Home
Kazaa senza spyware, troppo bello per essere vero?

23 Aprile 2002

Kazaa senza spyware, troppo bello per essere vero?

di

Kazaa è il nuovo re dei sistemi di scambio eredi di Napster, ma è pieno di programmi-spia che fanno inferocire gli utenti. Circolano versioni "decontaminate", pronte per l'uso, ma c'è da fidarsi?

Chi usa i programmi di scambio peer to peer come AudioGalaxy, Gnutella e Kazaa/Grokster è abituato al fatto che contengono adware e spyware: programmi parassiti che somministrano pubblicità o registrano le abitudini di navigazione per fini commerciali. La cosa, a dire il vero, non turba più di tanto la maggior parte degli utenti.

Non varcate quella soglia

Ma Kazaa ha scatenato la furia della comunità di Internet quando ha superato la sua soglia di tolleranza includendo nel proprio programma un “parassita” (o plug-in, per usare un termine meno polemico) di nome b3d Projector, prodotto dalla Brilliant Digital. Questo Projector fa ben altro che rifilare réclame e compilare statistiche di navigazione: era stato distribuito inizialmente dichiarando che si trattava di un plug-in per visualizzare filmati nel formato proprietario B3d, ma ora salta fuori che sfrutterà la potenza di calcolo dei processori degli utenti per effettuare elaborazioni distribuite non meglio precisate, nell’ambito di un progetto denominato Altnet.

L’irritazione degli utenti è comprensibile. Innanzi tutto, era stato dichiarato che il software faceva una cosa, ora si scopre che ne fa un’altra, e in genere questo è un chiaro sintomo di fregatura. In secondo luogo, con questo annuncio Kazaa ha ammesso, in sostanza, che è in grado di attivare a proprio piacimento funzioni dormienti nei PC in cui è stato installato il suo software. E se può attivare questa funzione e modificare quando le pare persino il Registro di Windows degli utenti (stando agli esperti di sicurezza di Interrorem), è inevitabile chiedersi chissà cos’altro può fare.

Infine c’è la questione del supercalcolatore virtuale creato da Altnet, la cui potenza di calcolo verrà rivenduta al miglior offerente; gli utenti verranno ricompensati con “punti” per comperare prodotti o servizi non ancora specificati. Anche quest’idea non è andata a genio: innanzi tutto gli utenti temono che rallenti i loro computer. Molti, inoltre, si chiedono esattamente che tipo di elaborazioni verranno svolte: rendering di animazioni digitali? Decodifica del genoma? Simulazioni di detonazioni nucleari per Saddam Hussein? Decrittazione di messaggi cifrati di governi stranieri? Non si sa, e il dubbio non tranquillizza. Sharman Networks ha pubblicato una serie di promesse in proposito, garantendo che Altnet verrà attivato soltanto con il consenso esplicito dei singoli utenti (opt-in) e che verrà dichiarato lo scopo di ogni elaborazione, ma è difficile fidarsi di chi ha già mentito così spudoratamente.

C’è poi la questione della vulnerabilità di tutti questi plug-in. Come descritto da Davide Pellegrino in un recente articolo per Apogeonline, il sistema di Brilliant Digital/Kazaa può fungere da piattaforma per attacchi informatici su vasta scala (denial of service) se un utente ostile prende il controllo di un server di Kazaa. In pratica, i computer degli utenti verrebbero sfruttati per sovraccaricare un sito scelto come bersaglio. Inquietante.

Yuri alla riscossa

La reazione degli utenti a tutta quest’arrogante invasione dei propri PC non si è fatta attendere. Si è scatenata una corsa alla “decontaminazione” di Kazaa, con un proliferare di discussioni nei newsgroup e di siti (come Zeropaid.com, Cexx.org e una mia guida spiccia e sporca) contenenti istruzioni su come rimuoverne le varie funzioni di adware e spyware e, soprattutto, il misterioso parassita Projector, soprattutto da quando si è scoperto che il celeberrimo Ad-Aware della Lavasoft fallisce con Kazaa.

Molte fonti offrono istruzioni per la rimozione manuale, che però è un’operazione piuttosto delicata e non alla portata di tutti. Di conseguenza, per chi non se la sente di crearsi un file hosts personalizzato o modificare le proprie configurazioni dei proxy sono nate soluzioni “chiavi in mano”: programmi che fanno tutto automaticamente, come B3D Killer (che rimuove i parassiti di Brilliant Digital) e soprattutto Kazaa Lite.

Kazaa Lite è una versione hackerata del software Kazaa, realizzata da un programmatore russo noto soltanto come “Yuri”, che sostituisce completamente il programma originale: invece di scaricare e installare Kazaa per poi modificarlo, basta installare direttamente Kazaa Lite. Una soluzione semplice, pratica e facile, anzi troppo: infatti, come racconta Wired.com, quelli della Sharman Networks non hanno gradito, dichiarando “difenderemo strenuamente i nostri diritti e agiremo contro chi presenta in modo ingannevole il nostro software. I consumatori vengono ingannati da codice scopiazzato e altamente sospetto, e siamo decisi a fare in modo che i loro diritti, il loro divertimento e i loro computer non vengano compromessi“.

Viene spontaneo chiedersi con che coraggio proprio Sharman Networks osi parlare di “codice sospetto“, di “presentare in modo ingannevole il nostro software” e di impedire che i computer degli utenti vengano compromessi, visto che si è macchiata di queste stesse colpe, ma è comunque un punto da ponderare.

Con Kazaa Lite, infatti, all’utente viene chiesto di fidarsi a scatola chiusa di un programma realizzato da chissà chi. Comprereste una bistecca da uno sconosciuto incontrato all’angolo di una strada? Appunto. Il codice sorgente di Kazaa Lite non è disponibile, per cui non c’è modo di sapere esattamente cosa fa e cosa contiene. Un discorso che vale, peraltro, anche per molto software commerciale, Windows in testa, ed è alla base della controversia fra Microsoft e fautori dell’open source.

In altre parole, c’è il rischio di passare dalla padella alla brace: Yuri potrebbe aver iniettato ogni sorta di funzioni nascoste (backdoor) da risvegliare al momento opportuno. Usare programmi di origini meno che cristalline non è mai stata una cosa saggia, e non vedo perché Kazaa Lite debba sottrarsi a questa regola soltanto perché ci offre proprio ciò che desideriamo. Caramelle da uno sconosciuto, insomma.

In secondo luogo, Sharman Networks ha perfettamente ragione su un punto: la scopiazzatura. Infatti Yuri ha creato Kazaa Lite partendo dal loro programma, e questa è una chiara violazione delle leggi che tutelano il software, oltre che una dimostrazione di hacking abbastanza scadente. Un vero hacker avrebbe analizzato i protocolli usati da Kazaa e scritto un programma client alternativo partendo da zero, pubblicandone poi il codice sorgente per dimostrarne la trasparenza.

Kazaa al contrattacco

Sharman Networks non si è limitata a discutibili annunci di rappresaglia legale. Ha capito che Kazaa Lite è un’alternativa così semplice da costituire una seria minaccia al proprio modello commerciale. Si è anche resa conto di aver commesso un peccato di superbia pensando di poter imporre agli utenti badilate di spyware senza avvisarli decentemente. Di conseguenza, ha rilasciato una nuova versione del programma Kazaa (la 1.6), che stando alle dichiarazioni ufficiali non contiene più spyware non rimovibile, ma ospita ancora Cydoor (un sottoprogramma che visualizza pubblicità) e il controverso software della Brilliant Digital, sia pure in forma meno occulta di prima.

La nuova versione di Kazaa è compatibile con la precedente 1.5.1, per cui non è indispensabile scaricarla: se avete già rimosso con successo lo spyware dalla vecchia versione, potete continuare a usarla senza problemi.

Il vero problema è per i nuovi utenti. Di chi fidarsi? Meglio installare il Kazaa originale, fidandosi delle promesse da marinaio di Sharman Networks, oppure optare per Kazaa Lite e mettersi nelle mani delle garanzie del misterioso Yuri?

È improbabile che Sharman decida di bloccare gli utenti che hanno la versione Lite, come temono in molti. Se Sharman lo facesse, infatti, dimostrerebbe chiaramente che il proprio sistema di scambio è in effetti dotato di un controllo centralizzato, cosa che invece Sharman ha sempre negato per vincere le cause legali promosse contro Kazaa. La RIAA e l’MPAA (le associazioni dei discografici e dei produttori televisivi e cinematografici statunitensi) non aspettano altro per mangiarsi Kazaa in un solo boccone, come hanno già fatto con Napster, Grokster e Morpheus.

Sharman potrebbe anche decidere di cambiare protocollo, rendendo Kazaa Lite incompatibile, ma questo sarebbe un grosso rischio: dovrebbe obbligare tutti gli utenti a scaricare l’ennesima nuova versione del proprio programma e durante il periodo di transizione il sistema di scambio sarebbe sostanzialmente spezzato in due, perché chi ha la versione vecchia non potrebbe scambiare file con chi ha quella nuova. Sarebbe comunque una tattica inutile, dato che Yuri (o chi per lui) ci metterebbe poco a creare una versione Lite aggiornata.

Un’altra strada sarebbe quella di perseguire legalmente i siti che distribuiscono Kazaa Lite, ma gli utenti potrebbero reagire distribuendo Kazaa Lite usando proprio (ironia della sorte) il circuito di Kazaa: basta mettere una copia del programma nella cartella che contiene gli altri file condivisi. Di conseguenza, in un modo o nell’altro Kazaa Lite avrà probabilmente vita piuttosto lunga, per cui è in effetti una scelta che vale la pena di considerare.

Alla fin della fiera, scegliere fra Kazaa e la sua variante Lite “decontaminata” è una questione di stile personale. Se siete amanti un po’ paranoici del fai da te e non vi fidate né di Yuri né di Sharman, come il sottoscritto, userete il Kazaa originale applicando manualmente le istruzioni di ripulitura disponibili in Rete e installandolo su un PC dedicato che non contiene dati personali o aziendali (ve l’avevo detto che sono paranoico). Se siete più fiduciosi nel prossimo, vi consiglio il Kazaa originale: se contiene sorprese, almeno saprete chi incolpare e non sarete ricettatori di programmi illegali. Se invece amate l’avventura, andate a spasso in compagnia di Yuri e del suo Kazaa Lite, ma non venite a piangere da me se qualcosa va storto.

Compiti a casa per tutti

Il caso di Kazaa contiene amare lezioni per tutti. Per i discografici si tratta di un’altra occasione perduta. Intanto che si disperano nell’utopica ricerca di un sistema sicuro per vendere musica online, lo scambio informale dilaga. Il tempo passa in fretta, e ormai sta crescendo una generazione di giovani abituata da anni ad avere musica online a scrocco. Una cultura che poi sarà molto difficile cambiare, come è invece necessario che avvenga per dare sostentamento a chi produce la musica, i film e i telefilm che amiamo.

Per gli utenti, la lezione più forte è la conferma drammatica e tangibile che il software closed source (quello di cui non è disponibile il codice sorgente) è davvero pieno di insidie, proprio come dicono da tempo i teorici del movimento open source, che vuole invece che gli “ingredienti” di un programma siano pubblicamente esaminabili. È una lezione che mette chiaramente in discussione quasi tutto il software commerciale tradizionale, e questo è ancora più preoccupante. Ha senso mettere l’intero paese (aziende, ospedali, amministrazione pubblica, polizia, forze militari) nelle mani di programmi di cui è vietato conoscere il funzionamento?

Per tutti gli alti papaveri che vorrebbero imbrigliare Internet e farne un grande supermercato, la morale di fondo è che la “potenza di calcolo” costituita dalle risorse intellettuali combinate degli utenti della Rete è una forza con la quale è meglio non cercare di competere. Conviene dare alla Rete quello che chiede a condizioni ragionevoli, perché se lo prenderà comunque. È ora di accettare questo fatto e cominciare a ragionare di conseguenza. Questa è la base della vera new economy.

L'autore

  • Paolo Attivissimo
    Paolo Attivissimo (non è uno pseudonimo) è nato nel 1963 a York, Inghilterra. Ha vissuto a lungo in Italia e ora oscilla per lavoro fra Italia, Lussemburgo e Inghilterra. E' autore di numerosi bestseller Apogeo e editor del sito www.attivissimo.net.

Iscriviti alla newsletter

Novità, promozioni e approfondimenti per imparare sempre qualcosa di nuovo

Gli argomenti che mi interessano:
Iscrivendomi dichiaro di aver preso visione dell’Informativa fornita ai sensi dell'art. 13 e 14 del Regolamento Europeo EU 679/2016.