Tortuga, attenta lettrice di questo blog, ha inserito due importanti commenti sul caso dei cibergabibbo di Avaaz, in risposta al messaggio che ci ha scritto il signor Oliver MacColl, megadirettore planetario delle campagne di Avaaz.
Quelle di Tortuga sono riflessioni di natura tecnica, e quindi nessuno è obbligato a leggerle per intero. Ma sono molto interessanti per chiunque intenda studiare la vera natura di un organismo virtuale come Avaaz e i suoi confratelli dai “milioni di membri”.
Il succo del discorso è che:
1) non è vero che Avaaz fa il possibile per evitare che le sue petizioni contengano firme false
2) “Ciò è voluto, perché è fondamentale che scorrano i numeri e le firme sul display che mostra il “successo” che la petizione sta avendo, successo a cui ci si “può” aggregare.
Questo è uno stimolo elementare:
sta avendo successo, se firmo anche io, questo successo sarà anche mio.”
Il reato lo stanno – eventualmente – commettendo loro a cominciare dallo sfruttamento della credulità popolare.”
Ma ecco cosa scrive Tortuga (ricordatevi che il suo intervento era un semplice commento a caldo sul blog, e quindi non tutti i riferimenti vengono spiegati in dettaglio).
Per quanto riguarda il denaro: ormai anche molti che non lavorano nel settore informatico hanno familiarità con il pannello di controllo di un blog o di un forum.
Sappiamo che:
1) la maggior parte dei contatori fornisce dati inesatti allo scopo di creare una illusione di visibilità che incentiva a investire tempo nel web (shinystat è uno dei pochi abbastanza affidabili)
2) è vero che gli IP consentono di identificare il computer da cui parte una operazione, ma non a tutti, e non so quale permesso speciale dovrebbero avere questi signori per poter vedere le ultime tre cifre degli IP, ma è anche vero che esistono la navigazione anonima, i proxy, gli IP mobili, i dispositivi mobili, gli internet point, e chi più ne ha più ne metta.
3) lo stesso gestore di shinystat ci fornisce anche un efficace servizio di localizzazione geografica il cui uso permetterebbe di escludere le firme effettuate in un paese e dichiarate in un altro.
3) la pagina da cui abbiamo fatto partire le firme avrebbe potuto rilevare facilmente ed inibire quelle doppie semplicemente se fosse stato obbligatorio registrarsi alla piattaforma “prima” di votare, cosa che consente ad un programma gestito ad esempio con php di interagire più efficacemente con l’utente e controllare meglio le sue attività.
4) filtri estremamente semplici avrebbero consentito facilmente di inibire la firma al signor Padre Pio
5) filtri altrettanto semplici avrebbero consentito facilmente di rifiutare estensioni e.mail come pippo@pluto.PUF (dove il dato che dovrebbe creare allarme è il puf, ed altri di vario tipo più assurdi possibile che sono stati inseriti, comprese estensioni a più di tre caratteri).
Il tutto non risolve il problema della falsità intrinseca di qualunque operazione si svolga solo ed esclusivamente in via telematica senza un reale contatto con il territorio.
Sto conducendo un esperimento telematico da poco più di un anno, dal quale risulta evidente che quando alle persone viene richiesto di fornire il proprio nominativo autentico, di esporsi con quello, e rischiano di essere scoperte, difficilmente si espongono telematicamente, il ché significa “partecipazione zero!”.
Si potrebbe continuare con le osservazioni, ma abbiamo visto tutti come il contatore e i nomignoli divertenti scorrevano.
Quello che è vero è che sono state fornite numerose informazioni a questi signori per “difendersi” ed “inibire” le firme false.
Ma quello che è ancora più vero è che questi signori NON HANNO SPESO UNA LIRA per quel programma e che uno studente del primo anno di informatica di una delle nostre università saprebbe fare molto meglio con poche ore di lavoro, ma mi sa che questa è gente che non ha neanche voglia di lavorare.
Tutto è giocato sull’illusione e sul far credere, ed anche sul far credere che qualcuno ci crede (esattamente come il miracolo della madonna di turno).
Bisognerebbe dire al signor MacColl che “accà nisciun’è fess” e “mica ciavemo l’anelli ar naso”.
Non vi parlo di alcuni messaggio su FB che danno luogo a catene e che utilizzano lo stesso linguaggio delle e.mail che Avaaz invia, come “qualcosa che mi sta molto a cuore” e “avere successo”, per non andare troppo fuori tema.
Io ho spesso alterato volutamente le estensioni, proprio per evitare che giungessero delle “e.mail automatiche di ringraziamento con richiesta di conferma” a qualcuno che avesse avuto la malaugurata idea di usare un indirizzo di fantasia simili a quelli da me inventati tipo bellafiga @ gmail.com, e sono arrivata ad alterare di molto quelle estensioni per vedere in che punto e modo, con quali criteri, fosse stato settato il sistema per emettere una “finestra di allarme”.
Abbiamo semplicemente eseguito un COLLAUDO del sistema, e questi signori ci dovrebbe anche retribuire 😀 , invece di definire qualcuno criminale. Vergogna! Ingrati! 😀
Ora, sapendo che sono stati tanati e dove, potranno porre rimedio e dopo averlo posto potranno dire che qui si è detto il falso. In tal modo non hanno dovuto pagare qualcuno che lavorasse. Abbiamo lavorato gratis per loro ed in tal modo li abbiamo beneficiati.
Esiste questa tecnica di volgere a proprio vantaggio azioni critiche.
Comunque, così ho verificato che non è stato settato un granché e che assai poco viene verificato, non vi è quasi nessun primo filtro automatico, nulla viene rimosso a fronte di mancate conferme degli indirizzi via e.mail.
Ciò è voluto, perché è fondamentale che scorrano i numeri e le firme sul display che mostra il “successo” che la petizione sta avendo, successo a cui ci si “può” aggregare.
Questo è uno stimolo elementare:
sta avendo successo, se firmo anche io, questo successo sarà anche mio.
Spesso non ho messo i cap, oppure ho messo cap italiani su stati esteri, oppure ho messo lo stesso cap alterato tipo 98765 a più località diverse.
Ho anche forzato due volte l’accettazione ed il nominativo, è stato accettato. Si tratta delle uniche due volte in cui è comparsa una finestra di allarme interattiva.
Le uniche due finestre di allarme, infatti, sono comparse quando ho errato un gmail e un yahoo, scrivendo ad esempio nel secondo caso “yahho”. Solo allora una finestrella mi ha chiesto se volevo correggere, ho risposto di no, che doveva accettare così, ed ha accettato la grafia errata.
E’ successo quasi all’inizio, e quindi da quel momento ho testato proprio il lato e.mail, in particolare l’estensione, perché è da lì che si capisce se vengono effettuati o meno controlli e di che tipo.
Non è stato invece rifiutato nessun inserimento.
Non avevo effettuato screen shot, ora ne ho uno con email quququ at illa.bot austria, o at testdi.cazz italia (volutamente volgare non per fare volgarità, ma per essere abbastanza sicuri di non sovrapporsi ad un indirizzo vero), ovviamente su altra petizione.
Tutti i miei inserimenti sulla nostra sono passati, erano circa 22-24, se non ricordo male, e sono nella lista che ha pubblicato Miguel, tranne forse uno o due inseriti dopo.
Filtri inesistenti voluti, infatti l’importante era che Miguel credesse di aver ricevuto molte adesioni. Non importa se Avaaz sapesse, si fosse accorto o meno, e poiché non importa, non serve spendere denaro per settare un sistema veramente funzionante. Servono, sono utili, anche i troll.
Avaaz doveva truffare Miguel, non poteva dirgli: guarda che un imbecille sta inserendo email palesemente inesistenti. Doveva dirgli: stai avendo successo.
Quello che ad Avaaz interessa è mettere in campo molto, non disincentivare niente e nessuno, creare una ampissima partecipazione e molto movimento a costo zero.
Solo sui grandi numeri si può verificare il caso che, senza far nulla, senza spendere denaro, ci si possa attribuire poi il merito di aver fatto qualcosa.
Quando?
Quando per coincidenza una petizione che non è stata Avaaz a pensare, si dovesse affermare, Avaaz dirà di averla “sostenuta” attribuendosene il merito per il solo fatto di aver messo a disposizione una “macchinetta”, un trik&trak telematico per raccogliere delle digitazioni.
Ciò che è importante è che si parli di Avaaz, perché diventi protagonista.
Ciò dovrebbe ricordare qualcosa e l’operato di qualcuno.
Su centinaia di migliaia di persone che ogni giorno vanno nel mondo ad un pellegrinaggio in un luogo santo di guarigione, avverrà una guarigione spontanea.
Si potrà così gridare al miracolo e raccoglierne i benefici diventandone in qualche modo protagonisti.
Un lavoro fatto bene si potrebbe fare, ma non è stato fatto. Sarebbe “troppo costoso”.
Si lavorerà solo sulle petizioni che raggiungeranno condizioni da poter essere utilizzate a proprio vantaggio.
Solo una volta ogni tanto, quindi, ci si troverà a dover analizzare migliaia di firme, se veramente utile e necessario.
Profitto massimo, lavoro zero.
Un sistema ben fatto dovrebbe invece accettare firme solo dagli utenti registrati. La massima libertà consente invece di raccogliere indirizzi e.mail che diversamente non si raccoglierebbero.
In questa fase non è molto importante filtrare.
Ovviamente tutti sappiamo che tutti questi strumenti telematici e queste iniziative non sono altro che azioni di raccolta dati a scopo di acquisizione di informazioni su attività e cittadini stranieri che, eventualmente, potranno essere rivendute, ai nostri stessi stati, servizi di sicurezza o a chissà chi e per chissà quale scopo.
Un ultima cosa. I nostri indirizzi IP avrebbero dovuto essere ormai già stati acquisiti e avrebbe potuto scattare qualche provvedimento, come l’inibizione a firmare altre petizioni.
Ma non fa parte del gioco neppure disincentivare i click.
Ogni click porta infatti Avaaz più su nei motori di ricerca e non può andarne sprecato neppure uno.
Benché definiti soggetti che hanno “potenzialmente commesso un reato” (a.k.a. crimine che ci fa criminali) non possiamo semplicemente essere disabilitati all’uso di Avaaz, possiamo sempre servire in qualche modo che non si sa (ancora).
D’altronde ben lo sanno gli americani che sono un popolo figlio dei nostri avanzi di galera che, a quanto pare, non è riuscito a redimersi.
In un certo senso devo dire che il signor MacColl e i suoi amici mi fanno un poco di tenerezza.
Riporto la sua frase:
“In questo caso alcune persone hanno usato l’indirizzo email di altre persone per firmare questa petizione, potenzialmente commettendo un reato. Come molti altri siti, Avaaz non può prevenire al 100% i crimini. ”
Truffare facendo credere cose che non sono non è forse un crimine?
2) è vero che gli IP consentono di identificare il computer da cui parte una operazione, ma non a tutti, e non so quale permesso speciale dovrebbero avere questi signori per poter vedere le ultime tre cifre degli IP, ma è anche vero che esistono la navigazione anonima, i proxy, gli IP mobili, i dispositivi mobili, gli internet point, e chi più ne ha più ne metta.
————–
No in verita’ vedere l’ip completo e’ abbastanza facile. Forse Shinystat oscura le ultime cifre nella versione free per poi farsi pagare per mostrarle.
Nella versione free di Statcounter, per esempio, le ultime cifre si vedono.
Zhong
Stessa cosa dicasi con Histats.
Ho appena controllato (ammesso di potermi fidare, ma credo di sì visto che posso tracciare me stesso quando visito il mio sito).
Quando una persona visita un sito lo fa con un indirizzo IP pubblico, solitamente; che poi il computer sia all’interno di una enorme rete interna non si evince dal solo IP.
Bene, in questo caso, avaaz mi ha permesso di inserire più di 20 firme dallo stesso ip senza “intervenire” in alcun modo e, soprattutto inviando a Miguel tutte e 20 le sottoscrizioni.
Credo che il fatto peggiori di molto la posizione del signore che ci scrive 😉
L’unica volta che mi ha fermata Avz è stata quando ho scritto due volte lo stesso indirizzo, per sbaglio. Messaggio tipo, “questo indirizzo è già stato registrato…”. Comunque ho cambiato IP e cancellato i loro cookies tra una firma e l’altra. E anche cambiato browser nella misura del possibile.
Ovviamente; le rettifica non era certo a favore di avaAZZ.
Anche se non bisogna escludere che se io invito 20 persone ad una festa, facendo conoscere quanto siano bravi e belli gli avaazelli, nulla vieta loro di firmare tutte dal mio computer_IP in stretta sequenza… e da qui torniamo infatti al suggerito sistema di iscrizione, che è efficace più che altro in quanto molta gente non ha voglia di creare un account per un servizio che le susciti un interesse pressoché nullo.
Ma certo. Vi sono molte persone che possono vivere per diversi motivi in comunità anche numerse con un unico pc.
Così come è possibile che i membri stabili di avaaz conoscano molto più di noi i bug del sistema e, per esempio, possano essersi accordati per contrassegnare tutte le firme false da loro inserite con un una particolare estensione e.mail, in modo da renderle facilmente rimuovibili qualora fosse necessario farlo.
Proprio per questi e altri motivi, non si vota telematicamente, ma si va a votare in una sede elettorale, di persona, presentando un documento di identità 😉 Ed esistono commissioni di persone con compiti di sorveglianza.
N’est pas?
Eppure sappiamo che tutto ciò non è ancora sufficiente 😉
Oppure, posso ritirare referti ematici emessi da diversi ospedali ormai per via telematica, e lo posso fare da qualsiasi pc. Ma dispongo di un codice cartaceo che mi è stato consegnato manualmente e di persona.
Posso iscrivermi a qualcosa telematicamente e ricevere un cartaceo con una password (ovviamente costa qualcosa o a me o all’erogatore del servizio).
Se lo strumento che si ha a disposizione, ovvero “il solo rapporto telematico”, non è in grado di svolgere dei compiti in modo affidabile, perché affidarglierli?
E’ un po’ come bere con una cannuccia inspirando il liquido da una narice, si tratta cioè di abuso (uso errato) di uno strumento.
Quando non si dispone di strumenti adeguati per raggiungere obiettivi legittimi, si usano strumenti inadeguati per perseguire obiettivi illegittimi.
Come diceva la Gialappas: “pagati per mentire”.
Continuando con il nostro lavoro gratuito di aiuto tecnico ad Avaaz… dopo ogni firma, mi appariva un’estensione alfanumerica dopo l’URL. Che io cancellavo con un clic.
Ha rifiutato la firma delle Pussy Riot, tutte le altre le ha accettate senza eccezioni.
Insomma, riassumendo “for dummies” come il sottoscritto:
Avaaz ha annusato che qualcosa non andava bene, ma per farcelo arrivare gliene abbiamo dovute fare proprio di tutti i colori; altrimenti non si sarebbe accorto di niente, perchè i suoi criteri di sicurezza e “autenticità” sono estremamente e forse volutamente elastici.
Di questo mi sono accorto anche io, facendo una sola firma su Avaaz, con il cap italiano ma attribuita a un altro Stato, per la quale non mi è stata chiesta alcuna conferma (o forse è stata chiesta all’indirizzo fasullo?) e che comunque è apparsa tra le altre firme.
D’altra parte, mi è capitato di firmare su Firmiamo.it e mi pare che i criteri fossero più seri e restrittivi (o forse ho solo inserito l’indirizzo vero, di cui comunque mi si chiede la riconferma a ogni firma…)
http://verbo.se/dont-sign-avaazorg-petitions
La riflessione che mi e’ sorta e’ la seguente:
quello che secondo me e’ tremendo e’ come tutto sia basato sull’illusione. Qualcosa che mi ricorda il rating che fa cadere i governi…
Ho lavorato per grandi compagnie in Italia e lo faccio qui in Inghilterra, in entrambi i casi la cosa piu’ importante sono i numeri, viene calcolato un coeffieciente di soddisfazione della clientela che decide del futuro di dirigenti e filiali.
Il modo in cui questi dati vengono raccolti lascia perplessi. Innanztitutto tramite interviste ai clienti, il problema e’ il numero delle interviste. Se due clienti uno e’ soddisfatto e uno no ho un dato positivo del 50%, ed un 50% ottenuto con due interviste e’ ben diverso da un 50% ottenuto con 100 interviste. Tuttavia nelle aziende conta il dato, brutalmente. Quindi se una filiale, ufficio ipoteticamente viene gudicata da due persone ed entrambe sono insoddisfatte e se la cose si ripetesse per ogni periodo di tempo stabilito secondo l’azienda quella filiale, ufficio, ecc sarebbe da chiudere.
Vi e’ poi il problema dei filtri, come vengono decisi le modalita’ di raccolta dei dati? Viene garantito un numero minimo di interviste o viene fatta una somma magari a fine anno? Magari si ma questo non passa ai dipendenti. Al dipendente arriva il dato brutale.
E chi raccoglie questi dati? Agenzie esterne oggettive o agenzie collegate e amiche?
Il tutto per dire che viviamo in un contesto dove le aziende basano la propria credibilita’ su dati alquanto dubbi e ricavati da loro stesse.
Lascio perdere la tristezza italiana dove ogni livello fa di tutto per presentare al livello superiore i dati che vengono richiesti col risultato di incredibili variazioni tra la base e il vertice. Tuttavia, anche se piu’ onestamente, qui in UK i dati sono onnipresenti e ogni pubblicita’ riporta percentuali di soddisfazione, riuscita, ecc
Viviamo in un mondo fittizio
Pingback: Il caso Avaaz: la nostra replica ad Oliver MacColl | Kelebek Blog
Mentre aspetto che arrivi una pizza mi sono divertita a rimettere in ordine tutte le estensioni di dominio possibili per un indirizzo e.mail che usi caratteri latini.
Ho messo in evidenza i più conosciuti, e più che in ordine alfabetico ho ordinato per numero caratteri. Ho lasciato da parte i domini regionali e provinciali che non sono molti.
Ho preso il tutto da qui http://www.dominiando.it/domini/registrazione.html
dove vi potete divertire anche voi ad esaminare tutto quanto è presente.
Potete esaminare il tutto ordinato in vario modo, compreso per ordine alfabetico della nazione cui un certo dominio appartiene se non rientra fra i generici.
Quindi, così come nel compilare il form di avaaz non era possibile scrivere nel campo “nazione” una nazione inventata, ma era necessario scegliere in una “finestrella” di opzioni predefinite, si poteva e doveva fare la stessa cosa anche per i domini.
Per inserire dunque una e.mail immediatamente riconoscibile come falsa, ma senza correre il rischio di clonare indirizzi esistenti, non era necessario – mannaggia alla mia pigrizia! 😉 – inventare indirizziparolaccia che nessuno utilizzerebbe, basta inventare estensioni di dominio diverse da quelle esistenti ed in uso, quindi diverse dalle seguenti, e non è difficile.
it
eu
ac
ae
af
ag
ai
al
am
as
at
aw
az
ba
bb
be
bg
bi
bj
bo
bs
by
bz
ca
cc
cd
cg
ch
cl
cm
cn
co
cr
cu
cz
de
dj
dk
dm
do
dz
ec
ee
eg
es
eu
fi
fk
fm
fr
gd
ge
gf
gg
gi
gl
gm
gp
gr
gs
gw
gy
hk
hm
hn
hr
ht
hu
id
ie
im
in
io
ir
is
it
je
jo
jp
kg
ki
kn
kr
ky
kz
la
lc
li
lk
lt
lu
lv
ly
ma
mc
md
me
mg
mk
mn
mo
mq
mr
ms
mu
mw
mx
my
na
ne
nf
ni
nl
no
nu
pa
pe
ph
pk
pl
pm
pn
pr
ps
pt
qa
re
rf
ro
rs
ru
rw
sa
sb
sc
sd
se
sg
sh
si
sk
sl
sm
sn
so
sr
st
su
sy
tc
tf
tj
tk
tl
tm
tn
to
tv
tw
ua
ug
us
uy
uz
vc
vg
vn
wf
ws
yt
co.il
co.ke
co.ls
co.nz
co.om
co.th
co.tz
co.uk
co.ve
co.za
co.ck
or.ke
me.uk
tv.tr
com
net
org
pro
tel
biz
biz.tr
cat
xxx
web.tr
gen.tr
ltd.uk
biz.gh
com.gt
com.jm
com.lb
com.kw
com.lr
com.mt
com.ng
com.om
com.py
com.sv
com.tr
com.ve
com.ar
com.au
com.br
com.cy
com.fj
com.gh
net.jm
net.om
net.nz
net.tr
net.br
net.ck
net.fj
org.au
org.ng
org.il
org.ls
org.mt
org.om
org.uk
org.ck
org.fj
org.gh
info
info.tr
info.fj
jobs
mobi
mobi.ng
name
name.ng
coop
aero
asia
travel
emarat