzare, banalizzare: vuol dire invece spiegare in modo semplice cose difficili, senza perdere di rigore e possibilmente in modo interessante ed accattivante. Facile a dirsi ma non a farsi! Purtroppo capita troppo spesso di vedere trasmissioni o conferenze di divulgazione affidate a grandi luminari che… non sanno divulgare! Magari sono perfettamente a loro agio in un’aula di università, ma parlare alla gente non è come fare lezione ai dottorandi. Per non parlare del Web: oramai quasi ogni bravo tecnico pensa di essere automaticamente anche un bravo divulgatore, e pubblica pagine o blog dall’utilità quanto meno discutibile. Da questo punto di vista ben venga ogni iniziativa seria e controllata, meglio ancora se pubblica, finalizzata a fare buona divulgazione: occorre solo umiltà e serietà, e ricordarsi che in questo settore, come in quello della scienza più generale, ci sono in giro tanti bravi scienziati e tanti bravi giornalisti, ma… pochi Piero Angela!

Libri ed articoli

W@H: Hai pubblicato circa mille articoli nei tuoi venticinque anni (ed oltre) di attività come giornalista scientifico. Hai scritto diversi anni fa due libri dedicati alla sicurezza informatica "Segreti, spie, codici cifrati" (Apogeo, 1999) e "Sicurezza e privacy in azienda" (Apogeo, 2001). Poi per un periodo hai smesso di scrivere e recentemente sei tornato alla macchina da scrivere (per modo di dire). Cos’era successo? E cosa ti ha fatto cambiare idea?

CG: Si sa, l’assassino ritorna sempre sul luogo del delitto! La divulgazione è stata la mia attività principale per tanti anni ed è rimasta una grande passione anche quando il mio percorso professionale si è orientato verso altre direzioni. E devo dire che il mio background mi ha certamente aiutato molto anche ne fare il consulente e l’evangelista. Poi ad un certo punto ho avuto semplicemente nostalgia della carta stampata ed appena mi si è presentata l’occasione di curare una rubrica fissa (di sicurezza, ovviamente…) su una famosa rivista di settore l’ho accettata senza riserve. Nel frattempo non avevo mai smesso di pubblicare articoli e saggi sul Web, ma la carta è tutta un’altra cosa.

W@H: Il 15 ottobre 2007 è stato pubblicato il tuo nuovo libro: "La sindrome di Fort Apache" . Di cosa tratta?

CG: Come dice il sottotitolo: "La sicurezza delle informazioni nella società postindustriale". Il libro tratta ovviamente di sicurezza delle informazioni ma non, come si potrebbe temere, da un punto di vista tecnico: il punto di vista è invece quello sociologico, per non dire "filosofico", e lo scopo è quello di illustrare il ruolo e spiegare l’importanza della information security nella società in cui viviamo al giorno d’oggi.

W@H: A chi si rivolge il libro?

CG: Anche se è rivolto soprattutto ad un pubblico di "decisori aziendali", è comunque adatto ad ogni tipo di lettore interessato al ruolo della sicurezza delle informazioni nella nostra vita di tutti i giorni. Il libro da un lato vuole sensibilizzare i lettori non specialisti sui rischi non necessariamente tecnici che le nuove tecnologie presentano; dall'altro propone un modello allargato e sistematizzato di gestione organizzativa del rischio d'impresa che unifica le varie "sicurezze" in una visione unitaria e moderna, considerandole componenti tanto imprescindibili quanto complementari di una nuova "sicurezza unificata", volta a tutelare il business in sé e per sé.

W@H: Quali sono le caratteristiche di questo modello "unificato"?

CG: Innanzitutto la riunificazione tra i vari tipi di sicurezza storicamente e tradizionalmente considerati differenti ed incompatibili: ad esempio la safety e la security, ma anche la sicurezza fisica, quella logica e quella organizzativa. Tutte queste “sicurezze” sono in realtà componenti di un’unica funzione superiore, che ha come obiettivo la tutela della capacità competitiva stessa di un’azienda od organizzazione, e che potremmo chiamare "sicurezza del business". La tesi esposta nel libro è che oggigiorno questa funzione si esplichi soprattutto garantendo il corretto esercizio della governance aziendale. In un certo senso, quindi, la moderna sicurezza del business non è altro che meta-governance.

W@H: Perché "sindrome di Fort Apache"? Siamo destinati alla sconfitta? O dalla sconfitta nascerà qualcosa di nuovo?

CG: È destinato alla sconfitta solo chi, nella società contemporanea caratterizzata da aziende virtualizzate, forza lavoro mobile e business transnazionali, continua a fare la propria sicurezza come facevano a Fort Apache, ossia pensando di poter costruire una barriera invalicabile tra sé e "gli altri". L’equazione "dentro = buoni, fuori = cattivi" al giorno d’oggi non vale più, ammesso che sia mai stata davvero valida in passato. I paradigmi sono cambiati e, per non essere sconfitti, occorre adeguarsi.

W@H: Stai scrivendo qualche altro libro?

CG: Al momento no, anche se sto preparando una seconda edizione di "Segreti, Spie ..."

Privacy ed intelligence

W@H: Torniamo alla sicurezza anzi all’intelligence. Collabori con le forze dell’ordine per le indagini telematiche ed anche con agenzie private. Al di là dei polveroni che occupano le prime pagine dei giornali in questo periodo qual è il tuo pensiero sulla intelligence informativa? Per le aziende ed i cittadini è un rischio o una opportunità? La privacy è minacciata? Dobbiamo tutti imparare a comportarci con più prudenza?

CG: Ogni società civile ha sempre dovuto in qualche maniera gestire l’eterno conflitto tra il diritto dei singoli alla riservatezza ed il diritto della collettività alla sicurezza. Il problema in questo caso non è tanto la legittimità dell’azione in sé, quanto la misura in cui potersi fidare della liceità delle azioni di coloro che violano istituzionalmente la privacy altrui in nome del bene comune. All’altro estremo si trova invece l’intelligence privata, ossia quella fatta da un singolo per tutelare i propri interessi: in questo caso ci sono profili di illegittimità proprio nella stessa azione, in quanto nessuno può farsi giustizia da sé e quindi neppure violare attivamente e preventivamente la privacy altrui per proprio tornaconto. In mezzo ci sono tutte quelle violazioni non premeditate e non "attive", quali ad esempio le telecamere di sorveglianza puntate verso i portoni dei palazzi ma che inquadrano anche la strada circostante: tecnicamente si tratta di misure "eccessive" e dunque illecite, ma come tutti sanno spesso sono utili alle forze dell’ordine per catturare qualche criminale ed allora il Garante chiude uno o entrambi gli occhi. Una cosa è certa: mai come oggi, per via dell’utilizzo massiccio dei più svariati sistemi di comunicazione ed interazione elettronica, la gente lascia in giro tracce della propria attività, il che non è sempre un bene. Occorre sicuramente imparare a "muoversi" nella società dell’informazione con un po’ più di prudenza.

W@H: in che consiste la tua attività come professore a contratto di "Laboratorio di criminologia e criminalistica (criminalità informatica)" presso il corso di Laurea in Scienze dell'investigazione dell'Università dell'Aquila? Qualcosa a che fare con i vari CSI, RIS di Parma, eccetera?

CG: Beh… un po’, ma non proprio! Il fatto è che in Italia negli ultimi anni si parla molto (e forse a sproposito…) di computer forensics, e sono così fioriti diversi insegnamenti universitari che pretendono di occuparsene: di solito si tratta o di corsi di informatica rivolti ai giuristi o di corsi di diritto rivolti agli informatici, nei quali gli esperti di una delle due materie cercano di spiegare agli studenti dell’altra materia le nozioni che mancano loro. Il mio è invece il primo caso in cui si insegna l’importanza delle tecniche di computer forensics a coloro che dovranno poi utilizzarle direttamente sul campo, o quanto meno che saranno chiamati a valutarne professionalmente l’impiego ed a conoscerne possibilità e limiti: ossia i futuri criminologi, gli investigatori, e più in generale coloro che opereranno nell’intelligence o nelle forze dell’ordine. Il mio tuttavia non è un corso di tecnica della computer forensics ma un insegnamento più generale, mirato ad inquadrare il problema della necessità di trattare in modo corretto ed adeguato le sempre più numerose forme di evidenze digitali, le quali possono costituire fonte di prova non solo in ambito penale ma anche in un processo civile o addirittura nell’ambito di un’indagine interna o di un’attività di audit.

Mensa Italia

W@H: Sei anche il responsabile dello sviluppo e delle relazioni esterne del Mensa Italia; ci spieghi cos’è questa famosa associazione di “cervelloni”?

CG: Dico subito che il Mensa non è certamente un "club di cervelloni" seriosi e snob, come molti pensano. Anzi, tutt’altro: è un’associazione di simpatici svitati, persone di tutti i tipi accomunate solo da una grande curiosità intellettuale e dalla capacità di prendersi molto poco sul serio. Tra una cena e la visita ad un museo o monumento, troviamo anche il tempo di organizzare al nostro interno piccole conferenze periodiche nelle quali invitiamo a parlare relatori dalle più disparate competenze. Anche io ho talvolta contribuito con serate dedicate ad alcune delle mie passioni: la storia della crittografia, l’opera artistica di Escher, la ludolinguistica informatica, la Guida galattica per gli autostoppisti… niente sicurezza però, quella è lavoro!

W@H: In che consiste il tuo ruolo come responsabile delle relazioni esterne di Mensa Italia?

CG: L’obiettivo che mi sono prefisso in questo ruolo, che ho assunto dallo scorso aprile 2007, consiste nel promuovere l’immagine pubblica del Mensa adempiendo contemporaneamente a quelli che da statuto sono gli scopi istituzionali dell’associazione: ossia scoprire e incoraggiare l'intelligenza umana a beneficio dell'umanità, favorire contatti sociali fra persone intelligenti, effettuare ricerche sulla natura, le caratteristiche e gli usi dell'intelligenza. Coniugando questo mandato con la mia attività nel campo della sicurezza ho recentemente organizzato un evento assai particolare che ha riscosso un lusinghiero successo: un convegno intitolato “Sicurezza informatica: questa (s)conosciuta”, svolto lo scorso 19 novembre 2007 presso la sede di Consip a Roma, nel quale tutti i relatori erano soci Mensa oltre che esperti di sicurezza. Un esperimento audace, fortemente supportato da Consip che ha molto creduto nell’iniziativa. E la partecipazione del pubblico è stata così straordinaria da costringerci a diffondere in streaming su Internet l’intera giornata, per consentire la partecipazione almeno "virtuale" alle moltissime persone che non erano riuscite a trovare posto nel pur ampio Auditorium di Consip.

Riviste ed attività ludiche: il Nightgaunt

W@H: Nel tuo passato ci sono MCmicrocomputer e Byte Italia: due pietre miliari della storia delle riviste informatiche in Italia. Cosa rimane di quelle esperienze?

 
Corrado Giustozzi alla sua scrivania nella redazione di MCmicrocomputer - 1996
CG: Direi tre cose: innanzitutto tanta passione per il lavoro fatto bene e con umiltà artigiana; poi la convinzione che la capacità complessiva di un gruppo di lavoro multidisciplinare e bene assortito è superiore alla somma delle capacità dei singoli; ed infine la certezza che la ricerca della qualità in tutto ciò che si fa è importante e ripaga sempre!

W@H: Ed i tuoi Intelligiochi? Torneranno?

CG: Chi lo sa? Mi piacerebbe, ma temo di non avere più il tempo sufficiente per farlo. Un progetto che ho invece da qualche tempo nel cassetto è quello di ripubblicare sul Web le puntate di quella storica rubrica, andata avanti ininterrottamente per quindici anni (mamma mia, un record!) e di cui ho riacquisito i diritti dopo il fallimento della casa editrice che aveva acquisito e pubblicato MCmicrocomputer nei suoi ultimi anni di vita, dopo la mia uscita dal gruppo dirigente originario. O, se non proprio tutte e centosessantasei almeno quelle più significative da un punto di vista storico. È un sacco di lavoro, ma credo ne varrebbe davvero la pena …

W@H: Come nasce il Nightgaunt?

CG: È un nickname cui sono molto affezionato, che mi porto appresso da esattamente vent’anni: da quando cioè, agli albori dell’era telematica, cominciai a frequentare prima le BBS e poi la mitica MC-link, di cui fui tra i fondatori e gli animatori. I Nightgaunt, tradotti in italiano come "Gaunt della notte" o "magri notturni", sono creature fantastiche dovute alla fantasia onirica di uno scrittore che amo molto, H. P. Lovecraft. Sono esseri magrissimi, col volto privo di lineamenti; la loro pelle è nera e lucida come quella dei cetacei, ed hanno una lunga coda a freccia ed un paio di ampie ali membranose. Vivono una vita notturna nei reami del sogno, e la loro attività preferita è quella di rapire i viandanti sollevandoli in aria e facendo loro il solletico sino a farli morire. Cominciai ad usare questo alias per via delle mie abitudini notturne e della mia relativa magrezza, e da allora mi è rimasto attaccato addosso fino a diventare parte di me stesso (oggi in effetti non sono più altrettanto magro ma sono rimasto inguaribilmente nottambulo…). È incredibile come tante persone si ricordino di me ancora oggi solo come "il Gaunt"!

Varie

W@H: Consigli per qualche sana lettura? Come passi il week end?

CG: Di solito cerco di riservare i week-end alla famiglia, anche se purtroppo molte volte li sfrutto per recuperare gli arretrati nel lavoro o li sacrifico alle altre cose che faccio (ad esempio scrivere un articolo, preparare una conferenza, rispondere ad interviste come questa…). Per quanto riguarda leggere, cosa che faccio sempre con grande passione, il genere che preferisco è la fantascienza anche se divoro praticamente ogni altro genere con pari impegno; ultimamente però la cronica carenza di tempo libero mi porta a consumare più spesso saggistica che non narrativa. Proprio recentemente ho però trovato un’interessante via di mezzo in "La fisica dei supereroi" (Einaudi, 2007), un libro serio e rigoroso ancorché fuori dalle righe nel quale l’autore, professore di fisica all’università del Minnesota, passa in rassegna i superpoteri dei vari supereroi dei fumetti spiegando quali di essi siano fisicamente plausibili e quali no. Simpatico e godibile.

Wikipedia, Open Source ed affini

W@H: Conosci Wikipedia? La usi?

CG: Non solo la conosco ma la uso molto di frequente: sia come strumento di documentazione rapida, per trovare velocemente informazioni su qualcosa, sia come fonte di approfondimento. E ti dirò che mi diverto spesso a navigare tra le pagine con la funzione “una voce a caso”, che trovo ricca di stimoli interessanti ed inesauribili.

W@H: Tornando a Wikipedia, oltre che consultarla, hai mai provato a modificare, correggere o scrivere qualcosa?

CG: Pochissime volte, lo confesso. Avrò al mio attivo un paio di dozzine di edit, non di più, e tutti di piccola entità. Un po’ per cronica mancanza di tempo, un po’ perché non conosco bene le convenzioni di Wikipedia e non vorrei fare cose sbagliate in quanto a forma o stile.

W@H: Su Wikipedia hai mai trovato scritte grosse cavolate?

CG: Sinceramente no. Al contrario, molto spesso mi capita di meravigliarmi per l’elevatissima qualità delle voci che vi trovo.

W@H: Oltre a Wikipedia esistono molti altri progetti legati a Wikimedia con finalità leggermente diverse. Ad esempio Wikinotizie... La conosci?

CG: Sì, ma devo dire che non la uso spesso: le notizie di solito preferisco leggerle dai giornali, anche se on-line. E rimedio alla loro inevitabile partigianità leggendo e confrontando le opinioni di due o tre quotidiani differenti.

W@H: Inoltre c'è Wikimedia Commons, che contiene due milioni di file multimediali, più che altro fotografie...

CG: utilizzati da Wikipedia.

W@H: Cosa ne pensi del futuro di Wikipedia?

CG: Difficile dirlo. L’esperimento è interessante, ma il fatto di basare la propria evoluzione sul consenso di una comunità priva di leader è al contempo il suo pregio ed il suo tallone di Achille. Bisogna vedere se e per quanto la comunità riuscirà a mantenere quella unitarietà di visione e di intenti che oggi, pur tra gli inevitabili piccoli contrasti interni, riesce invidiabilmente ad esprimere. Comunque se Wikipedia non ci fosse bisognerebbe inventarla!

W@H: Che ne pensi dell'open source? Lo utilizzi?

CG: Ne penso un gran bene, ed anche se non sono un fanatico “talebano” del suo utilizzo cerco di usarlo il più possibile.

W@H: Alcuni sostengono che il software open source sia "intrinsecamente" più sicuro di quello il cui codice è proprietario o comunque soggetto a restrizioni. Qual è la tua idea?

CG: Penso anche io che un prodotto a codice aperto possa essere più sicuro di uno a codice chiuso, e la cosa è facilmente dimostrabile. Coloro che sostengono la tesi secondo la quale i sistemi chiusi sono più sicuri ragionano grosso modo così: se rendo noto il sorgente di un sistema vi sarà un sacco di gente che, avendovi accesso, lo studierà e riuscirà magari ad identificare difetti da poter utilizzare per attaccarlo, il che lo rende più vulnerabile. Ora ciò è senz’altro vero, ma io trovo che tale potenziale svantaggio sia più che compensato da innumerevoli altri vantaggi che invece vanno a favore della sicurezza complessiva del sistema. In primo luogo un codice aperto può essere verificato in maniera indipendente da molte persone, la quali possono a loro volta riuscire ad identificarne gli eventuali difetti prima che lo facciano i malintenzionati. In secondo luogo, una volta identificato un difetto in un software aperto è possibile mettere a punto e rilasciare la relativa patch in un tempo solitamente molto breve, in quanto il lavoro viene svolto in modo coordinato da molti sviluppatori. In terzo luogo, la qualità del software aperto è tipicamente molto alta in quanto il codice prodotto da ciascuno sviluppatore viene di norma esaminato e valutato in modo indipendente da molti altri programmatori. Ciò non significa che il software open source sia intrinsecamente privo di difetti: le statistiche ci dicono anche anch’esso è afflitto da bug, e talvolta anche piuttosto critici. Ma in media i progetti a codice aperto non hanno più difetti rispetto ai loro equivalenti a codice chiuso, e sicuramente non ne hanno di altrettanto critici. Senza contare che il tempo di sviluppo e rilascio sia delle patch che delle nuove versioni è assai minore nel caso di progetti open source. Ma, a parte tutto, la considerazione che a me sembra tagliare la testa al toro è che il software aperto è intrinsecamente “fidato”, ossia non può avere funzionalità segrete o backdoor nascoste. Chiunque al mondo può infatti verificarne di persona il funzionamento, e se non si fida delle distribuzioni binarie (o dei compilatori disponibili…) può ricompilarsi da sé tutti i sorgenti col proprio compilatore di fiducia. Invece nel caso di software chiuso occorre necessariamente fare un atto di fede e credere ciecamente alle dichiarazioni produttore, in quanto non c’è alcun mezzo per assicurarsi in modo diretto di cosa realmente faccia il prodotto che ci è stato consegnato.

W@H: Parliamo delle licenze libere e del diritto d'autore. I diritti sulle tue opere scadranno a 70 anni dalla tua morte. Ritieni che sia giusta, adesso come adesso, una normativa del genere oppure pensi che la si possa rivedere?

CG: Sono convinto che si dovrebbe riformare tutto l’impianto del diritto d’autore, che nel suo stato attuale è anacronistico e dannoso per l’intera società. Certamente è giusto tutelare le opere d’ingegno riconoscendo all’autore un diritto di privativa sul loro utilizzo, ma da qui a far campare di rendita eredi ed editori in sempiterno ce ne corre! Né tale tutela deve produrre come effetto la mortificazione della creatività altrui, anzi semmai dovrebbe essere di stimolo allo sviluppo di nuove idee. Credo dunque che sia necessario tutelare gli autori esclusivamente contro i plagiari che agiscono intenzionalmente ed a scopo di lucro, ma sia invece opportuno liberalizzare tutti gli utilizzi “innocui” delle idee da parte di chiunque altro. Ritengo pertanto che una disciplina ispirata al concetto anglosassone del “fair use”, e con una tutela legale molto più limitata nel tempo, potrebbe essere assai più utile allo scopo.

W@H: Hai mai pubblicato qualcosa con licenza libera? Pensi di farlo?

CG: In passato, molti anni fa, ho rilasciato nel pubblico dominio alcune piccole utility software e… qualche scenario di Doom! Invece non ho ancora pubblicato testi con licenza libera, anche se sto accarezzando l’idea di farlo. In effetti, come dicevo prima, sono recentemente tornato in possesso dei diritti di tutti gli articoli che avevo pubblicato su MCmicrocomputer, in quanto la rivista non esiste più; mi piacerebbe ripubblicarli on-line sotto una qualche forma di licenza libera, ma devo ancora studiare meglio la cosa.

W@H: Ciao Corrado e grazie.

CG: Grazie a te.

Collegamenti esterni

 
Wikinotizie
Questa intervista esclusiva riporta notizie di prima mano da parte di uno dei membri di Wikinotizie. Vedi la pagina di discussione per avere maggiori dettagli.