#DicoLaMiaSu: Protezione privacy.


Sicurezza ad uso personale nel settore informatico: si può!!


Leggo continuamente di gente che si lamenta del fatto che troppo spesso la propria privacy è a rischio; ma quando chiedi loro cosa fanno per proteggersi da questa situazione mi sento rispondere che non fanno nulla perché per potersi difendere bisogna spendere soldi e non credono ne valga la pena.

Niente di più errato, in entrambi i casi:

  1. Ci fosse da spenderci dei soldi, comunque se temi che la tua privacy sia lesa, varrebbe la pena spenderli;
  2. non serve spenderci nemmeno un centesimo: per uso privato, ci sono mezzi, totalmente gratuiti, per poter affrontare e risolvere il problema e proteggersi anche a discreti livelli.
  3. la pigrizia è il nemico numero uno della protezione della nostra privacy, lo dico, e lo ripeto, da sempre e non mi stuferò mai di ripeterlo!!

Ovviamente a quel punto iniziano a lamentarsi del fatto che per Windows tocca craccare, oppure per Mac tocca pagare oppure ancora che per Linux tocca essere ingeneri capi della Nasa per poterlo fare.

Nulla di più falso: propio per la questione sicurezza uso sempre attrezzi che funzionino sul maggior numero di piattaforme possibili quando devo usarli proprio perché per il mio lavoro mi trovo spesso a dover cambiare sistema operativo e quindi mi troverei nei guai se l’applicazione che uso per proteggermi funzionasse in Linux ma non in Windows oppure funzionasse in Windows ma non in Mac.

Spesso San Google risarebbe di aiuto in questo campo, ma siete così pigri che non lo invocate nemmeno 🙂 Per inciso usare google.com, come motore di ricerca, è uno dei migliori modi per esporre la nostra privacy a tutto il mondo, ma vedremo anche questo discorso più avanti.

Innanzi tutto dobbiamo decidere cosa vogliamo proteggere: perché possiamo proteggere alcune cose oppure tutte quindi uno schema buttato al volo può esserci utile per capire cosa dobbiamo proteggere e quindi dove intervenire!

Ecco una lista di base che può essere utile per iniziare:

  1. Documenti particolari;
  2. documenti in entrata;
  3. l’intero nostra area utente;
  4. l’intero disco;
  5. la posta elettronica;
  6. il nostro viaggiare in internet (inteso come leggere pagine internet)
  7. il nostro esporci in internet (fare acquisti via internet);
  8. le nostre comunicazioni immediate da pc (Whatsapp e simili);

Come potete vedere la lista può essere più o meno lunga, e questa fidatevi non è una delle più esaustive!!!)

Con calma e pazienza si può, in ogni caso, proteggere tutte le aree elencate sopra. Più in preciso vi do una lista di applicazioni che possono essere utilizzate nello specifico caso:

  1. VeraCrypt edere del forse più noto TrueCrypt. Questa applicazione vi permette di creare dei contenitori che permettono di tenere al loro interno qualsiasi tipo di documento rendendolo illeggibile e chi non avrà la password che abbiamo impostato.
  2. Come sopra: una volta creato il contenitore, sufficientemente largo, c trasferiamo le cartelle di default come Documenti, Immagini, Musica, Scaricati e così via. Questo vale in particolare per Windows. Mac e Linux hanno anche sistemi maggiormente integrati con il sistema operativo, ma andrebbero visti uno per uno. L’uso di VeraCrypt direi che è una soluzione valida per tutti e tre i sistemi operativi, quindi viene mantenuta la promessa di un programma funzionante su tutti e tre i diversi sitemi operativi.
  3. Qui, purtroppo o per fortuna, dipende da che angolazione guardiamo la faccenda, non esiste una applicazione univoca per tutti e tre i sistemi. Potreste con alcuni artifizi usare anche qui VeraCrypt, ma serve una certa conoscenza dell’ambiente operativo e diventa più tecnico.
  4. Soluzione universale: GPG + Client di posta locale, che può essere Mozilla Thunderbird se anche per leggere la posta volete un client che funzioni su tutte e tre le piattaforme. Chiaramente funzionerà solo se anche i vostri corrispondenti lo useranno, altrimenti avrebbe poco senso mandare una mail crittografata, se dall’altra parte non hanno i mezzi per poterla leggere. Un’altra soluzione, che invece non richiede alcuna installazione, e l’uso di una servizio di mail crittografia come ProtonMail. Funziona come con GPG ma solo via web, almeno per ora. E potrete mandare mail protette da password, che dovrete trovare il modo di comunicare al nostro corrispondente se volete che la legga.La differenza fondamentale tra GPG+Client di posta e servizi come ProtonMail sta nel fatto che nel primo caso potrete avere diverse firme elettroniche per lo stesso utente. Mentre con servizi tipo ProtonMail dovrete creare tante caselle quante sono le firme elettroniche che vi serviranno.
  5. Il trucco sta nell’usare, fin dove possibile, sempre e solo indirizzi che prevedano la criptazione nel trasferire dati da e verso il vostro browser. Questo si ottiene solo utilizzando servizi che supportino la chiamata via https e non http. La s finale indica che le comunicazioni tra voi ed il vostro sito di destinazione saranno crittografate e quindi non leggibili da eventuali terzi curiosi che tentino di leggere i vostri dati mentre viaggiano tra voi ed il vostro sito e viceversa.
  6. Usare solo servizi che prevedano quello che si chiamo ‘conversazioni protette’. Praticamente è un po’ come https per i browser: i dati tra voi ed il vostro corrispondente saranno crittografati e nessuno potrà leggerli, anche intercettasse le vostre trasmissioni. Esistono alcune applicazioni che prevedono questo tipo di comunicazioni tipo Telegram, WhatsAppSignal; come vedete le opzioni non mancano, basta decidere cosa usare.

Come vedete, per ogni problema di privacy e sicurezza esiste una soluzione gratuita e multi piattaforma. Quindi alla fin fine, come scrivevo all’inizio, la mancata protezione dei vostri dati è solo una vostra responsabilità.

Vincete la pigrizia e impedite a terzi di mettere il naso nelle vostre faccende private, anche se non avete nulla da nascondere, resta il fatto che è un vostro sacro santo diritto che i fatti vostri restino vostri !!

#DicoLaMiaSu: I governi insistono a chiedere i dati codificati degli IM !!

Come sempre, quando accadono certi fatti come l’attacco di Londra, i governi tornano alla carica pretendendo l’accesso alle chat crittografate degli IM.
Non hanno ancora capito che non possono riuscirci ?

Chiavi-Assimetriche

UK torna a chiedere l’accesso ai dati protetti delle chat di applicazioni come WhatsApp, Telegram e simili.

Come era da previsioni, dopo che è girata la voce, poi nessuno, che io abbia letto, l’ha confermata, che l’attentatore di Londra abbia usato WhatsApp per organizzare l’attacco, il governo inglese torna alla carica con le richieste di poter accedere alle chat criptate dei vari programmi di IM come WhatsApp, Telegram etc etc.

In passato la scusa erano i pedofili, adesso la scusa sono i terroristi, cambia periodo, cambiano i soggetti, ma le richieste son sempre le stesse.

Ma d’altronde il Regno Unito ha una tradizione piuttosto forte sulla questione intercettazioni di massa. Sembra quasi che tra loro e gli Americani, ci sia un cordone ombelicale che li tiene congiunti, in queste faccende di intercettazioni di massa: non importa quale sia il motivo; l’importante é poter controllare tutti indiscriminatamente e con il favore , almeno apparente, della legge.

Al di la della questione tecnica, che renderebbe apparentemente accontentare le richieste del Regno Unito, non riesco a capacitarmi del fatto che una volta chiarito, a fonte di prove inoppugnabili, di vari giornalisti, sia cartacei che informatici, continuino a vuole far passare come bene per il cittadino questa mania del controllo totale. È vero, rilanciando il discorso ogni volta che accade qualcosa inerente la pedofilia o il terrorismo, giocano sui sentimenti straziati o indignati del momento, ma dovrebbero aver capito, ormai, che la gente, passata l’onda emozionale, non ci casca più in quelle motivazioni di facciata, per le quali fanno queste assurde richieste.

Sembrano poi ignorare che esiste una galassia di programmi IM corredati di cifratura, per cui come pensando di poter imporre a tutti i programmatori, di questa micro galassia, di cedere alle loro richieste??? Tra le altre cose, e per fortuna, non tutti usano lo stesso sistema per garantire la codifica delle comunicazioni, per cui non posson nemmeno sperare di trovare una soluzione comune a tutti questi programmi che, una volta applicata, risolva loro il problema.

Salvo una backdoor chiaramente, ma chiunque crei programmi di IM che pretenda di vendere, o vedere installata la propria applicazione in massa, non può correre il rischio di essere sputtanati dal primo specializzato che arriva, dimostrando che hai una backdoor attiva sul tuo programma. Proprio perché ne esistono tanti, di IM, uno ci mette meno di 30 secondi per disinstallare la tua con la backdoor ed installarsene un altro !!

Insomma i governi devono mettersi in testa che su questa cosa non la spunteranno mai. Avevano qualche chance quando WhatsApp non aveva attivo ancora la possibilità di codificare i propri dati: essendo una delle poche che ancora non aveva attivato questa particolarità gli altri programmi IM potevano correre il rischio di vedersi inibire l’accesso da questo o quel paese, con la scusa della protezione del libero cittadino; ma ora che pure WhatsApp si è unita alla comunità di coloro che proteggono la privacy dei propri utenti, i vari governi, non hanno più punti, su cui fare leva, verso produttori come Telegram, Signal o altri.

Non che WhatsApp l’abbia fatto per la tutela del loro paro clienti, l’ha fatto perché si è accorta che altri IM, che prevedevano la codifica delle conversazioni, gli stavano portando via clienti. E sappiamo tutti come ragionano le aziende quando si vedono rodere il plafond di clientela: «Risolviamo il problema in qualche modo!!» sicuramente è stato l’urlo di battaglia lanciato da qualche amministratore delegato di WhatsApp!!

E l’unico modo per poter provvedere a quell’ordine era fornire un servizio, quanto meno sicuro almeno come gli altri IM in circolazione che si stavano rodendo il loro pacchetto clienti.

E di conseguenza squillino le trombe, mandate corrieri ai quattro angoli del mondo e diffondente la notizia: «WhatsApp rende disponibile la codifica delle conversazioni da questa data!!».

E questa notizia ha tagliato definitivamente le gambe a quei governi che minacciavano il blocco dell’uso di WhatsApp in questo o quel paese. Bloccare l’accesso a questa o quella applicazione perché permetteva di rendere non leggibili le conversazioni a terzi, corrispondeva a denunciare il vero scopo dei governi interessati che aveva portato al blocco.

Se vi ricordare succedeva piuttosto spesso con Telegram quando era ancora l’unica a proporre le chat codificate e succedeva in Brasile: paese noto per la sua deriva democratica. Da quando anche WhatsApp si è aggiunta al pari delle applicazioni che permettono la codifica, guarda caso, in Brasile non sono più occorsi blocchi da parte dello stato all’accesso a Telegram o altri IM: tanto ormai offrono tutti la codifica delle conversazioni per cui quel metodo non aveva più senso.

Quello che mi lascia più perplesso, al di la dei governi che tentano di mettere il naso nelle nostre chiacchierate con gli amici, è il fatto che poi lo stesso popolo che richiede servizi di cifratura per le loro chiacchierate, non facciano assolutamente nulla per proteggere loro altre fonti di informazioni, come la posta elettronica o i propri siti, personali o aziendali che siano.

Contrariamente a quanto si pensa l’arrivo delle app di IM non ha reso l’uso della posta elettronica meno intenso, tutt’altro. Specialmente a livello di lavoro, il volume della posta elettronica non ha subito alcuna flessione. Eppure sappiamo che quasi tutti i governi accedono alle nostre email leggendosi quello che vogliono quando vogliono. Come esiste la codifica delle conversazioni esistono anche metodi per proteggere anche le nostre email. Solo che il popolo è pigro per cui continua a farsi legger le email, ma vanta di avere il sistema per chattare più sicuro che esista al momento.

Sull’onda delle richieste di governi come quello del Regno Unito, nascono poi delle aziende che offrono email sicure con codifica, a patto che l’altro utente usi lo stesso servizio, o accetti di ricevere una mail con un allegato ed una password per leggere l’allegato.

Quello che mi fa sorridere è che queste aziende, per esempio la ProtonMailnon fanno altro che fare quello che l’utente potrebbe fare da solo: ossia usare strumenti come GPG per proteggere la propria privacy anche nella corrispondenza elettronica. Ti fornisce una chiave, e tu la usi in maniera trasparente per mandare mail codificate alla tua controparte. Cosa che potresti fare da solo e con qualunque provider, per assurdo con la peggiore in assoluto, in fatto di violazione, delle tue mail: ossia il servizio posta di Google: gmail.

Però piuttosto che mettesti li a studiare 30 minuti come si genera una chiave come usarla, preferiamo dare mandato, in modo silente, a qualcun altro che lo faccia per noi. Risultato? Vuoi una casella con accesso codificato che abbia un minimo di spazio per tenere tutta la tua mail di lavoro?

PAGA. Quando potresti farlo gratuitamente se solo ti prendessi la briga di studiare 30 minuti il metodo usato dalla stessa ProtonMail.

«Chi è causa del suo mal, pianga se stesso» cita un vecchio adagio, ed in questo caso mai fu più vero!! Pagate la ProtonMail, Safe-Net od altre aziende che hanno capito che siete disposti a pagare, piuttosto che imparare a questo punto sono solo affari vostri !!

Io continuo a farlo per conto mio, ed a titolo gratuito, però mi spiace vedere buttare via i soldi, indipendentemente che siano di una azienda o di un privato.

#DicoLaMiaSu: FBI, TOR e Pedofili

Un amico mi aveva suggerito di leggere un post su una rivista on line di informatica, piuttosto nota, per cui di norma piuttosto affidabile.

A detta sua l’articolo era da far venire i brividi per la scioltezza con cui gli americani hanno optato tra il liberare un noto pedofilo, o il dichiarare con che mezzi sono arrivati ad carpire l’IP di detto pedofilo.

Il titolo del pezzo presente sul sito di Punto-Informatico.it è: «USA, la lotta al pedoporno vale meno di un hack di TOR?».

Per chi non fosse del settore chiariamo un paio di punti:

  1. TOR è un protocollo di anonimzzazione che da anni fornisce l’anonimato a giornalisti, rifugiati politici, perseguitati religiosi. Come sempre c’è anche chi ne abusa sfruttando il fatto che TOR rende virtualmente impossibile rintracciare gli indirizzi IP di chi utilizza questa tipologia di rete, per commettere reati di vario genere; dalla vendita di droghe, alla vendita di documenti falsi, allo scambio, e questo è il caso del soggetto in questione, di materiale pedo-pornografico, tra chi soffre di questa terribile malattia: ossia i pedofili.

  2. Le autorità americane, in realtà, da anni dicono di riuscire a de anonimizzare gli utenti che usano TOR, ma in realtà, quelle poche volte che ci sono riusciti, compresa questa, la falla usata non era della rete TOR, ma del browser su cui TOR si appoggia, ossia Mozzila Firefox. Tanto è che in questo specifico caso uno dei gruppi che più insiste per avere le specifiche su come, questa volta, ci siano riusciti, e proprio la Mozzilla Foundation: sapendo che il fatto è successo proprio a causa di un loro bug, vogliono sapere quale sia per poterlo sistemare e rendere di nuovo sicuro usare TOR.

Nella causa in corso tra Jay Michaud e l’FBI l’oggetto del contendere si è spostato dal fatto che Jay Michaud sia un pedofilo da fermare, al fatto che l’FBI deve spiegare come ha fatto ad ottenere i suoi dati.

L’FBI, dal canto suo, dice che la tecnica con cui ha ottenuto i dati è troppo importante per renderla pubblica, perché se lo facessero Mozzilla Foundation sistemerebbe il bug e l’FBI non potrebbe più usare quella falla per rintracciare gli IP di chi usa TOR.

Nel mentre «Vista la resistenza dell’FBI, giustificata con la necessità di preservare il segreto su un importante strumento di indagine, la giustizia statunitense aveva decretato che le prove raccolte per mezzo della NIT si sarebbero dovute invalidare qualora il codice impiegato dall’FBI fosse rimasto riservato»

Intanto l’FBI per far capire che non aveva nessuna intenzione di rendere pubblico il metodo usato, ha posto quest’ultimo sotto segreto di stato facendo arrivare la questione ad una fase di stallo che ha ben pensato di sciogliere chiedendo l’archiviazione del caso contro Jay Michaud, formulata proprio dal Dipartimento di Giustizia, a nome dell’FBI: “Il governo deve scegliere fra la divulgazione delle informazioni classificate come segrete e la deposizione dell’accusa” si spiega nel documento e poiché “la divulgazione non è al momento un’opzione” il caso dovrebbe essere chiuso. pur di non svelare il metodo usato per ottenere gli indirizzi IP dalla rete TOR.

«Sono oltre 135 i processi originati dall’operazione Pacifier, condotti contro altrettanti cittadini sospettati di aver partecipato al traffico pedopornografico di Playpen: nonostante le sostanziali analogie, non tutti si sono arenati sulla validità di prove raccolte con del codice riservato.»

Le parti in corsivo sono state prese direttamente dall’articolo di Gaia Bottà sul sito di Punto Informatico.

Che dire? Una agenzia governativa, che rischia di rimettere in libertà 136 pedofili beccati con le mani nel sacco, per proteggere il metodo con cui li hanno incastrati si classifica da se.

 È pur vero che dagli americani ormai non c’è da stupirsi più di nulla, ma lasciare liberi 136 pedofili, con i danni che possono fare a non so quanti bambini, in giro per il paese, per una questione di principio, la trovo davvero una cosa pietosa. Succedesse da noi probabilmente rischierebbero l’insurrezione generale del popolo italiano.

Mi domando sempre, quando leggo notizie come queste, come quelle di Snowden ed altre simili, come faccia quel popolo a permettere ai loro governanti di fare scelte simili in nome di una agenzia poi, l’FBI, nota per le porcate fatte negli anni e che, per quanto sappiamo non ha mai smesso di farle certe porcate.

Accettereste in Italia di liberare 136 pedofili per non dichiarare come li avete incastrati? Credo proprio di no. Evidentemente il peso della parola morale do noi ha un peso ben diverso che negli Stati Uniti, altrimenti non si spiega questo loro comportamento. Io, personalmente, quando ho letto di questa cosa, sono rimasto schifato a dire poco, e credo chiunque altro da noi, intendo in Europa, proverà quello che ho provato io. Almeno io me lo auguro, altrimenti vuol dire che stiamo prendendo una deriva tipo americana, e se così fosse io qui, non ci resterei a vivere, assolutamente no!!