Qualche tempo fa avevo scritto un post evidenziando i rischi per la sicurezza ai tempi del Cloud Computing, oggi vorrei analizzare aspetti differenti, piu’ generali. Anche questa volta il post e’ il frutto della rielaborazione della mia piccola mente di articoli letti qua e la. Questa volta vi presentero’ alcuni articoli sull’argomento, con opinioni contrapposte.
Ovviamente ciascuno ha le sue idee, i suoi valori, non e’ detto che cio’ che e’ un male per me lo sia per gli altri, comunque esponendo varie opinioni ciascuno puo’ trarre le proprie conclusioni (anche se ovviamente il modo in cui le esporro’ sara’ volto a convincervi a pensarla come me, o meglio convincere anche me a pensarla come vorrei che la pensassi io).
DAI SERVIZI AL CLOUD – I servizi online che ci vengono offerti quotidianamente da piccole startup o dai giganti di internet sono ormai divenuti, per tanti di noi, strumenti quasi indispensabili per lavorare/giocare/comunicare. Magari non ce ne rendiamo conto, ma stanno a poco a poco sostituendo vecchi strumenti che prima richiedevano un’applicazione installata sul nostro computer, o sono strumenti totalmente nuovi che soppiantano i nostri vecchi software con le nostre vecchie abitudini.
Ma fin dove si spingeranno? Io la mia idea me la sono fatta, l’ho esposta sulla socialbox di Pollycoke ed e’ la seguente:
“> ‘il 100% degli utenti che si collegano ad internet usa un Sistema Operativo’
In un futuro non troppo lontano col cloud computing questo potrebbe non essere piu’ vero :) Potrebbe bastare il solo kernel, in una versione minimale, e magari inserito direttamente nel chip? Una sorta di BIOS allargato? Dunque un mini-kernel a livello hardware, messo dai produttori (l’apoteosi del Trusted Computing)? A questo punto andrebbe o ridefinito il significato di SO o questi non sono SO ma solo una loro caricatura. Queste sono solo ipotesi, ma forse non troppo ridicole. Convengo anche io sia tutto moto inquietante (e non lo vorrei mai un sistema che tenga tutti i miei dati e i software che uso in un server lontano) obbligandomi per giunta a un kernel sul quale non avrei nessun potere, ma non sono sicuro che anche la maggioranza degli utenti la penserebbe cosi’. Comunque mi sa che stiamo uscendo fuori tema. Anche se l’argomento mi interessa molto. Giusto ieri stavo guardando il video dell’intervento di Eben Moglen al DebConf10 il titolo e’ ‘How we can be the silver lining of the cloud‘ se non l’avete ancora visto guardatelo, ne vale la pena.”
Lo so, le autocitazioni sono ridicole e lo sono ancor piu’ le mie, ma non mi andava di rielaborare quanto avevo gia’ scritto. Ad oggi la situazione e’ questa: vi sono tantissime startup che offrono servizi online (o che hanno progettato un nuovo servizio da offrire), vari giganti (Google, Microsoft, IBM, Intel, Cisco) che stanno facendo acquisti qua e la di startup (e non solo) approfittando di un periodo di sconti a causa/grazie (dipende se siete il venditore o l’acquirente) della/alla crisi. Il grande progetto che hanno in mente questi giganti e’ quello di offrire sempre piu’ e sempre piu’ esclusivamente servizi online ai propri utenti. Le ragioni sono diverse, ma principalmente due, minori costi, maggior controllo sugli utenti.
Ovvio, non bisogna confondere i servizi online col cloud computing, ma allo stesso modo non vanno confuse delle sbarre verticali con una gabbia. Eppure se qualcuno comincia a circondarci di barre verticali un sospetto che ci voglia mettere in gabbia ci viene. La stessa cosa e’ probabile stia accadendo con i servizi online, sono la precondizione necessaria al cloud computing. Si comincia con l’offrire nuovi servizi e servizi che sostituiscono i software installati nei nostri computer, poi a poco a poco saranno sempre piu’ numerose le applicazioni alle quali potremmo accedere online, finche’ non cominceranno a proporci dispositivi mobili (e magari anche qualche computer portatile) con tutti i servizi e le applicazioni ospitate su dei server. Prima che ce ne rendiamo conto avremmo delle macchine che monteranno solo il minimo indispensabile per permettere di connetterci ai server sui quali sono ospitate applicazioni e servizi.
LE DIVERSE OPINIONI – Il rischio insito nei servizi online e’ ben noto da tempo, c’e’ chi lo ignora, chi lo sottovaluta e chi lo ridicolizza, qualcuno lo denunciava. Il tempo dira’ chi aveva ragione e chi torto.
Sul Guardian il 29 Settembre del 2008 apparve un articolo – in cui venivano riportate dichiarazioni molto dure contro il cloud computing espresse da Richard Stallman – dal titolo esplicito “Cloud computing is a trap, warns GNU founder Richard Stallman“.
In sostanza RMS dice che il concetto stesso di utilizzare dei servizi online:
“It’s stupidity. It’s worse than stupidity: it’s a marketing hype campaign, [...] Somebody is saying this is inevitable – and whenever you hear somebody saying that, it’s very likely to be a set of businesses campaigning to make it true. [...] One reason you should not use web applications to do your computing is that you lose control, [...] It’s just as bad as using a proprietary program. Do your own computing on your own computer with your copy of a freedom-respecting program. If you use a proprietary program or somebody else’s web server, you’re defenceless. You’re putty in the hands of whoever developed that software.”
Il giorno dopo risponde Ryan Paul su Arstechnica con un articolo intitolato “Why Stallman is wrong when he calls cloud computing stupid“, nel quale scrive:
“The negative characteristics of cloud computing that Stallman identifies are very real, but the solution that he prescribes seems grossly myopic and counterintuitive. The lack of seamless interoperability between mainstream web applications imposes barriers that limit data portability. Much like proprietary file formats on the desktop, the lack of data portability in closed-web ecosystems creates the potential for vendor lock-in and reduces the amount of control that users have over their own data. Many web applications also have restrictive terms of service that require users to cede some rights to their own data so that it can be exploited by the application providers for invasive advertising or other purposes.
Stallman correctly recognizes those problems, but his belief that the problems are intractable is simply wrong. The open source software movement has found productive ways to address the same kind of problems on the desktop, and I’m confident that reasonable solutions can be found to bring the same level of freedom to the cloud. The challenges posed by new computing paradigms will require the open source software community to evolve and adapt, not collectively stick its head in the sand.”
In questa analisi a mio avviso viene trattato con superficialita’ un fattore importantissimo, evidenziato invece qualche mese prima da Tim O’Reilly in un articolo intitolato “Open Source and Cloud Computing“, nel quale scriveva:
“In essays like The Open Source Paradigm Shift and What is Web 2.0?, I argued that the success of the internet as a non-proprietary platform built largely on commodity open source software could lead to a new kind of proprietary lock-in in the cloud. What good are free and open source licenses, all based on the act of software distribution, when software is no longer distributed but merely performed on the global network stage? How can we preserve freedom to innovate when the competitive advantage of online players comes from massive databases created via user contribution, which literally get better the more people use them, raising seemingly insuperable barriers to new competition?”
L’articolo pur evidenziando il problema e’ ottimista e conclude cosi’:
“In short, we’re a long way from having all the answers, but we’re getting there. Despite all the possibilities for lock-in that we see with Web 2.0 and cloud computing, I believe that the benefits of openness and interoperability will eventually prevail, and we’ll see a system made up of cooperating programs that aren’t all owned by the same company, an internet platform, that, like Linux on the commodity PC architecture, is assembled from the work of thousands. Those who are skeptical of the idea of the internet operating system argue that we’re missing the kinds of control layers that characterize a true operating system. I like to remind them that much of the software that is today assembled into a Linux system already existed before Linus wrote the kernel. Like LA, 72 suburbs in search of a city, today’s web is 72 subsystems in search of an operating system kernel. When we finally get that kernel, it had better be open source.”
Anche lui a mio avviso manca un punto fondamentale. Anzi piu’ di uno. Ma di questo scrivero’ tra poco. A guardare la passione che IBM, Google, Intel e altri giganti (compresa Microsoft) stanno mettendo nello sviluppare e utilizzare l’Open Source si potrebbe pensare che avesse ragione Tim O’Reilly e Ryan Paul. Ma e’ veramente cosi’? Due anni prima lo stesso O’Reilly disse che le licenze Open Source sono obsolete, che internet con i suoi servizi e le applicazioni online rendevano necessarie nuove licenze. Il motivo e’ semplice. Se l’applicazione e’ su un server l’utente non puo’ verificarne il codice sorgente, non puo’ modificare l’applicazione e neppure usarla per scopi diversi. Anche nel caso in cui il codice sorgente di quell’applicazione fosse distribuito, o addirittura fosse scritto dalla comunita’, chi ci assicura che, ai programmi scritti da migliaia di persone della comunita’ FOSS le varie societa’ che poi li utilizzano per offrire servizi online, non aggiungano qualcosa di cui tutti noi siamo all’oscuro? Come sara’ possibile verificare che il sorgente dell’applicazione online che stiamo utilizzando corrisponda al sorgente che noi o altri hanno visionato e reputato sicuro e non lesivo della nostra privacy e/o della nostra sicurezza? Inoltre i nostri dati, i nostri file, ospitati su server, quanto saranno al sicuro? E con “al sicuro” non intendo solo da catastrofi che li cancellino, ma da manomissioni, accessi di cui non siamo a conoscenza, ecc.
Credo inoltre sia difficile che delle societa’ in concorrenza [1] tra loro sviluppino applicazioni che possano interagire tra loro (o per lo meno creino file gestibili dalle applicazioni della concorrenza), per lo piu’ si tratta di sismemi di cui le societa’ detengono i brevetti (e ne sono particolarmente gelose). Perche’ dovrebbero permettere a estranei di frugare le loro applicazioni per creare altri programmi in grado di leggere i file che creano? E’ uscito proprio pochi giorni fa un interessante articolo su The Economist dal titolo “The web’s new walls“, in cui c’e’ scritto:
“Second, companies are exerting greater control by building ‘walled gardens’ – an approach that appeared to have died out a decade ago. Facebook has its own closed, internal e-mail system, for example. Google has built a suite of integrated web-based services. Users of Apple’s mobile devices access many internet services through small downloadable software applications, or apps, rather than a web browser. By dictating which apps are allowed on its devices, Apple has become a gatekeeper. As apps spread to other mobile devices, and even cars and televisions, other firms will do so too.
Third, there are concerns that network operators looking for new sources of revenue will strike deals with content providers that will favour those websites prepared to pay up.”
questo implica tre cose, primo non c’e’ (ne’ ci sara’) quella interoperabilita’ sulla quale sperava Tim O’Reilly, secondo questi giganti cercano di non pestarsi i piedi a vicenda, ritagliandosi un proprio spazio nel mercato confinante con i concorrenti, ma senza intralciarsi piu’ di tanto. Rinchiudendo cosi’ gli utenti in queste gabbie dorate dove non ci sono ne’ i vantaggi dell’interoperabilita’, ne’ quelli della concorrenza. Nessuna liberta’ per l’utente, che puo’ si’ scegliere tra societa’ diverse, ma i cui servizi sono cosi’ differenti tra loro da non essere realmente alternativi. Infine il terzo punto richiama il tema della net neutrality che ho gia’ trattato (vedi “Google e Verizon insieme per o contro la Net Neutrality?” e “Cosa si nasconde dietro la proposta di Google e Verizon sulla network neutrality?“).
Per cercare di mettere una toppa a una parte delle nuove problematiche dovute ai servizi e le applicazioni online Marco Barulli e Richard Stallman fecero una proposta (trovate tutto in questo articolo: “AGPL: quando l’open source si fa 2.0“) l’uso per le applicazioni su server della licenza AGPL (Affero General Public License) e il paradigma zero-knowledge che permetta una maggiore tutela della privacy degli utenti.
Queste proposte che io sappia non sono state accettate, Google stessa pur rilasciando il codice sorgente di alcune sue applicazioni, nella licenza chiede all’utente di accettare la possibilita’ che Google modifichi all’improvviso l’applicazione.
A CHI IMPORTA DELLA PRIVACY – Stan Schroeder invece solleva un’altra critica alle frasi di Stallman contro il cloud computing, nell’articolo “If Web Apps are Evil, Why Do We Use Them?” scrive:
“The problem, however, is that Stallman doesn’t realize that some web apps are not easily replicable as desktop open source applications. [...] Of course, if you’re really serious about your privacy, you’ll probably stay away from web apps and do as Stallman advises. But you can’t call everyone else stupid simply because they’re using web apps; there are many flavors of web apps and many different ways to use them, and while I wouldn’t advise anyone to go head first and give all their private/sensitive data away without backuping it, I definitely cannot say that web applications should be avoided at all cost. As always, it’s a matter of making an informed decision and knowing all the upsides as well as the downsides.”
In effetti Stallman appartiene ad un’altra generazione [2] rispetto ai giovani d’oggi che magari sono meno “ossessionati” dalla privacy e la sacrificano volentieri in cambio della comodita’. Ma siamo sicuri che i minorenni (ma anche i maggiorenni) conoscano veramente le possibili conseguenze del rendere pubblici i loro dati? Il CEO di Google Eric Schmidt ha recentemente dichiarato che in un futuro non troppo lontano i bambini e i ragazzi crescendo dovrebbero cambiare nome, in modo da non essere perseguitati dal proprio passato sul web. Pensiamo inoltre che i problemi di privacy di oggi ci sembreranno ridicoli di fronte ai problemi di privacy di domani. Ad esempio, il progetto di Google (ma non solo) e’ quello di passare da una conoscenza di gruppo (o meglio categoria) dei suoi utenti a una conoscenza individuale. Significa che se oggi Google ci divide in gruppi (per le ricerche, le pubblicita’ ecc.), un domani ci offrira’ servizi mirati proprio alle conoscenze che ha di noi, noi come NOME COGNOME
. Ovviamente non e’ solo Google che punta all’analisi dei target individuali.
Anche se a molti puo’ sembrare ridicola o ossessiva questa paura per la propria privacy, bisogna pensare che le perdita della privacy ci rende vulnerabili. Forse non oggi, forse non domani, e forse mai, ma qualcuno un giorno potrebbe voler fare un’obbiezione, una protesta, un reclamo, e dall’altra parte potrebbero sventolargli sotto gli occhi un archivio. Detta cosi’ sembra ancor piu’ da paranoici, ma ci siamo capiti. Certo, dipende dal valore che diamo alla nostra privacy, ricordate pero’ che se a voi non importa nulla della vostra privacy, alle societa’ che con i vostri dati guadagnano (pubblicita’ e chissa’ cos’altro) la vostra privacy importa eccome, loro si che le danno il giusto valore, quello economico. Sicuri di voler lasciare a loro il compito di valutare la vostra privacy?
Inoltre l’espandersi dei servizi online incita i Governi ad attuare il loro vecchio vizio del controllo sui propri cittadini. I fornitori di servizi online – che con i Governi o grazie alle loro autorizzazioni fanno affari in un Paese – sono proni ad accontentare le richieste dei Governi, anche le piu’ liberticide. Per ora fanno piu’ notizia le richieste pesanti da parte di Paesi in cui la democrazia lascia a desiderare, Cina, India, Emirati Arabi. Ma quanto ci vorra’ perche’ avvenga anche nei Paesi cosiddetti democratici? Sta’ gia’ avvenendo, ma subdolamente (o velatamente), per non creare allarme, guardate questa mappa (incompleta) delle richieste da parte dei Governi a Google e YouTube.
© Google: mappa mondiale delle richieste di dati da parte dei Governi
LA LIBERTA’ REGALATA – Inoltre la privacy non e’ l’unico problema. Il software libero e’ nato come reazione al fatto che se e’ vero che la tecnologia puo’ darti maggiori liberta’, e’ anche vero che puo’ togliertela. Il software proprietario toglie liberta’, perche’ l’utente non ne ha il controllo, e’ il proprietario del software ad averne il controllo. E controllando il software controlla anche l’utente. Esiste ancora il software proprietario, ma con un po’ di buona volonta’, qualche sacrificio e un po’ di entusiasmo possiamo non usarlo, utilizzando totalmente software libero. Quindi esiste ancora la minaccia del software proprietario, ma col software libero ci possiamo proteggere.
Adesso invece c’e’ una nuova minaccia, il Software as a Service (SaaS). Sono strumenti che come i software proprietari minacciano la nostra liberta’, per i motivi che ho scritto prima non possiamo essere certi di come funzionino e di cosa facciano. Sono applicazioni controllate dalla societa’ che le possiede e anche noi che li usiamo veniamo controllati da loro. Inoltre sono piu’ subdoli dei software proprietari, perche’ li possiamo usare anche sui nostri sistemi operativi liberi, dandoci l’illusione di non usare software proprietario. Quando si tratta di applicazioni open source, pur non avendo la garanzia che l’applicazione corrisponda al sorgende che viene reso disponibile, resta l’illusione di poter controllare l’applicazione. In realta’ non e’ cosi’ (in questi casi e’ ancor piu’ evidente la differenza tra software libero ed open source). L’applicazione e’ su un server a cui non abbiamo accesso diretto, non possiamo controllare cosa faccia l’applicazione ne’ come funzioni.
SEDOTTI E ABBANDONATI – Mi e’ capitato piu’ volte di leggere in giro commenti di persone che non usano un certo software libero per paura che il progetto venga abbandonato. Eppure usano servizi offerti da startup che domani potrebbero chiudere, o essere vendute e quel servizio abbandonato o reso a pagamento. E lo stesso problema non lo si ha solo con le startup. Sul Guardian due anni fa venne pubblicato un articolo che racconta le conseguenze di vedersi l’account disabilitato da Google (senza andare lontano, da poco e’ successo anche al Picchio), ma non sono meno gravi le conseguenze di vedersi l’account disabilitato da YouTube. Cosa succede se abbiamo documenti importanti che non possiamo piu’ raggiungere a causa della sospensione del nostro account? Certo, e’ colpa nostra che non conserviamo copie di riserva, ma i servizi online puntano proprio a darci l’illusione dell’inutilita’ di avere i file nel nostro hard disk (e lo fanno per un motivo ben preciso).
LA GABBIA DORATA – Allora rinunciamo alla privacy (di cui non ci importa nulla), rinunciamo alla liberta’ (credendo di non perderla), ma per cosa? Per “qualche applicazione web che non e’ facilmente replicabile come software libero per il desktop“? Ma veramente privacy e liberta’ valgono cosi’ poco? Allora attirati da servizi gratuiti che non possiamo avere sul nostro desktop ma solo su un server di una societa’ X
, finiamo in una gabbia dorata, nell’illusione di essere liberi.
Eppure l’alternativa e’ a portata di mano, la indica Eben Moglen:
“if we could disaggregate the logs, while providing the people all of the same features, we would have a Pareto-superior outcome. Everybody – well, except Mr Zuckenberg – would be better off, and nobody would be worse off. And we can do that using existing stuff.”
INCOMPRENSIONE O VALORI DIVERSI? – Pur esistendo un’alternativa in grado di soddisfare i bisogni di privacy e liberta’ degli utenti e la necessita’ di fornire servizi (e guadagnarci su in vari modi) delle societa’, questa non viene presa in considerazione. Forse anche a causa di una sottovalutazione, o meglio non comprensione dei temi sollevati da Stallman, Moglen e pochi altri. Cosi’ pochi giorni fa e’ stato pubblicato un articolo di Sonia Arrison intitolato “Cloud Computing Calms Open Source Warfare“, in cui l’autrice scrive:
“Richard Stallman, founder of the Free Software Foundation, has been widely cited arguing that cloud computing is a trap to be avoided because, he thinks, it leads to a loss of freedom and control. Such comments are an unnecessary throwback to a time when some individuals got great pleasure out of bashing big companies that were not as cooperative as they could have been.”
Secondo l’autrice dunque siccome Microsoft, IBM, Intel, Google e altre collaborano con l’Open Source, dovremmo tutti starcene buoni e zitti, usare i loro prodotti ed essere felici. Ma capiamo l’incomprensione leggendo oltre:
“The landscape today is different, and it seems clear that the industry is moving from a software-based approach to a services-based approach, making the market much more competitive.”
I servizi offerti su cosa si poggiano? Su applicazioni ovviamente, e il fatto che siano in concorrenza tra loro (e ho spiegato prima che e’ una concorrenza limitata) non le rende piu’ libere, semplicemente da all’utente l’illusione di essere libero solo perche’ puo’ scegliere tra piu’ societa’. E cosa dice l’autrice di questo articolo sul rischio che gli utenti vengano tenuti prigionieri dalla societa’?
“Since being locked-in to any cloud computing structure is a huge worry for businesses wary of making the switch from their in-house systems, data portability is critical for the cloud industry to succeed, Microsoft’s Gupta stressed.
To that end, Microsoft offers customers the ability to take their data on a hard disk anytime they wish, said Gupta.
It’s tough to argue that control is lost when it’s so easy to walk away.”
Dunque siccome posso chiedere i miei file (senza la garanzia che questi vengano cancellati dal server) allora non esiste il rischio di essere imprigionati? Chi mi garantisce che quei file siano in un formato riconosciuto e accetato (senza perdite di informazioni) dalle applicazioni dei concorrenti o da quelle installate nel mio computer? E altri interrogativi.
Ed ecco come conclude l’autrice:
“One legitimate worry about cloud computing is data security. When data is in the cloud, there is the risk that an attack on one group in the cloud will affect others.
On this point, companies will fiercely compete to keep customers because, as Gupta noted, “having an application that’s never down” is extremely important.
Over time, it will become clear which cloud providers offer the best service. What is clear already is that it doesn’t matter so much what software is used to build each cloud, as what kind of service is provided. Open source and proprietary software are working together to create value in the cloud, bringing peace where animosity was once the rule.”
La chiusura ci fa capire due cose, la prima e’ che quest’articolo sembra una pubblicita’ per Microsoft (ma va bene, libera di farlo), la seconda e’ che l’autrice non ha capito nulla delle dichiarazioni di Stallman, o non condivide per nulla i valori del software libero, visto che a lei non importa se il software e’ libero o proprietario, purche’ il servizio sia bello. Inoltre ritroviamo il messaggio ricorrente di come i nostri dati sul server siano al sicuro, piu’ al sicuro che nel nostro hard disk. Dunque perche’ conservarne una copia?
A poco a poco ci convinceranno dell’inutilita’ di conservare i dati sul nostro hard disk, e avendo i nostri file sui loro server cominceranno a mettere le sbarre verticali, rendendoci scomodo “migrare” verso altri servizi o tornare ai software nel nostro computer. Poi ci convinceranno dell’inutilita’ di far girare i programmi sul nostro hard disk, meglio sul server, tanto sono software di societa’ che collaborano col mondo del FOSS [3] a questo punto la gabbia dorata ci avra’ imprigionati, e potranno fare quello che li pare, con i nostri dati e con noi. Ma saremo felici, perche’ il servizio e’ bello. Sarebbe inoltre interessante capire se e come questi strumenti cambiano le nostra vita e il modo in cui approcciamo la tecnologia e la comunicazione. Insomma, cosa si nasconde nell’altra faccia della medaglia della semplificazione?
Dobbiamo avere tutti piu’ consapevolezza delle conseguenze delle nostre scelte, ponderare le nostre decisioni, non prenderle alla leggera, illusi dalla semplicita’ con cui ci si iscrive ad un servizio e lo si usa. Una volta riflettuto sul da farsi prendete la decisione che volete, ma assumetevi la responsabilita’ delle vostre scelte, qualunque esse siano.
Approfondimenti:
- GigaOM – Can Open Source Be Saved From Itself?
- SFLC – Highlights of Eben Moglen’s Freedom in the Cloud Talk
- GNU – Who does that server really serve?
- Mashable – Are We Too Complacent About Cloud Computing? [VIDEO]
- ReadWriteCloud – No Crackdown but Questions in Europe About Data Protection and the Cloud
- The Economist – Untangling the social web
[1] In un mercato gia’ oggi nella pratica oligopolistico – e che sempre piu’ diverra’ oligopolistico (soprattutto se vengono legalizzati gli accordi tra gli ISP e chi fornisce i servizi e i contenuti su internet – e’ ridicolo parlare di concorrenza, le poche grandi societa’ cercheranno taciti accordi tra loro per non ostacolarsi a vicenda. Il mercato e’ abbastanza ricco da permettere a tutti i pochi giganti di mangiare a sazieta’. [↩]
[2] Questo aprirebbe un ampio discorso sulle difficolta’ di trovare un ricambio generazionale all’interno del movimento del software libero, alcune interessanti riflessioni le trovate qui. [↩]
[3] Non so se l’avete notato, ma questa cosa sta’ diventando una sorta di carta bianca che permette/perdona tutto alla societa’ X solo perche’ collabora con l’open source. Dico io, diamole il merito, ma non nascondiamone i demeriti. [↩]