Premessa:
questo post contiene una serie di informazioni tecniche delle quali non ho modo di accertare l'effettiva correttezza. Non mi assumo alcuna responsabilità dell'uso che ne verrà fatto. I contenuti sono da intendersi a puro scopo informativo.
Da sempre, in ambito di sicurezza, si discute di quanto, a causa della diffusione dei dispositivi cellulari, sia calato il livello di privacy di cui ognuno dovrebbe poter godere.
Spesso nelle discussioni tra amici emergono vive paranoie su come, proprio in quel momento, 'qualcuno' possa monitorare la nostra vita ed assumerne subdolamente il controllo deviandone a piacere le rotte percorse.
Ad esempio, potremmo trovare nella nostra casella di posta elettronica, una serie di e-mail di spam che cercano di convincerci ad acquistare un prodotto di una certa marca piuttosto che un altro...
Anni fa ho aperto una casella e-mail gratuita 'b10h4ck@email.it' che uso ora solo per registrarmi ai siti a cui sono costretto ad accedere mediante registrazione. Sapevo che, ogni volta che lasci il tuo indirizzo e-mail ad un sito, stai autorizzando chi ti offre il servizio a bombardarti di pubblicità.
- E' legale? -
E' evidente che in qualche punto del sito o del portale a cui si effettua la registrazione ci sia un piccolo messaggio di autorizzazione esplicita che viene accettato dall'utente in fase di registrazione.
Inoltre ci sono spammers a livello mondiale che usano enormi elenchi di indirizzi e-mail per il 'mass mail bombing' che consiste nella diffusione di massa di messaggi pubblicitari non richiesti.
Questo genere di attività, secondo la Polizia Postale, avrebbe fruttato ad uno spammer inglese, poi arrestato, circa un milione di euro in un mese... ecco perchè lo fanno!
Su 'b10h4ck@email.it' ricevo attualmente in media, 50 e-mail di spam al giorno.
E' un numero tutto sommato esiguo se penso alla mole di navigazione settimanalmente da me sostenuta ma è molto interessante la 'qualità' di questi messaggi!
E' quantomeno inquietante che la maggior parte delle e-mail che ricevo siano per me assolutamente 'INTERESSANTI'!
Le cose che mi interessano e verso le quali navigo dal mio browser sono spesso di argomento tecnologico o scientifico. Ricevo da siti di cui non conosco neanche l'esistenza tutta una serie di 'consigli per gli acquisti' inerenti a questi settori.
Ora, per farla breve, è evidente che i dati relativi alla mia navigazione, sono stati 'impacchettati' e venduti ad apposite aziende che sanno molto bene come sfruttarli.
Aziende di cui io non conosco l'esistenza ed i fini e che ho autorizzato 'DIRETTAMENTE' con il mio consenso elettronico... anche se magari non mene sono accorto nessuna delle volte che l'ho fatto...
Il garante della privacy ha stabilito che la prima e-mail pubblicitaria inviata ad un utente non è spam. Immaginatevi ora se ogni utente di Internet inviasse al garante (e lo scrivo minuscolo apposta) un'e-mail con scritto:
"Questa è la prima e-mail che Le invio e dunque è legale... compri il mio prosciutto!".
Io che sono un normale utente potrei da solo inviargli un'e-mail da oltre 200 indirizzi differenti... e senza utilizzare tecniche di hacking, solo usando indirizzi 'veri'...
Sarebbe forse il caso di discriminare lo spam in maniera un po'più 'tecnica' invece che 'contare' i messaggi inviati... non si usano più carta e penna! Inoltre i vari software e servizi anti-spam non funzionano alla perfezione...
Tornado ai cellulari, è ormai stato reso pubblico che i providers di telefonia -tristemente nota ma non unica colpevole Telecom Italia- utilizzino appositi software per raccogliere i dati relativi a tutto ciò che facciamo quando abbiamo un telefonino 'addosso'...
Gli spostamenti vengono registrati ogni volta che il segnale di copertura del nostro cellulare passa da una torre GSM (quelle che non ci fanno venire i tumori e che non fanno nascere i bambini con tre teste?!) ad un'altra, tracciando ogni percorso.
Il contenuto del nostro cellulare può essere costantemente backupato ed inviato ad un server che lo conservi. Le nostre telefonate ed i nostri innocentissimi sms vengono costantemente registrati ed archiviati in appositi storage systems o intercettati da un qualche satellite tipo Echelon e forniti all CIA o ad altre agenzie di 'sicurezza' del Bel Paese.
Da qui in poi, il discorso può cambiare rotta e focalizzarsi su dati raccolti a scopo di controllo
'Orwelliano' delle masse e non più di indagine commerciale o selezione pubblicitaria.
Vista l'enorme mole di dati in questione, la problematica dell'elaborazione e della conservazione di questo fiume di bits, aveva dato luogo alla necessità di una certa selezione di contenuti (content filtering) ritenuti interessanti. I controlli venivano effettuati in due modi, a 'campione', cioè 'alla cavolo di cane' o sulla base di dizionari elettronici su cui veniva effettuato il confronto 'matching' con quanto detto nella telefonata o scritto nell'sms o nell'e-mail.
Echelon lavorava principalmente in questo modo.
Una nota crew di hackers di cui non rivelerò il nome, aveva addirittura escogitato un attacco al satellitone guardone, caratterizzato dall'invio contemporaneo di una mole enorme di messaggi (sms e e-mail da tutto il Globo) che contenessero termini che 'matchassero' cioè coincidessero con quanto ritenuto 'interessante' del tipo: "bomb", "terrorism", "Bin Laden", "Bush", "AlQuaeda" ecc...
In questo modo, il satellitone sarebbe andato in 'buffer overflow', ovvero si sarebbe bloccato sovrascrivendo settori di memoria già utilizzati. In parole povere avrebbero dovuto riportarlo a terra per manutenzione. Quest'attacco di tipo 'denial of service' (DoS) avrebbe reso il satellite cieco per un bel pezzo.
Oggi purtroppo tutto questo non sarebbe più utile inquanto compatibilmente allo sviluppo tecnologico, sono pressochè scomparsi i limiti di cui sopra, consentendo alle 'istituzioni' di
memorizzare l'intero flusso di dati che concerne telecomunicazioni, navigazione Internet e
posta elettronica.
Dunque, riassumendo, tutti i dati vengono raccolti in massa ed elaborati attraverso programmi
tipo:
http://www.i2.co.uk/Products/Analysts_Notebook/default.asp
che, in maniera organica, confronta i dati e crea dei reports molto completi che possono essere interrogati ed analizzati per conoscere ogni genere di informazione.
La fantasia umana è, a questo punto, l'unico limite alle informazioni che si possono ricavare sulla vita del singolo utente e delle persone e dei luoghi che frequenta.
I controlli di massa non prevedono l'utilizzo di programmi spia installati sul cellulare (o sul notebook) dell'utente. Si tende a sfruttare la tecnologia GSM su cui comunica il telefonino.
In realtà, è piuttosto semplice installare da remoto sul dispositivo, ogni genere di spy software.
E' possibile difendere la propria privacy? No.
Ci sono migliaia e non esagero, di soluzioni gratuite ed a pagamento dedicate a proteggere computers e cellulari ma più lavoro e studio e più si fa' radicata la mia opinione secondo la quale non esiste la Sicurezza Informatica.
Postulato Personale numero 1:
A patto che un 'attaccante' sia interessato in misura sufficiente al suo 'obiettivo' ha SEMPRE la
possibilità di raggiungerlo.
Postulato Personale numero 2:
Se un qualunque dispositivo elettronico è in qualsiasi modo in grado di comunicare (si intenda per comunicare ricevere e trasmettere una qualunque forma di segnale), è immediatamente
da considerarsi a rischio non appena viene acceso e viene abilitato il primo servizio di cui esso
dispone.
Escludendo la solita serie di 'chicche' su:
-Antivirus e Firewalls Gratuiti che non funzionano o che vengono aggiornati con troppa lentezza
-Virus prodotti e diffusi da software house che producono antivirus
-Sistemi opertativi per computers o cellulari che contengono centinaia di vulnerabilità
- ecc...
Preciso che ad oggi l'unico sistema "riconosciuto" per proteggere i dati (e quindi le comunicazioni) è la crittografia: ed è inutile.
Tutti i software di crittografia utilizzano algorimi robusti pubblici che, essendo ad uso civile, provengono e sono stati dismessi dall'ambito militare, pertanto, qualora non fossero ancora stati crackati in ambito civile, lo sono presumibilmente stati in ambito militare, dal quale la dismissione degli stessi è stata decretata in quanto "NON PIU' CONSIDERATI SICURI"
Se ne evince che, a meno che una persona non sia in grado di scivere un algoritmo di crittografia tanto robusto da non essere crackato in tempi ragionevolmente brevi dai militari, non potràin alcun modo comunicare utilizzando sistemi elettronici in maniera realmente sicura nel caso ad esempio, la minaccia provenga proprio dai militari stessi.
In particolare le agenzie di sicurezza americane e dei paesi asiatici più tecnologicamente sviluppati, dispongono di mezzi non comuni in grado di decriptare quasi ogni genere di comunicazione in tempi da fantascienza.
_____________________________________________________
Sono certo di avervi annoiato a sufficienza con i dettagli tecnico-forensi ma ritenevo fosse necessario affinchè chi legga non si focalizzi sul fatto che io sia paranoico e consideri gli aspetti oggettivi e la semplicità operativa che caratterizzano questo argomento.
In particolare si tende a dimenticare che la privacy è concettualmente passiva.
Nessuno dovrebbe essere obbligato ad attuare contromisure per difenderla.
Certamente è importante valutare quanto interesse abbiamo (ovvero quanto sia importante per noi il nostro anonimato) a non far conoscere di noi alcune informazioni.
Posso decidere consapevolmente, di condividere con chi mi osserva tutti i miei dati perchè in realtà non me ne importa nulla. Questo è ciò che tutti fanno nel momento in cui sottoscrivono un contratto di telefonia o di connettività Internet.
L'unico modo che abbiamo per difenderci è imparare a pensare in maniera proattiva.
Se si è in grado di re-impostare la propria forma mentis verso una mentalità sempre attenta a ciò che si sta facendo nel qui ed ora, si avranno ottime probabilità di diventare.... invisibili.
Sempre che ne valga la pena, la maggior parte dei modi di 'non risultare' è illegale.
Ad esempio, se uso un cellulare non intestato a me con dentro una SIM rubata o clonata e quando ho finito di usarlo lo getto via, non esisteranno tracce che possano ricondurre alla mia persona.
Un cellulare può essere utilizzato per telefonare o come modem GPRS/EDGE e quindi posso navigare attraverso di esso in maniera anonima. - a patto di utilizzare un pc che non sia collegabile a me (quindi solitamente acquistato usato, pagato in contanti ad uno che non sa il tuo cognome o rubato) e che non lo faccia dal mio domicilio.
Poi potrei connettermi da un portatile (sempre non riconducibile a me...) via wireless ad un hotspot aperto e navigare in Internet partendo da quella rete (war driving)... insomma i modi - non legali - per nascondersi, se si vuole, esistono e sebbene non siano proprio alla portata di tutti sono noti ai più.
Mi chiedo tuttavia per quale ragione in un mondo che ha la pretesa di tendere alla democrazia (vorrei tanto poter scrivere anche 'alla pace') non sia consentito essere liberi proprio in nome della conservazione della democrazia stessa.
Grazie 'neo-repubblicani' USA per quest'ennesima ferita che lasciate nel nostro modo di intendere.
b10
Nessun commento:
Posta un commento