RSS

Archivi tag: cifratura

The Fappening, un’altra lezione sulla protezione di dati e foto personali

icloud keys

Avete letto o sentito del furto e della diffusione di foto personali ai danni di alcune celebrità come Kirsten Dunst, Kim Kardashian, Selena Gomez, Bar Refaeli e Jennifer Lawrence? E, soprattutto, avete capito cos’è accaduto?

In breve: le foto, inizialmente memorizzate sui loro dispositivi personali (iPhone, iPad, Mac), erano poi sincronizzate su iCloud (un disco fisso virtuale, cioè un servizio per l’archiviazione di dati in Internet realizzato da Apple per i propri utenti). L’impostazione standard (modificabile, sapendolo) prevede il salvataggio automatico delle foto per poterle gestire su Mac con iPhoto. In seguito ad un attacco hacker, le immagini – prevalentemente intime – contenute in tali spazi sono state copiate dagli account di queste persone e diffuse via web sulla piattaforma 4chan e su Reddit. Pare che l’obiettivo iniziale fosse quello di metterle sul mercato e venderle all’industria del gossip, ma negli Stati Uniti questo genere di azioni è reato e non hanno suscitato l’interesse atteso: per questo sarebbero state distribuite sul web.

Si è ripresentato – su più vasta scala – il problema di violazione della privacy accaduto due anni fa a Scarlett Johansson. Christina Aguilera e Mila Kunis (il colpevole era stato trovato e condannato a scontare 10 anni di reclusione e al pagamento di una sanzione di 76mila dollari).

Ciò che è accaduto poteva essere prevenuto, evitato da chi voleva davvero tutelare la propria privacy? Assolutamente sì, in modi sia analogici che tecnologici, che esporrò in ordine di efficacia:

  1. non scattare foto di quel genere (ok è un po’ radicale, ma è la soluzione che offre maggiori certezze);
  2. conoscendo il valore che tali foto possono acquisire sul mercato dei bavosi, se proprio non è possibile trattenersi dallo scatto hot, sembra decisamente opportuno mantenerle conservate su un supporto di memorizzazione fisico di cui si possa avere il reale controllo (scheda di memoria, chiavetta USB, hard disk, CD, DVD…)
  3. pensare allo scopo per cui è stata scattata la foto… era da mostrare a una persona, a una platea ristretta o a chiunque? Ecco. In ogni caso, lasciarla lì o trasferirla via chiavetta;
  4. se proprio dovete utilizzare un servizio cloud, scegliete una password complessa, createne una diversa per ogni account e, se il servizio prevede il password reset attraverso alcune domande, impostate risposte non facilmente identificabili (esempio: “Qual è il cognome di tua madre da nubile?” Risposta possibile: “Lansbury”, oppure “Merkel” o anche “Jeeg”… insomma, non dev’essere necessariamente reale perché potrebbe essere ottenibile da malintenzionati)
  5. .

Intendiamoci: iCloud, così come Dropbox, GoogleDrive, OneDrive , non è affatto un sistema insicuro, la protezione dei dati che vengono memorizzati è assicurata da un algoritmo di cifratura AES a 128 bit. Ma è sufficiente arrivare a conoscere la password legata all’account per avere l’accesso. Come a dire: una cassaforte può essere ipersicura e a prova di qualunque scasso, ma basta averne la combinazione e il gioco è fatto. E ottenere la password dell’Apple ID (e quindi dell’account iCloud) di queste celebrità potrebbe non essere stato difficile, dato che – finché Apple non se n’è accorta – esisteva la possibilità di scovarla tramite un software. Il rischio aumenta quando la password è semplice e non è stata generata con gli opportuni criteri di complessità (ad esempio quelli illustrati nell’articolo Scegliere password più sicure su Mozilla Support, oppure in Creazione di una password forte a cura di Google Support). Oppure se il servizio di password reset è impostato con risposte prevedibili o facilmente reperibili.

Come già detto più volte in precedenza, nessuna soluzione tecnologica è in grado di garantire la sicurezza assoluta al 100% della propria efficacia. Quindi, meditate su questo aspetto.

Altri aspetti su cui è necessario meditare: l’accidentale (?) sacrificio della privacy in nome della vanità (le foto non sono state certo scattate per essere inviate al dermatologo per un controllo sommario) e – soprattutto – la diffusissima mancanza di consapevolezza dei rischi comportati da determinate azioni compiute attraverso Internet.

 
1 Commento

Pubblicato da su 2 settembre 2014 in Internet, News da Internet, privacy, security

 

Tag: , , , , , , , , , , , ,

Comunicazione criptate? Non per tutti

openlock

La NSA (National Security Agency, l’agenzia americana per la Sicurezza Nazionale) e il GCHQ (Government Communications Head Quarter, l’ente britannico per la sicurezza nelle comunicazioni) sono in grado di acquisire informazioni dai sistemi di comunicazione anche quando i dati sono criptati.

E’ quanto riportato ieri da GuardianNew York Times e Pro Publica, citando ancora una volta Edward Snowden come fonte. Significa che queste organizzazioni di intelligence sono in grado di aggirare le soluzioni di crittografia, e di questo forse non dovremmo stupirci, visto il tipo di attività che svolgono le agenzie e – soprattutto – alla luce di quanto è emerso negli ultimi mesi.

La cosa che tuttavia può risultare più inquietante è il programma di collaborazione che NSA ha sviluppato con alcune grandi aziende d’oltreoceano che si occupano di tecnologia. Nell’ambito di questo programma, a quanto pare, è prevista una partecipazione – più o meno attiva – al progesso di progettazione e sviluppo dei prodotti, allo scopo di conoscere (o inserire ad hoc?) backdoor e punti deboli nei sistemi di cifratura, per poterli poi sfruttare e accedere alle informazioni protette dagli stessi sistemi. La stessa agenzia, negli ultimi anni, avrebbe inoltre operato affinché, nella stesura dei protocolli di comunicazione e delle regole di cifratura utilizzate come standard a livello internazionale, venissero inserite vulnerabilità appositamente studiate per agevolare operazioni di intelligence.

Non c’è scampo dunque? Non è esattamente così: se riteniamo attendibili le dichiarazioni finora rilasciate da Snowden, le possibilità di accesso non sono infinite e la NSA non ha conoscenza totale di tutti i sistemi di sicurezza. Un primo fatto certo, però, è che non tutte le informazioni che circolano al mondo sono interessanti e, quindi, non è detto che tutto sia suscettibile di intercettazione (quindi non temete che la mail innocentemente spedita all’amico possa essere utilizzata contro di voi). Un secondo fatto certo è che le novità su questo argomento non sono finite. Un terzo fatto certo – in realtà il più importante, da non dimenticare mai – è che, nel mondo digitale, non esiste la sicurezza assoluta al 100% che la segretezza di un’informazione non possa essere violata.

 
1 Commento

Pubblicato da su 6 settembre 2013 in comunicazione, Internet, istituzioni, Mondo, news, privacy, security, TLC

 

Tag: , , , , , , , , , ,

 
%d blogger hanno fatto clic su Mi Piace per questo: