RSS

Archivi tag: cifratura

Non solo Signal

Elon Musk qualche giorno fa ha twittato “Use Signal, indicando questa app come alternativa a WhatsApp che, con le nuove condizioni di utilizzo, sta preoccupando molti utenti. Stabilito che per Unione Europea e Regno Unito le modalità di condivisione di informazioni con Facebook non cambieranno rispetto a quelle già in uso da qualche anno, è comunque legittimo guardarsi in giro, possibilmente nella direzione di servizi più rispettosi dei dati personali degli utenti. Ma in questo scenario esiste più di una soluzione.

Signal ha l’etichetta di app sicura perché non acquisisce la mole di dati che altre app raccolgono, oltre che per il suo sistema crittografico. L’organizzazione alle sue spalle, la Signal Foundation, è guidata da Matthew Rosenfeld, in arte Moxie Marlinspike, fra gli autori del Signal Protocol, un sistema di crittografia end-to-end che ha il vantaggio di essere open source e che è alla base dei sistemi di cifratura utilizzati da Skype, Messenger… e WhatsApp.

Un fattore che richiede attenzione sono i metadati: si tratta di informazioni relative agli interlocutori di una conversazione (con chi), ai dati temporali (a che ora e quanto tempo, quanto rimani al telefono, quanto sei online). Signal non li acquisisce, mentre WhatsApp sì. In verità li raccoglie anche Telegram che inoltre, al pari di Messenger, non applica la crittografia end-to-end in modalità predefinita (deve essere l’utente ad attivarla; Signal invece non permette neppure di disattivarla). Altro plus di Signal: la possibilità di avere messaggi che si autodistruggono.

Ma tra le app sicure disponibili ci sono anche Threema e Wire. L’utente che inizia ad utilizzare Threema rimarrà colpito dal fatto che questa app non utilizza il numero telefonico come identificatore, prassi invece seguita da WhatsApp e Signal, ad esempio. L’ID utente è una sequenza alfanumerica frutto dello scorrimento del dito della mano mentre sul display compare una matrice di lettere e numeri che cambiano continuamente. Contatti e gruppi rimangono memorizzati solo sul telefono (non nell’applicazione e quindi non vengono trasmessi al cloud). Un minus di Threema è che non è gratuita, è quindi da valutare l’investimento di Eur 3,99.

Anche Wire assicura la crittografia end-to-end (a chat e chiamate vocali e video, anche di gruppo), consente la condivisione del proprio schermo con un utente e un gruppo, e può essere utilizzata da otto dispositivi differenti (sincronizzati). Fra i suoi plus, chiamate di gruppo fino a 300 interlocutori e la possibilità – a pagamento – di invitare un non-utente (privo di account) in una room protetta, accessibile da browser. Minus: raccoglie i metadati.

 
1 Commento

Pubblicato da su 14 gennaio 2021 in news

 

Tag: , , , , , , , , , , , , , , , , , , , ,

The Fappening, un’altra lezione sulla protezione di dati e foto personali

icloud keys

Avete letto o sentito del furto e della diffusione di foto personali ai danni di alcune celebrità come Kirsten Dunst, Kim Kardashian, Selena Gomez, Bar Refaeli e Jennifer Lawrence? E, soprattutto, avete capito cos’è accaduto?

In breve: le foto, inizialmente memorizzate sui loro dispositivi personali (iPhone, iPad, Mac), erano poi sincronizzate su iCloud (un disco fisso virtuale, cioè un servizio per l’archiviazione di dati in Internet realizzato da Apple per i propri utenti). L’impostazione standard (modificabile, sapendolo) prevede il salvataggio automatico delle foto per poterle gestire su Mac con iPhoto. In seguito ad un attacco hacker, le immagini – prevalentemente intime – contenute in tali spazi sono state copiate dagli account di queste persone e diffuse via web sulla piattaforma 4chan e su Reddit. Pare che l’obiettivo iniziale fosse quello di metterle sul mercato e venderle all’industria del gossip, ma negli Stati Uniti questo genere di azioni è reato e non hanno suscitato l’interesse atteso: per questo sarebbero state distribuite sul web.

Si è ripresentato – su più vasta scala – il problema di violazione della privacy accaduto due anni fa a Scarlett Johansson. Christina Aguilera e Mila Kunis (il colpevole era stato trovato e condannato a scontare 10 anni di reclusione e al pagamento di una sanzione di 76mila dollari).

Ciò che è accaduto poteva essere prevenuto, evitato da chi voleva davvero tutelare la propria privacy? Assolutamente sì, in modi sia analogici che tecnologici, che esporrò in ordine di efficacia:

  1. non scattare foto di quel genere (ok è un po’ radicale, ma è la soluzione che offre maggiori certezze);
  2. conoscendo il valore che tali foto possono acquisire sul mercato dei bavosi, se proprio non è possibile trattenersi dallo scatto hot, sembra decisamente opportuno mantenerle conservate su un supporto di memorizzazione fisico di cui si possa avere il reale controllo (scheda di memoria, chiavetta USB, hard disk, CD, DVD…)
  3. pensare allo scopo per cui è stata scattata la foto… era da mostrare a una persona, a una platea ristretta o a chiunque? Ecco. In ogni caso, lasciarla lì o trasferirla via chiavetta;
  4. se proprio dovete utilizzare un servizio cloud, scegliete una password complessa, createne una diversa per ogni account e, se il servizio prevede il password reset attraverso alcune domande, impostate risposte non facilmente identificabili (esempio: “Qual è il cognome di tua madre da nubile?” Risposta possibile: “Lansbury”, oppure “Merkel” o anche “Jeeg”… insomma, non dev’essere necessariamente reale perché potrebbe essere ottenibile da malintenzionati)
  5. .

Intendiamoci: iCloud, così come Dropbox, GoogleDrive, OneDrive , non è affatto un sistema insicuro, la protezione dei dati che vengono memorizzati è assicurata da un algoritmo di cifratura AES a 128 bit. Ma è sufficiente arrivare a conoscere la password legata all’account per avere l’accesso. Come a dire: una cassaforte può essere ipersicura e a prova di qualunque scasso, ma basta averne la combinazione e il gioco è fatto. E ottenere la password dell’Apple ID (e quindi dell’account iCloud) di queste celebrità potrebbe non essere stato difficile, dato che – finché Apple non se n’è accorta – esisteva la possibilità di scovarla tramite un software. Il rischio aumenta quando la password è semplice e non è stata generata con gli opportuni criteri di complessità (ad esempio quelli illustrati nell’articolo Scegliere password più sicure su Mozilla Support, oppure in Creazione di una password forte a cura di Google Support). Oppure se il servizio di password reset è impostato con risposte prevedibili o facilmente reperibili.

Come già detto più volte in precedenza, nessuna soluzione tecnologica è in grado di garantire la sicurezza assoluta al 100% della propria efficacia. Quindi, meditate su questo aspetto.

Altri aspetti su cui è necessario meditare: l’accidentale (?) sacrificio della privacy in nome della vanità (le foto non sono state certo scattate per essere inviate al dermatologo per un controllo sommario) e – soprattutto – la diffusissima mancanza di consapevolezza dei rischi comportati da determinate azioni compiute attraverso Internet.

 
1 Commento

Pubblicato da su 2 settembre 2014 in Internet, News da Internet, privacy, security

 

Tag: , , , , , , , , , , , ,

Comunicazione criptate? Non per tutti

openlock

La NSA (National Security Agency, l’agenzia americana per la Sicurezza Nazionale) e il GCHQ (Government Communications Head Quarter, l’ente britannico per la sicurezza nelle comunicazioni) sono in grado di acquisire informazioni dai sistemi di comunicazione anche quando i dati sono criptati.

E’ quanto riportato ieri da GuardianNew York Times e Pro Publica, citando ancora una volta Edward Snowden come fonte. Significa che queste organizzazioni di intelligence sono in grado di aggirare le soluzioni di crittografia, e di questo forse non dovremmo stupirci, visto il tipo di attività che svolgono le agenzie e – soprattutto – alla luce di quanto è emerso negli ultimi mesi.

La cosa che tuttavia può risultare più inquietante è il programma di collaborazione che NSA ha sviluppato con alcune grandi aziende d’oltreoceano che si occupano di tecnologia. Nell’ambito di questo programma, a quanto pare, è prevista una partecipazione – più o meno attiva – al progesso di progettazione e sviluppo dei prodotti, allo scopo di conoscere (o inserire ad hoc?) backdoor e punti deboli nei sistemi di cifratura, per poterli poi sfruttare e accedere alle informazioni protette dagli stessi sistemi. La stessa agenzia, negli ultimi anni, avrebbe inoltre operato affinché, nella stesura dei protocolli di comunicazione e delle regole di cifratura utilizzate come standard a livello internazionale, venissero inserite vulnerabilità appositamente studiate per agevolare operazioni di intelligence.

Non c’è scampo dunque? Non è esattamente così: se riteniamo attendibili le dichiarazioni finora rilasciate da Snowden, le possibilità di accesso non sono infinite e la NSA non ha conoscenza totale di tutti i sistemi di sicurezza. Un primo fatto certo, però, è che non tutte le informazioni che circolano al mondo sono interessanti e, quindi, non è detto che tutto sia suscettibile di intercettazione (quindi non temete che la mail innocentemente spedita all’amico possa essere utilizzata contro di voi). Un secondo fatto certo è che le novità su questo argomento non sono finite. Un terzo fatto certo – in realtà il più importante, da non dimenticare mai – è che, nel mondo digitale, non esiste la sicurezza assoluta al 100% che la segretezza di un’informazione non possa essere violata.

 
1 Commento

Pubblicato da su 6 settembre 2013 in comunicazione, Internet, istituzioni, Mondo, news, privacy, security, TLC

 

Tag: , , , , , , , , , ,

 
%d blogger hanno fatto clic su Mi Piace per questo: