Insecam

Nel 2006 ho pubblicato un post intitolato L’Universo non è user friendly, dedicato alle webcam non protette e in generale, a tutti quelli che non si rendono conto che internet ha delle regole di comportamento ed è bene seguirle per non trovarsi nei guai. Il post spiega come trovare e guardare le webcam non protette che operano su internet. Tecnicamente non si commette nessun reato perché non si forza nulla. Non essendo la pagina protetta, si accede semplicemente a un sito individuato da un indirizzo ip, come tutti gli altri.

Faccio un esempio: tutti sanno che il mio sito è www.maurograziani.org e che all’indirizzo www.maurograziani.org/wordpress c’è il mio blog. Pochi, però, sanno che all’indirizzo www.maurograziani.org/non-ve-lo-dico c’è il calendario delle mie lezioni in Conservatorio. Ovviamente non è una pagina così privata. L’orario delle mie lezioni è noto in Conservatorio e anche se qualcun altro lo vede, non mi dà fastidio. Non lo pubblicizzo semplicemente perché non è una cosa di interesse pubblico, ma se qualcuno ci arriva non mi preoccupo. Se volessi nasconderlo, metterei una password alla pagina.

Per le webcam e per molte altre cose su internet è lo stesso: se sono liberamente visibili significa che al proprietario non interessa tenerle segrete. E se succede perché uno non ci pensa o non lo sa, beh, l’ignoranza non è una scusante. Bastava leggere il manuale.

Ora qualcuno ha espanso questa idea e creato un sito in cui sono raccolti gli indirizzi di migliaia di webcam non protette. Si tratta del progetto insecam, dove insecam ovviamente sta per insecure webcam. Il tutto ha fini “didattici”. Serve a spingere i proprietari a proteggere le proprie webcam e in ogni caso, quelle giudicate troppo invasive della privacy altrui non sono state listate.

Però, se volete vedere qualche frammento di vita nel mondo, fateci un giro (e se avete una webcam, controllate che non ci sia). L’elenco è ordinato geograficamente.

E se vi interessa spiare il mondo, sempre legalmente, andate su questa mia pagina.

Ci spiano a fin di bene?

Le foto digitali contengono un sacco di dati, quasi tutti di carattere tecnico. Il formato utilizzato dalle fotocamere digitali, infatti, va sotto il nome di Exif (Exchangeable image file format). La specifica utilizza i formati esistenti JPEG, TIFF Rev. 6.0, e RIFF, con l’aggiunta di specifiche etichette (tag) di metadati.

Questi metadati, in genere, sono utili perché permettono, anche a distanza di tempo, di visualizzare i valori di tempo, diaframma, risoluzione, data e ora, nonché tutte le impostazioni con cui è stata scattata la foto.

Per vederli, aprite questa pagina e caricate una foto oppure scaricate l’ottimo ExifTool.

Fra questi dati, però, almeno uno può essere utile o dannoso in base alle intenzioni. È il numero di serie della fotocamera, che è unico e quindi, in qualche modo, permette di risalire all’acquirente. Quindi ricordate di eliminare i metadati se, per es., mettete una immagine in internet e non volete essere identificati.

D’altra parte, proprio il serial number può avere un altro utilizzo, più interessante. Supponete che vi rubino la fotocamera e che, alla fine, vada in mano a qualcuno che fa qualche foto e la mette in internet.

Ebbene guardando il serial number di quelle immagini, voi potete dimostrare che sono state scattate con la vostra fotocamera (peraltro il numero dovrebbe essere anche riportato sulla garanzia).

È proprio quello che fa il sito stolencamerafinder che ha raccolto un database di più di un milione di fotocamere. Vi basta avere una immagine non modificata scattata con la vostra fotocamera ormai perduta e il sito può aiutarvi a identificare altre immagini scattate con la stessa, a patto che siano state imprudentemente messe in rete.

Se, poi, per curiosità, volete vedere i dati Exif contenuti in una immagine, ecco qui:

Exif Byte Order                 : Little-endian (Intel, II)
Image Description               : OLYMPUS DIGITAL CAMERA
Make                            : OLYMPUS IMAGING CORP.
Camera Model Name               : SP800UZ
Orientation                     : Horizontal (normal)
X Resolution                    : 72
Y Resolution                    : 72
Resolution Unit                 : inches
Software                        : Version 1.0
Modify Date                     : 2010:10:15 09:15:56
Y Cb Cr Positioning             : Co-sited
Exposure Time                   : 0.3
F Number                        : 4.1
Exposure Program                : Program AE
ISO                             : 400
Exif Version                    : 0221
Date/Time Original              : 2010:10:15 09:15:56
Create Date                     : 2010:10:15 09:15:56
Components Configuration        : Y, Cb, Cr, -
Compressed Bits Per Pixel       : 2
Exposure Compensation           : 0
Max Aperture Value              : 2.8
Metering Mode                   : Multi-segment
Light Source                    : Unknown
Flash                           : Off, Did not fire
Focal Length                    : 36.7 mm
Special Mode                    : Normal, Sequence: 0, Panorama: (none)
Camera ID                       : OLYMPUS DIGITAL CAMERA
Equipment Version               : 0100
Camera Type 2                   : D4434
Focal Plane Diagonal            : 7.665 mm
Body Firmware Version           : 77
Camera Settings Version         : 0100
Preview Image Valid             : No
Preview Image Start             : 1644
Preview Image Length            : 0
Macro Mode                      : Off
Flash Mode                      : Off
White Balance 2                 : Auto
Drive Mode                      : Single Shot
Panorama Mode                   : Off
Image Processing Version        : 0112
Distortion Correction 2         : Off
Face Detect                     : Off; Unknown (0)
Face Detect Area                : (Binary data 383 bytes, use -b option to extract)
Quality                         : SQ (Low)
Macro                           : Off
Black & White Mode              : Off
Digital Zoom                    : 1.0
Resolution                      : 1
Camera Type                     : D4434
Pre Capture Frames              : 0
White Board                     : 0
One Touch WB                    : Off
White Balance Bracket           : 0
White Balance Bias              : 0
Scene Mode                      : Standard
Serial Number                   : 000JAJ248048
Data Dump                       : (Binary data 2540 bytes, use -b option to extract)
User Comment                    :
Flashpix Version                : 0100
Color Space                     : sRGB
Exif Image Width                : 2560
Exif Image Height               : 1920
Interoperability Index          : R98 - DCF basic file (sRGB)
Interoperability Version        : 0100
File Source                     : Digital Camera
Scene Type                      : Directly photographed
Custom Rendered                 : Normal
Exposure Mode                   : Auto
White Balance                   : Auto
Digital Zoom Ratio              : 0
Focal Length In 35mm Format     : 204 mm
Scene Capture Type              : Standard
Gain Control                    : High gain up
Contrast                        : Normal
Saturation                      : Normal
Sharpness                       : Normal
Compression                     : JPEG (old-style)
Thumbnail Offset                : 9216
Thumbnail Length                : 4452
Image Width                     : 2560
Image Height                    : 1920
Encoding Process                : Baseline DCT, Huffman coding
Bits Per Sample                 : 8
Color Components                : 3
Y Cb Cr Sub Sampling            : YCbCr4:2:2 (2 1)
Aperture                        : 4.1
Image Size                      : 2560x1920
Scale Factor To 35 mm Equivalent: 5.6
Shutter Speed                   : 0.3
Thumbnail Image                 : (Binary data 4452 bytes, use -b option to extract)
Circle Of Confusion             : 0.005 mm
Field Of View                   : 10.1 deg
Focal Length                    : 36.7 mm (35 mm equivalent: 204.0 mm)
Hyperfocal Distance             : 60.77 m
Light Value                     : 3.7

Come al solito ci spiano

In questi giorni sta facendo un certo rumore la scoperta che la nuova generazione di cellulari ci spia sistematicamente. Non mi riferisco al fatto, ormai noto a tutti, che i nostri spostamenti e contatti vengono tracciati dalle compagnie telefoniche grazie alle celle che il nostro cellulare aggancia, ma al fatto che i nostri movimenti vengono salvati in un file conservato all’interno del telefono e a volte anche sul computer a cui il telefono viene connesso.

Tutto ciò appare grave perché, se alle registrazioni conservate dalle aziende si può accedere solo dietro richiesta di un magistrato, questo file può essere consultato da chiunque sappia come arrivarci. E non è difficile, soprattutto per Apple.

La cosa vale sia per l’iOS di Apple che per Android. con qualche piccola distinzione che vado a riferirvi:

mappa realizzata a partire dai dati conservati su iPhoneiOS Apple (iPhone e iPad 3G)

Cory Doctorow riporta qui la scoperta di alcuni ricercatori che si occupano di sicurezza presentata alla conferenza Where 2.0. È stato scoperto un file nascosto (invisibile all’utente) che contiene tutti gli spostamenti del telefono desunti dalle celle, dagli access point wi-fi e dal GPS, ognuno accompagnato dal relativo time-stamp (data e ora). Il file viene anche scaricato sul computer a cui il telefono si connette.

A quanto pare, la registrazione di tali dati è iniziata con l’upgrade a iOS 4 datata Maggio 2010. Di conseguenza,  in alcuni telefoni, si può trovare quasi un anno di spostamenti completi di coordinate, data e ora. Il file non è criptato e la lettura è possibile anche a non geek utilizzando l’apposita applicazione, iPhone Tracker, che si scarica qui.

Finora Apple non ha spiegato perché questi dati vengono raccolti, né fornito un modo per bloccarli. L’utente viene tracciato, che lo voglia o no. In pratica, Apple ha reso possibile ottenere informazioni dettagliate sui vostri spostamenti a chiunque abbia accesso al vostro iPhone (un partner geloso, un detective privato, i genitori, etc.).

La cosa divertente è che Apple ha il diritto di raccogliere tali dati. Fra le 15200 parole che formano i terms and conditions for its iTunes program, un paragrafo di 86 parole dice

Apple and our partners and licensees may collect, use, and share precise location data, including the real-time geographic location of your Apple computer or device. This location data is collected anonymously in a form that does not personally identify you and is used by Apple and our partners and licensees to provide and improve location-based products and services. For example, we may share geographic location with application providers when you opt in to their location services.

La notizia è finita anche sul Guardian con dovizia di particolari.

Android

Gli utenti Android sono relativamente più fortunati. Quello di Android, infatti, non è un file, ma una cache. Ne consegue che è più difficile accedervi (serve un informatico dotato di una certa perizia, vedere qui), ma soprattutto vengono conservate solo le ultime 50 celle e gli ultimi 200 wi-fi access point. La profondità dei dati, quindi, è più limitata rispetto a iOS.

In entrambi i casi, non si sa se i dati vengano inviati rispettivamente a Apple e a Google. Vari rappresentanti di entrambe le aziende si stanno affrettando a negare qualsiasi utilizzo fraudolento.

Tienti stretto il Blackberry

Obama sta lottando per tenersi il Blackberry.

Generalmente non si sa, però il presidente USA non ha privacy. Non ha una email diretta, non può ricevere direttamente posta, tutte le sue comunicazioni passano attraverso la Casa Bianca. Agli amici viene dato un codice postale speciale a cui inviare la posta e gli addetti alla sicurezza devono avere i nomi di tutte queste persone perché sono istruiti a passare al presidente la loro posta senza controllarla. Lo stesso accade per il cellulare. Come ebbe a dire Clinton riferendosi appunto alla Casa Bianca: è la punta di diamante del sistema penale federale.

Nel caso specifico, gli addetti alla sicurezza vogliono togliere a Barack il suo Blackberry perché è considerato troppo facile da intercettare, ma lui non ne vuol sapere perché è il suo unico aggancio con una vita sociale normale.

A proposito, lo sanno i nostri governanti che citano tanto gli USA quando fa comodo, che in quel paese praticamente tutte le comunicazioni del presidente vengono controllate?

Google Chrome: indietro tutta

Dopo le polemixhe generate dall’articolo 11 dell’EULA di Chrome, che sembrava concedere a Google una licenza a vita su qualsiasi contenuto venisse visualizzato nel browser (vedi i commenti al post del 4/9), la compagnia ha fatto una veloce conversione a U, chiarendo che l’art. 11 era frutto di una svista di copia e incolla.

So for Google Chrome, only the first sentence of Section 11 should have applied. We’re sorry we overlooked this, but we’ve fixed it now, and you can read the updated Google Chrome terms of service. If you’re into the fine print, here’s the revised text of Section 11:

11. Content license from you
11.1 You retain copyright and any other rights you already hold in Content which you submit, post or display on or through, the Services.

And that’s all. Period. End of section.

aggiungendo che ci vorrà un po’ per propagare la modifica in tutti i 40+ linguaggi della distribuzione, comunque il cambiamento è retroattivo.

In effetti, nel momento in cui scrivo, la versione inglese è già aggiornata; quella in italiano, non ancora.

Dati perduti

È il 2008 e siamo solo a metà marzo.

Quello che segue è un elenco sicuramente parziale della mole di dati sensibili esposti a terzi in violazione della privacy, a causa di negligenze, incidenti, furti o cracking negli USA.

Nell’intero 2007 i casi accertati sono stati 329 e coinvolgono milioni di persone. Questi dati sono raccolti nell’Attrition.org Data Loss Archive and Database. L’archivio è pubblico.

Apprezzate gli effetti collaterali della società dell’informazione. Continua a leggere

Per una società con pareti di vetro

Immaginate adesso una società con pareti di vetro.
Mi spiego. Supponete che:

  • Ognuno di noi, alla nascita, venga identificato con un codice unico. A dirlo suona terribile, ma in realtà succede già. Da noi è il codice fiscale. In altri stati si usano altri codici generati con vari sistemi (per es. negli USA è il codice della previdenza sociale), ma è già così.
    In ogni modo, non mi interessa esattamente come è fatto il codice. Mi basta che sia unico, che valga in tutti gli stati, che sia lo stesso in rete e fuori e naturalmente che venga utilizzato in qualsiasi dispositivo legato alla persona, compresi i cellulari.
  • Ogni essere umano abbia un collegamento in rete gratuito, assicurato dalla nascita alla morte e identificato dal suo codice.
  • Il denaro contante non esista più. Tutti i pagamenti, di qualsiasi tipo, vengano fatti tramite una sorta di carta di credito e siano registrati in rete.
  • Qualsia forma di comunicazione fuori rete, dal telefono alla posta, non esista più. Tutto passa attraverso la rete.
  • Tutti i gli archivi, di qualsiasi tipo, dal fisco alla sanità, alle assicurazioni, alle banche, all’anagrafe, alle compagnie telefoniche, ai negozi fino alla raccolta punti del supermarket siano in formato digitale (in massima parte lo sono già), ma soprattutto che siano in rete.
  • Tutte le apparecchiature di sorveglianza puntate su luoghi pubblici (anche i bar, gli aeroporti e i centri commerciali) siano in rete. Al limite, anche quelle private. Se metti una webcam per sorvegliare da remoto il tuo cane o il tuo bambino, anch’io lo posso vedere.
  • Nessuna forma di comunicazione e nessun dato possano essere criptati.
  • Tutto ciò che è in rete sia pubblico, accessibile da chiunque.

A questo punto si saprebbe quasi tutto di tutti. Per sapere dove si trova adesso un cellulare e quindi la persona che lo porta, basterebbe collegarsi al db della compagnia telefonica. Per sapere come spendo i soldi, chi ho pagato e quando basta cercare nel db della transazioni. Si saprebbe cosa ho comprato nel tal supermercato, eccetera. Si saprebbe come sono le mie ultime analisi e che malattie ho e ho avuto. Che locali frequento, attraverso quali caselli autostradali la mia auto è passata, che biglietti di treno/aereo ho comprato e se qualcuno con il mio nome ci è salito…

Fine dei segreti.
Fine dello spionaggio statale perché non c’è spionaggio su cose che tutti possono sapere.
Fine della maggior parte dei reati contro il patrimonio.
Fine degli stupidi sospetti familiari.
Fine dell’evasione fiscale.

Non male…

Privacy or not Privacy?

Google e gli altri motori di ricerca permettono di trovare un sacco di cose.
La facilità con cui la gente mette documenti e dispositivi di vario tipo su internet e li espone al mondo, anche senza rendersene conto, è grande e sembra essere una nuova tendenza sociale. Il tutto è reso possibile dall’ubiquità del digitale che ormai codifica qualsiasi tipo di documento scritto, sonoro o in forma di immagine. Nello stesso tempo i supporti come le memory key e le tessere magnetiche cambiano il modo con cui l’informazione viene fisicamente conservata, aumentando enormemente la quantità di dati che ogni persona è in grado di portare con sè.
C’è una richiesta di privacy sempre maggiore, ma, paradossalmente, nello stesso tempo la gente accetta, consapevolmente o meno, che i propri dati e comportamenti siano esposti al mondo grazie alla rete o a una RAM key perduta/dimenticata.
Forse è un passo solo parzialmente consapevole verso una società con pareti di vetro, in cui qualsiasi cosa venga fatta via internet è pubblica e molti comportamenti che, di per sè, sono già pubblici o semi-pubblici (uscire in strada, fermarsi in un bar, discutere in chat, etc.) lo diventano alla massima potenza e sono visibili da tutti coloro che si imbattono nel link alla webcam o al file giusto, potenzialmente da tutto il mondo.

Dato che io sono favorevole a una casa di vetro, ho appena creato una pagina dedicata alle cose relativamente private che si possono trovare con Google e/o altri motori di ricerca.
Non contiene cose potenzialmente pericolose come ricerca di password, falle di sicurezza o simili, che pure si possono fare (quindi se cercate questo, andate da un’altra parte).
Divertitevi.

L’Universo non è user friendly anche se lo sembra

kakophone

Signore e signori, vi presento il Kakophone.
Questo divertente sintetizzatore virtuale genera una quantità infinita di suonerie personalizzate in diversi stili. Poi ve le manda al vostro indirizzo email. Tutto gratis. In cambio vi chiede solo di iscrivervi a una newsletter, verosimilmente pubblicitaria, che poi potete annullare.
L’oggetto è effettivamente molto simpatico. Fa un sacco di rumorini graziosi. Immagino che torme di ragazzini si siano immediatamente fiondati sul sito. Provatelo anche voi. Però, prima, seguite questo ragionamento.

Dunque, per prima cosa il kakophone vi chiede il vostro numero telefonico che appare sotto forma di bar-code nell’immagine (sulla destra sotto alla freccia; 789… non è il mio). Il numero serve come base per un generatore di numeri casuali ed è quello che assicura che una suoneria non possa essere duplicata. Dal punto di vista informatico è corretto. Ovviamente potete dare un numero qualsiasi, ma di solito non ci si pensa. Anch’io ho dato il mio.
Poi voi giocherellate con l’oggetto. Generate un po’ di suonerie e ne scegliete una. A questo punto il programma te la deve inviare come file perché tu possa caricarla nel telefono e ti chiede nazionalità, marca e modello del telefono e email.
E qui mi sono bloccato. Perché, così facendo, il sito conosce e associa

  • la mia nazionalità
  • il mio numero di telefono
  • la mia email
  • marca e modello del mio telefono

Non male. Vi rendete conto? Va bene che non può esserne sicuro e io sono tendenzialmente paranoico, ma le vie di internet sono infinite…