È disponibile subito il podcast di oggi de Il Disinformatico della
Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto: lo
trovate presso
www.rsi.ch/ildisinformatico
(link diretto) e qui sotto.
I podcast del Disinformatico sono ascoltabili anche tramite
feed RSS,
iTunes,
Google Podcasts
e
Spotify.
Buon ascolto, e se vi interessano i testi e i link alle fonti di questa
puntata, sono qui sotto.
---
Prologo
CLIP AUDIO: Qualcuno bussa con forza a una porta
Siamo nello stato americano del Kansas, a maggio del 2011. La porta alla quale
stanno bussando con insistenza due vicesceriffi è quella della fattoria dove
abitano James e Theresa Arnold. Una coppia tranquilla che vive appena fuori
Potwin, un paesino altrettanto tranquillo, con poco meno di cinquecento
abitanti. James e Theresa si sono trasferiti lì da pochi giorni. I
vicesceriffi stanno cercando un furgone rubato, di cui però la coppia non sa
assolutamente nulla. La polizia tornerà ripetutamente, alla ricerca di
refurtiva di vario genere, e ogni volta James e Theresa dovranno spiegare che
non hanno nulla di rubato. Qualche tempo dopo, riceveranno più volte visite
degli agenti dell’FBI, che cercano bambini scappati di casa. E poi arriveranno
gli ispettori delle tasse, con l’accusa di frode fiscale. E infine la coppia
verrà assediata dalle ambulanze in cerca di persone in pericolo di vita e
dalle telefonate di persone che la accusano di truffe di vario genere. Non lo
sanno ancora, ma la colpa di questi equivoci è tutta di MaxMind. No, non è un
arcinemico dei fumetti: è un’azienda che, senza rendersene conto, ha
condannato James e Theresa Arnold a un supplizio squisitamente informatico dal
nome piuttosto criptico: il
default di localizzazione degli indirizzi IP.
Questa è la storia di come una scelta informatica apparentemente banale può
trasformare in un inferno la vita di persone innocenti.
Benvenuti al Disinformatico, il podcast della Radiotelevisione Svizzera
dedicato alle storie insolite dell’informatica. Io sono Paolo Attivissimo.
SIGLA DI APERTURA
La fattoria di James e Theresa Arnold non è maledetta o posseduta dagli
spiriti, e non nasconde un covo segreto di ladri e ricettatori. Lo sa bene il
loro locatore, l’anziana signora Taylor: è tutto in regola e non c’è nessun
deposito di refurtiva, ma misteriosamente tutte le persone che affittano la
sua fattoria vengono bersagliate da richieste di pagamenti di tasse evase e da
visite di agenti di polizia, di giorno e di notte, alla ricerca di merci
rubate o persone scomparse. Ogni volta è necessario spiegare pazientemente che
no, la refurtiva che la polizia sta cercando non è lì e nella fattoria non
sono nascosti bambini scappati. E la cosa va avanti da almeno una decina
d’anni. Lo sceriffo locale ha fatto mettere un cartello all’ingresso della
fattoria avvisando tutti, e soprattutto i rappresentanti del fisco o delle
forze dell’ordine federali, di non avvicinarsi e di contattarlo per
chiarimenti.
Per venire a capo di questo mistero ci vorranno altri cinque anni e ci vorrà
un uomo di nome Kashmir Hill. No, non è un detective: è un giornalista
informatico. Arriviamo così al 2016, quando Hill, nell’ambito di un’indagine
su un caso analogo avvenuto ad Atlanta, fa una scoperta che cambierà la vita
della famiglia Arnold e la libererà (o quasi) dalla persecuzione.
Per capire questa scoperta bisogna fare un passo indietro e parlare di una
cosa che a prima vista non c’entra nulla: la cartografia digitale, e
specificamente la localizzazione degli indirizzi IP. Ogni dispositivo
che si collega a Internet riceve un indirizzo IP, che è un identificativo
unico che gli serve per comunicare con gli altri dispositivi. Quando visitate
un sito con il vostro computer o smartphone, per esempio, il sito viene
informato del vostro indirizzo IP. Ci sono aziende (per esempio
Whatismyipaddress.com) che
associano gli indirizzi IP ai luoghi geografici, per cui un sito può sapere se
un visitatore si trova, che so, in Francia o negli Stati Uniti. Spesso questa
associazione è abbastanza precisa da poter indicare la città esatta nella
quale si trova l’utente, o addirittura l’edificio specifico. Spesso, ma non
sempre.
CLIP: Maxmind
Maxmind, che ha sede in
Massachusetts, è una delle aziende che vendono questo tipo di informazione,
molto ambita per esempio dai pubblicitari, che la usano per mostrare a ogni
utente pubblicità pertinenti alla sua regione. La usano anche le agenzie
governative, per sapere dove si trovano le persone che si rivolgono a loro.
MaxMind offre i propri servizi a oltre 5000 aziende.
Ma c’è un problema: l’associazione fra indirizzo IP e indirizzo geografico a
volte sbaglia di grosso. In alcuni casi viene fatta facendo il cosiddetto
wardriving, ossia mandando in giro automobili dotate di GPS e computer
che cercano le reti Wi-Fi aperte, ne identificano gli indirizzi IP e li
abbinano alle coordinate geografiche del posto in cui si trovano in quel
momento. Altre volte viene fatta usando allo stesso modo gli smartphone degli
utenti quando vanno in giro. In altri casi ancora viene ottenuta guardando
l’indirizzo IP di un’azienda e guardando dove si trova fisicamente la sede di
quell’azienda.
Ma in alcuni casi non è possibile risalire all’ubicazione geografica precisa
di un certo indirizzo IP e quindi nei registri di aziende come MaxMind si
annotano, al posto delle coordinate geografiche reali, delle
coordinate di default. Se si sa soltanto che un certo indirizzo IP si
trova da qualche parte in una certa città, allora a quell’indirizzo IP
verranno abbinate le coordinate geografiche del centro di quella città.
E se MaxMind non ha proprio nessun dato geografico da abbinare a un certo
indirizzo IP, nasce un problema: qualcosa bisogna pur scrivere nel
database delle coordinate, e così MaxMind assegna delle coordinate
completamente arbitrarie. Specificamente, nel caso di qualunque indirizzo IP
di cui sa solo che è statunitense, assegna le coordinate del centro geografico
degli Stati Uniti, arrotondate per non avere troppe cifre decimali:
38 gradi nord, 97 gradi ovest.
Indovinate cosa c’è a quelle coordinate. Esatto: la fattoria degli Arnold.
In altre parole, qualunque reato o inadempienza fiscale associati a un
indirizzo IP di cui MaxMind non ha informazioni geografiche punta a quella
fattoria. Se funzionari governativi, inquirenti, ispettori delle tasse, forze
dell’ordine chiedono a MaxMind dove si trova un certo indirizzo IP di cui
MaxMind non sa nulla, l’azienda non risponde con un sincero
“boh, non ne ho la minima idea”, ma fornisce le coordinate geografiche
di James e Theresa Arnold. Che così si sono trovati accusati di reati
informatici, furti di identità, molestie informatiche e persino di
“detenzione di ragazze presso l’abitazione allo scopo di realizzare film
pornografici”: così dicono i
documenti legali.
Il giornalista informatico,
Kashmir Hill, insieme all’esperto di sicurezza Dave Maynor, consulta un
database pubblico
di MaxMind e scopre che gli indirizzi IP di cui l’azienda non ha nessuna
informazione reale di localizzazione sono oltre seicento milioni. Se
uno di questi indirizzi IP viene usato da un truffatore o da un criminale
informatico o da una persona in difficoltà che contatta un servizio di
soccorso, MaxMind dirà che quel malfattore o quella persona nei guai sta a
casa degli Arnold, a Potwin, in Kansas. Nessuno, alla MaxMind, si è chiesto se
per caso alle coordinate geografiche di default immesse automaticamente nei
loro archivi ci fosse qualcuno. Nessuno nell’azienda ha pensato di assegnare
delle coordinate geografiche che non potessero causare problemi a persone
innocenti e inconsapevoli.
Kashmir Hill, nel 2016, contatta i signori Arnold e spiega la sua scoperta. I
coniugi, capita la causa dei loro problemi, avviano subito un’azione legale
contro MaxMind, chiedendo un risarcimento di oltre 75.000 dollari. L’azienda
si impegna a posizionare le coordinate di default nel centro di specchi
d’acqua, boschi o parchi invece che davanti alle case delle persone. Ma molti
dei clienti di MaxMind non aggiornano regolarmente i propri archivi, per cui
la persecuzione non è ancora del tutto terminata.
La vicenda dei coniugi in Kansas non è l’unica del suo genere: il giornalista
Hill
cita
molti altri casi, come quello del signor Tony Pav, che vive ad Ashburn, in
Virginia, dove si trovano i grandi datacenter di Google e Facebook. Di
conseguenza, oltre 17 milioni di indirizzi IP puntano ad Ashburn, e MaxMind
aveva scelto, come coordinate geografiche generiche di Ashburn, proprio la
casa di Tony Pav, che così una sera ha trovato la polizia che stava per
sfondargli la porta alla ricerca di un laptop del governo che risultava
trovarsi lì, perlomeno stando al suo indirizzo IP. Il povero signor Pav è
perseguitato da situazioni di questo genere e teme che qualcuno che ha subìto
un torto, prima o poi, venga di persona a casa sua a farsi giustizia sommaria.
MaxMind ha cambiato anche queste coordinate.
E poi c’è anche il
caso
del signor Dobson di Las Vegas, che si vede perennemente incolpato
ingiustamente di aver rubato telefonini perché casa sua si trova proprio
davanti a un’antenna di telefonia mobile geolocalizzata.
Fra l’altro, questo non è un problema limitato agli Stati Uniti. Tre anni più
tardi, nel 2019, a Pretoria, in Sud Africa, un uomo e sua madre si trovano
accusati
di rapimento da un investigatore privato che è sulle tracce di una bambina
rapita ed è stato portato davanti alla casa dei due da un dispositivo di
tracciamento che secondo lui è infallibile. La famiglia si trova spesso in
situazioni del genere, a volte anche pericolosamente aggressive, perché la
casa, come le precedenti, si trova in un punto geografico informaticamente
maledetto.
In questo caso sudafricano, l’artefice della maledizione digitale è nientemeno
che un’agenzia governativa di intelligence statunitense, la
National Geospatial-Intelligence Agency.
CLIP: NGA
Quest’agenzia fa parte del Dipartimento della Difesa e fornisce anche servizi
di geolocalizzazione aperti al pubblico. Per questi servizi ha
scelto, per indicare l’intera città di Pretoria, le coordinate esatte della
casa dei due malcapitati. E in questo caso non c’è nulla da fare, se non
traslocare.
---
Questi episodi assurdi di persecuzione digitale dimostrano la noncuranza con
la quale troppo spesso in informatica si scelgono valori predefiniti arbitrari
senza pensare alle loro conseguenze nel mondo reale, ma mettono anche in luce
due errori molto diffusi fra gli utenti: il primo è un’eccessiva e mal riposta
fiducia nei servizi di localizzazione basati sugli indirizzi IP, che spesso
contengono dati errati o inventati; il secondo è pensare che delle coordinate
geografiche con tanti decimali siano precisissime, mentre in realtà quei
decimali sono soltanto il risultato di approssimazioni e arrotondamenti.
Questi servizi, infatti, non sono pensati per trovare una specifica abitazione
ma solo per dare un’indicazione approssimativa della zona geografica in cui
dovrebbe trovarsi un certo dispositivo. Per cui se usate un sito come
Iplocation.net, prendete i suoi risultati
con molta cautela. A me, per esempio, dice che sono in questo momento a
Zurigo, mentre in realtà mi trovo a Lugano, e dice di sapere dove mi trovo con
ben dodici cifre decimali di precisione. In teoria, mi sta dicendo che
sa dove mi trovo con una
precisione
di meno di un milionesimo di millimetro, ma in realtà sbaglia di circa 155
chilometri in linea d’aria.
Morale della storia: la geolocalizzazione è una cosa seria, ma se usata male
può causare guai a non finire a persone che non hanno nessuna colpa. Per cui
non andate a bussare a casa di sconosciuti perché la vostra app preferita di
localizzazione tramite indirizzo IP vi ha portato davanti a una certa
abitazione. E pregate di non abitare in una casa che qualche azienda,
dall’altra parte del pianeta, ha scelto come coordinate di default per i
propri archivi senza pensare alle conseguenze.
Fonti aggiuntive:
Half As Interesting,
Sophos,
Ars Technica.