Insecam

Nel 2006 ho pubblicato un post intitolato L’Universo non è user friendly, dedicato alle webcam non protette e in generale, a tutti quelli che non si rendono conto che internet ha delle regole di comportamento ed è bene seguirle per non trovarsi nei guai. Il post spiega come trovare e guardare le webcam non protette che operano su internet. Tecnicamente non si commette nessun reato perché non si forza nulla. Non essendo la pagina protetta, si accede semplicemente a un sito individuato da un indirizzo ip, come tutti gli altri.

Faccio un esempio: tutti sanno che il mio sito è www.maurograziani.org e che all’indirizzo www.maurograziani.org/wordpress c’è il mio blog. Pochi, però, sanno che all’indirizzo www.maurograziani.org/non-ve-lo-dico c’è il calendario delle mie lezioni in Conservatorio. Ovviamente non è una pagina così privata. L’orario delle mie lezioni è noto in Conservatorio e anche se qualcun altro lo vede, non mi dà fastidio. Non lo pubblicizzo semplicemente perché non è una cosa di interesse pubblico, ma se qualcuno ci arriva non mi preoccupo. Se volessi nasconderlo, metterei una password alla pagina.

Per le webcam e per molte altre cose su internet è lo stesso: se sono liberamente visibili significa che al proprietario non interessa tenerle segrete. E se succede perché uno non ci pensa o non lo sa, beh, l’ignoranza non è una scusante. Bastava leggere il manuale.

Ora qualcuno ha espanso questa idea e creato un sito in cui sono raccolti gli indirizzi di migliaia di webcam non protette. Si tratta del progetto insecam, dove insecam ovviamente sta per insecure webcam. Il tutto ha fini “didattici”. Serve a spingere i proprietari a proteggere le proprie webcam e in ogni caso, quelle giudicate troppo invasive della privacy altrui non sono state listate.

Però, se volete vedere qualche frammento di vita nel mondo, fateci un giro (e se avete una webcam, controllate che non ci sia). L’elenco è ordinato geograficamente.

E se vi interessa spiare il mondo, sempre legalmente, andate su questa mia pagina.

Ci spiano a fin di bene?

Le foto digitali contengono un sacco di dati, quasi tutti di carattere tecnico. Il formato utilizzato dalle fotocamere digitali, infatti, va sotto il nome di Exif (Exchangeable image file format). La specifica utilizza i formati esistenti JPEG, TIFF Rev. 6.0, e RIFF, con l’aggiunta di specifiche etichette (tag) di metadati.

Questi metadati, in genere, sono utili perché permettono, anche a distanza di tempo, di visualizzare i valori di tempo, diaframma, risoluzione, data e ora, nonché tutte le impostazioni con cui è stata scattata la foto.

Per vederli, aprite questa pagina e caricate una foto oppure scaricate l’ottimo ExifTool.

Fra questi dati, però, almeno uno può essere utile o dannoso in base alle intenzioni. È il numero di serie della fotocamera, che è unico e quindi, in qualche modo, permette di risalire all’acquirente. Quindi ricordate di eliminare i metadati se, per es., mettete una immagine in internet e non volete essere identificati.

D’altra parte, proprio il serial number può avere un altro utilizzo, più interessante. Supponete che vi rubino la fotocamera e che, alla fine, vada in mano a qualcuno che fa qualche foto e la mette in internet.

Ebbene guardando il serial number di quelle immagini, voi potete dimostrare che sono state scattate con la vostra fotocamera (peraltro il numero dovrebbe essere anche riportato sulla garanzia).

È proprio quello che fa il sito stolencamerafinder che ha raccolto un database di più di un milione di fotocamere. Vi basta avere una immagine non modificata scattata con la vostra fotocamera ormai perduta e il sito può aiutarvi a identificare altre immagini scattate con la stessa, a patto che siano state imprudentemente messe in rete.

Se, poi, per curiosità, volete vedere i dati Exif contenuti in una immagine, cliccate qui sotto.

Continue reading

Come al solito ci spiano

In questi giorni sta facendo un certo rumore la scoperta che la nuova generazione di cellulari ci spia sistematicamente. Non mi riferisco al fatto, ormai noto a tutti, che i nostri spostamenti e contatti vengono tracciati dalle compagnie telefoniche grazie alle celle che il nostro cellulare aggancia, ma al fatto che i nostri movimenti vengono salvati in un file conservato all’interno del telefono e a volte anche sul computer a cui il telefono viene connesso.

Tutto ciò appare grave perché, se alle registrazioni conservate dalle aziende si può accedere solo dietro richiesta di un magistrato, questo file può essere consultato da chiunque sappia come arrivarci. E non è difficile, soprattutto per Apple.

La cosa vale sia per l’iOS di Apple che per Android. con qualche piccola distinzione che vado a riferirvi:

mappa realizzata a partire dai dati conservati su iPhoneiOS Apple (iPhone e iPad 3G)

Cory Doctorow riporta qui la scoperta di alcuni ricercatori che si occupano di sicurezza presentata alla conferenza Where 2.0. È stato scoperto un file nascosto (invisibile all’utente) che contiene tutti gli spostamenti del telefono desunti dalle celle, dagli access point wi-fi e dal GPS, ognuno accompagnato dal relativo time-stamp (data e ora). Il file viene anche scaricato sul computer a cui il telefono si connette.

A quanto pare, la registrazione di tali dati è iniziata con l’upgrade a iOS 4 datata Maggio 2010. Di conseguenza,  in alcuni telefoni, si può trovare quasi un anno di spostamenti completi di coordinate, data e ora. Il file non è criptato e la lettura è possibile anche a non geek utilizzando l’apposita applicazione, iPhone Tracker, che si scarica qui.

Finora Apple non ha spiegato perché questi dati vengono raccolti, né fornito un modo per bloccarli. L’utente viene tracciato, che lo voglia o no. In pratica, Apple ha reso possibile ottenere informazioni dettagliate sui vostri spostamenti a chiunque abbia accesso al vostro iPhone (un partner geloso, un detective privato, i genitori, etc.).

La cosa divertente è che Apple ha il diritto di raccogliere tali dati. Fra le 15200 parole che formano i terms and conditions for its iTunes program, un paragrafo di 86 parole dice

Apple and our partners and licensees may collect, use, and share precise location data, including the real-time geographic location of your Apple computer or device. This location data is collected anonymously in a form that does not personally identify you and is used by Apple and our partners and licensees to provide and improve location-based products and services. For example, we may share geographic location with application providers when you opt in to their location services.

La notizia è finita anche sul Guardian con dovizia di particolari.

Android

Gli utenti Android sono relativamente più fortunati. Quello di Android, infatti, non è un file, ma una cache. Ne consegue che è più difficile accedervi (serve un informatico dotato di una certa perizia, vedere qui), ma soprattutto vengono conservate solo le ultime 50 celle e gli ultimi 200 wi-fi access point. La profondità dei dati, quindi, è più limitata rispetto a iOS.

In entrambi i casi, non si sa se i dati vengano inviati rispettivamente a Apple e a Google. Vari rappresentanti di entrambe le aziende si stanno affrettando a negare qualsiasi utilizzo fraudolento.

Tienti stretto il Blackberry

Obama sta lottando per tenersi il Blackberry.

Generalmente non si sa, però il presidente USA non ha privacy. Non ha una email diretta, non può ricevere direttamente posta, tutte le sue comunicazioni passano attraverso la Casa Bianca. Agli amici viene dato un codice postale speciale a cui inviare la posta e gli addetti alla sicurezza devono avere i nomi di tutte queste persone perché sono istruiti a passare al presidente la loro posta senza controllarla. Lo stesso accade per il cellulare. Come ebbe a dire Clinton riferendosi appunto alla Casa Bianca: è la punta di diamante del sistema penale federale.

Nel caso specifico, gli addetti alla sicurezza vogliono togliere a Barack il suo Blackberry perché è considerato troppo facile da intercettare, ma lui non ne vuol sapere perché è il suo unico aggancio con una vita sociale normale.

A proposito, lo sanno i nostri governanti che citano tanto gli USA quando fa comodo, che in quel paese praticamente tutte le comunicazioni del presidente vengono controllate?

Google Chrome: indietro tutta

Dopo le polemixhe generate dall’articolo 11 dell’EULA di Chrome, che sembrava concedere a Google una licenza a vita su qualsiasi contenuto venisse visualizzato nel browser (vedi i commenti al post del 4/9), la compagnia ha fatto una veloce conversione a U, chiarendo che l’art. 11 era frutto di una svista di copia e incolla.

So for Google Chrome, only the first sentence of Section 11 should have applied. We’re sorry we overlooked this, but we’ve fixed it now, and you can read the updated Google Chrome terms of service. If you’re into the fine print, here’s the revised text of Section 11:

11. Content license from you
11.1 You retain copyright and any other rights you already hold in Content which you submit, post or display on or through, the Services.

And that’s all. Period. End of section.

aggiungendo che ci vorrà un po’ per propagare la modifica in tutti i 40+ linguaggi della distribuzione, comunque il cambiamento è retroattivo.

In effetti, nel momento in cui scrivo, la versione inglese è già aggiornata; quella in italiano, non ancora.

Dati perduti

È il 2008 e siamo solo a metà marzo.

Quello che segue è un elenco sicuramente parziale della mole di dati sensibili esposti a terzi in violazione della privacy, a causa di negligenze, incidenti, furti o cracking negli USA.

Nell’intero 2007 i casi accertati sono stati 329 e coinvolgono milioni di persone. Questi dati sono raccolti nell’Attrition.org Data Loss Archive and Database. L’archivio è pubblico.

Apprezzate gli effetti collaterali della società dell’informazione. Continue reading

Per una società con pareti di vetro

Immaginate adesso una società con pareti di vetro.
Mi spiego. Supponete che:

  • Ognuno di noi, alla nascita, venga identificato con un codice unico. A dirlo suona terribile, ma in realtà succede già. Da noi è il codice fiscale. In altri stati si usano altri codici generati con vari sistemi (per es. negli USA è il codice della previdenza sociale), ma è già così.
    In ogni modo, non mi interessa esattamente come è fatto il codice. Mi basta che sia unico, che valga in tutti gli stati, che sia lo stesso in rete e fuori e naturalmente che venga utilizzato in qualsiasi dispositivo legato alla persona, compresi i cellulari.
  • Ogni essere umano abbia un collegamento in rete gratuito, assicurato dalla nascita alla morte e identificato dal suo codice.
  • Il denaro contante non esista più. Tutti i pagamenti, di qualsiasi tipo, vengano fatti tramite una sorta di carta di credito e siano registrati in rete.
  • Qualsia forma di comunicazione fuori rete, dal telefono alla posta, non esista più. Tutto passa attraverso la rete.
  • Tutti i gli archivi, di qualsiasi tipo, dal fisco alla sanità, alle assicurazioni, alle banche, all’anagrafe, alle compagnie telefoniche, ai negozi fino alla raccolta punti del supermarket siano in formato digitale (in massima parte lo sono già), ma soprattutto che siano in rete.
  • Tutte le apparecchiature di sorveglianza puntate su luoghi pubblici (anche i bar, gli aeroporti e i centri commerciali) siano in rete. Al limite, anche quelle private. Se metti una webcam per sorvegliare da remoto il tuo cane o il tuo bambino, anch’io lo posso vedere.
  • Nessuna forma di comunicazione e nessun dato possano essere criptati.
  • Tutto ciò che è in rete sia pubblico, accessibile da chiunque.

A questo punto si saprebbe quasi tutto di tutti. Per sapere dove si trova adesso un cellulare e quindi la persona che lo porta, basterebbe collegarsi al db della compagnia telefonica. Per sapere come spendo i soldi, chi ho pagato e quando basta cercare nel db della transazioni. Si saprebbe cosa ho comprato nel tal supermercato, eccetera. Si saprebbe come sono le mie ultime analisi e che malattie ho e ho avuto. Che locali frequento, attraverso quali caselli autostradali la mia auto è passata, che biglietti di treno/aereo ho comprato e se qualcuno con il mio nome ci è salito…

Fine dei segreti.
Fine dello spionaggio statale perché non c’è spionaggio su cose che tutti possono sapere.
Fine della maggior parte dei reati contro il patrimonio.
Fine degli stupidi sospetti familiari.
Fine dell’evasione fiscale.

Non male…

Privacy or not Privacy?

Google e gli altri motori di ricerca permettono di trovare un sacco di cose.
La facilità con cui la gente mette documenti e dispositivi di vario tipo su internet e li espone al mondo, anche senza rendersene conto, è grande e sembra essere una nuova tendenza sociale. Il tutto è reso possibile dall’ubiquità del digitale che ormai codifica qualsiasi tipo di documento scritto, sonoro o in forma di immagine. Nello stesso tempo i supporti come le memory key e le tessere magnetiche cambiano il modo con cui l’informazione viene fisicamente conservata, aumentando enormemente la quantità di dati che ogni persona è in grado di portare con sè.
C’è una richiesta di privacy sempre maggiore, ma, paradossalmente, nello stesso tempo la gente accetta, consapevolmente o meno, che i propri dati e comportamenti siano esposti al mondo grazie alla rete o a una RAM key perduta/dimenticata.
Forse è un passo solo parzialmente consapevole verso una società con pareti di vetro, in cui qualsiasi cosa venga fatta via internet è pubblica e molti comportamenti che, di per sè, sono già pubblici o semi-pubblici (uscire in strada, fermarsi in un bar, discutere in chat, etc.) lo diventano alla massima potenza e sono visibili da tutti coloro che si imbattono nel link alla webcam o al file giusto, potenzialmente da tutto il mondo.

Dato che io sono favorevole a una casa di vetro, ho appena creato una pagina dedicata alle cose relativamente private che si possono trovare con Google e/o altri motori di ricerca.
Non contiene cose potenzialmente pericolose come ricerca di password, falle di sicurezza o simili, che pure si possono fare (quindi se cercate questo, andate da un’altra parte).
Divertitevi.

Universe is not user friendly, but it seems

kakophone

Ladies & Gentlemen I introduce to you the Kakophone.
This funny virtual synthesizer can generate an infinite number of customized ringtones in different styles. Then it sends the files to your mail address. All for free. You must only agree to receive a newsletter (advertisements, I suppose), that you can easily unsubscribe.
The device is really funny. It makes a lot of pretty noises. I suppose that many kids has been connected and used the program without thinking so much. Try it. But first read below.

Well, when you first enter the kakophone, it ask you for your telephone number that is printed on the device as bar-code (look under the red row: 789… it’s not mine). The number is used as random number seed to be sure that each ringtone is unique. From a mathematical point of view, this is correct.
Then you play with the device generating some ringtones and finally choose one.
Now the kakophone must create a file fitting your cellular phone. So it ask you for your country, the brand and model of your phone and your mail address.
And here I stop because I realized that if I press the button, the site could link

  • my country
  • my email
  • my phone number
  • the brand and model of my phone

Ok, it can’t be sure that the phone number is mine and I am just a little paranoid, but…