Archivi tag: privacy

Insecam

Pubblicato il da

Nel 2006 ho pubblicato un post intitolato L’Universo non è user friendly, dedicato alle webcam non protette e in generale, a tutti quelli che non si rendono conto che internet ha delle regole di comportamento ed è bene seguirle per non trovarsi nei guai. Il post spiega come trovare e guardare le webcam non protette che operano su internet. Tecnicamente non si commette nessun reato perché non si forza nulla. Non essendo la pagina protetta, si accede semplicemente a un sito individuato da un indirizzo ip, come tutti gli altri.

Faccio un esempio: tutti sanno che il mio sito è www.maurograziani.org e che all’indirizzo www.maurograziani.org/wordpress c’è il mio blog. Pochi, però, sanno che all’indirizzo www.maurograziani.org/non-ve-lo-dico c’è il calendario delle mie lezioni in Conservatorio. Ovviamente non è una pagina così privata. L’orario delle mie lezioni è noto in Conservatorio e anche se qualcun altro lo vede, non mi dà fastidio. Non lo pubblicizzo semplicemente perché non è una cosa di interesse pubblico, ma se qualcuno ci arriva non mi preoccupo. Se volessi nasconderlo, metterei una password alla pagina.

Per le webcam e per molte altre cose su internet è lo stesso: se sono liberamente visibili significa che al proprietario non interessa tenerle segrete. E se succede perché uno non ci pensa o non lo sa, beh, l’ignoranza non è una scusante. Bastava leggere il manuale.

Ora qualcuno ha espanso questa idea e creato un sito in cui sono raccolti gli indirizzi di migliaia di webcam non protette. Si tratta del progetto insecam, dove insecam ovviamente sta per insecure webcam. Il tutto ha fini “didattici”. Serve a spingere i proprietari a proteggere le proprie webcam e in ogni caso, quelle giudicate troppo invasive della privacy altrui non sono state listate.

Però, se volete vedere qualche frammento di vita nel mondo, fateci un giro (e se avete una webcam, controllate che non ci sia). L’elenco è ordinato geograficamente.

E se vi interessa spiare il mondo, sempre legalmente, andate su questa mia pagina.

Ci spiano a fin di bene?

Pubblicato il da

Le foto digitali contengono un sacco di dati, quasi tutti di carattere tecnico. Il formato utilizzato dalle fotocamere digitali, infatti, va sotto il nome di Exif (Exchangeable image file format). La specifica utilizza i formati esistenti JPEG, TIFF Rev. 6.0, e RIFF, con l’aggiunta di specifiche etichette (tag) di metadati.

Questi metadati, in genere, sono utili perché permettono, anche a distanza di tempo, di visualizzare i valori di tempo, diaframma, risoluzione, data e ora, nonché tutte le impostazioni con cui è stata scattata la foto.

Per vederli, aprite questa pagina e caricate una foto oppure scaricate l’ottimo ExifTool.

Fra questi dati, però, almeno uno può essere utile o dannoso in base alle intenzioni. È il numero di serie della fotocamera, che è unico e quindi, in qualche modo, permette di risalire all’acquirente. Quindi ricordate di eliminare i metadati se, per es., mettete una immagine in internet e non volete essere identificati.

D’altra parte, proprio il serial number può avere un altro utilizzo, più interessante. Supponete che vi rubino la fotocamera e che, alla fine, vada in mano a qualcuno che fa qualche foto e la mette in internet.

Ebbene guardando il serial number di quelle immagini, voi potete dimostrare che sono state scattate con la vostra fotocamera (peraltro il numero dovrebbe essere anche riportato sulla garanzia).

È proprio quello che fa il sito stolencamerafinder che ha raccolto un database di più di un milione di fotocamere. Vi basta avere una immagine non modificata scattata con la vostra fotocamera ormai perduta e il sito può aiutarvi a identificare altre immagini scattate con la stessa, a patto che siano state imprudentemente messe in rete.

Se, poi, per curiosità, volete vedere i dati Exif contenuti in una immagine, ecco qui:

Exif Byte Order                 : Little-endian (Intel, II)
Image Description               : OLYMPUS DIGITAL CAMERA
Make                            : OLYMPUS IMAGING CORP.
Camera Model Name               : SP800UZ
Orientation                     : Horizontal (normal)
X Resolution                    : 72
Y Resolution                    : 72
Resolution Unit                 : inches
Software                        : Version 1.0
Modify Date                     : 2010:10:15 09:15:56
Y Cb Cr Positioning             : Co-sited
Exposure Time                   : 0.3
F Number                        : 4.1
Exposure Program                : Program AE
ISO                             : 400
Exif Version                    : 0221
Date/Time Original              : 2010:10:15 09:15:56
Create Date                     : 2010:10:15 09:15:56
Components Configuration        : Y, Cb, Cr, -
Compressed Bits Per Pixel       : 2
Exposure Compensation           : 0
Max Aperture Value              : 2.8
Metering Mode                   : Multi-segment
Light Source                    : Unknown
Flash                           : Off, Did not fire
Focal Length                    : 36.7 mm
Special Mode                    : Normal, Sequence: 0, Panorama: (none)
Camera ID                       : OLYMPUS DIGITAL CAMERA
Equipment Version               : 0100
Camera Type 2                   : D4434
Focal Plane Diagonal            : 7.665 mm
Body Firmware Version           : 77
Camera Settings Version         : 0100
Preview Image Valid             : No
Preview Image Start             : 1644
Preview Image Length            : 0
Macro Mode                      : Off
Flash Mode                      : Off
White Balance 2                 : Auto
Drive Mode                      : Single Shot
Panorama Mode                   : Off
Image Processing Version        : 0112
Distortion Correction 2         : Off
Face Detect                     : Off; Unknown (0)
Face Detect Area                : (Binary data 383 bytes, use -b option to extract)
Quality                         : SQ (Low)
Macro                           : Off
Black & White Mode              : Off
Digital Zoom                    : 1.0
Resolution                      : 1
Camera Type                     : D4434
Pre Capture Frames              : 0
White Board                     : 0
One Touch WB                    : Off
White Balance Bracket           : 0
White Balance Bias              : 0
Scene Mode                      : Standard
Serial Number                   : 000JAJ248048
Data Dump                       : (Binary data 2540 bytes, use -b option to extract)
User Comment                    :
Flashpix Version                : 0100
Color Space                     : sRGB
Exif Image Width                : 2560
Exif Image Height               : 1920
Interoperability Index          : R98 - DCF basic file (sRGB)
Interoperability Version        : 0100
File Source                     : Digital Camera
Scene Type                      : Directly photographed
Custom Rendered                 : Normal
Exposure Mode                   : Auto
White Balance                   : Auto
Digital Zoom Ratio              : 0
Focal Length In 35mm Format     : 204 mm
Scene Capture Type              : Standard
Gain Control                    : High gain up
Contrast                        : Normal
Saturation                      : Normal
Sharpness                       : Normal
Compression                     : JPEG (old-style)
Thumbnail Offset                : 9216
Thumbnail Length                : 4452
Image Width                     : 2560
Image Height                    : 1920
Encoding Process                : Baseline DCT, Huffman coding
Bits Per Sample                 : 8
Color Components                : 3
Y Cb Cr Sub Sampling            : YCbCr4:2:2 (2 1)
Aperture                        : 4.1
Image Size                      : 2560x1920
Scale Factor To 35 mm Equivalent: 5.6
Shutter Speed                   : 0.3
Thumbnail Image                 : (Binary data 4452 bytes, use -b option to extract)
Circle Of Confusion             : 0.005 mm
Field Of View                   : 10.1 deg
Focal Length                    : 36.7 mm (35 mm equivalent: 204.0 mm)
Hyperfocal Distance             : 60.77 m
Light Value                     : 3.7

Come al solito ci spiano

Pubblicato il da

In questi giorni sta facendo un certo rumore la scoperta che la nuova generazione di cellulari ci spia sistematicamente. Non mi riferisco al fatto, ormai noto a tutti, che i nostri spostamenti e contatti vengono tracciati dalle compagnie telefoniche grazie alle celle che il nostro cellulare aggancia, ma al fatto che i nostri movimenti vengono salvati in un file conservato all’interno del telefono e a volte anche sul computer a cui il telefono viene connesso.

Tutto ciò appare grave perché, se alle registrazioni conservate dalle aziende si può accedere solo dietro richiesta di un magistrato, questo file può essere consultato da chiunque sappia come arrivarci. E non è difficile, soprattutto per Apple.

La cosa vale sia per l’iOS di Apple che per Android. con qualche piccola distinzione che vado a riferirvi:

mappa realizzata a partire dai dati conservati su iPhoneiOS Apple (iPhone e iPad 3G)

Cory Doctorow riporta qui la scoperta di alcuni ricercatori che si occupano di sicurezza presentata alla conferenza Where 2.0. È stato scoperto un file nascosto (invisibile all’utente) che contiene tutti gli spostamenti del telefono desunti dalle celle, dagli access point wi-fi e dal GPS, ognuno accompagnato dal relativo time-stamp (data e ora). Il file viene anche scaricato sul computer a cui il telefono si connette.

A quanto pare, la registrazione di tali dati è iniziata con l’upgrade a iOS 4 datata Maggio 2010. Di conseguenza,  in alcuni telefoni, si può trovare quasi un anno di spostamenti completi di coordinate, data e ora. Il file non è criptato e la lettura è possibile anche a non geek utilizzando l’apposita applicazione, iPhone Tracker, che si scarica qui.

Finora Apple non ha spiegato perché questi dati vengono raccolti, né fornito un modo per bloccarli. L’utente viene tracciato, che lo voglia o no. In pratica, Apple ha reso possibile ottenere informazioni dettagliate sui vostri spostamenti a chiunque abbia accesso al vostro iPhone (un partner geloso, un detective privato, i genitori, etc.).

La cosa divertente è che Apple ha il diritto di raccogliere tali dati. Fra le 15200 parole che formano i terms and conditions for its iTunes program, un paragrafo di 86 parole dice

Apple and our partners and licensees may collect, use, and share precise location data, including the real-time geographic location of your Apple computer or device. This location data is collected anonymously in a form that does not personally identify you and is used by Apple and our partners and licensees to provide and improve location-based products and services. For example, we may share geographic location with application providers when you opt in to their location services.

La notizia è finita anche sul Guardian con dovizia di particolari.

Android

Gli utenti Android sono relativamente più fortunati. Quello di Android, infatti, non è un file, ma una cache. Ne consegue che è più difficile accedervi (serve un informatico dotato di una certa perizia, vedere qui), ma soprattutto vengono conservate solo le ultime 50 celle e gli ultimi 200 wi-fi access point. La profondità dei dati, quindi, è più limitata rispetto a iOS.

In entrambi i casi, non si sa se i dati vengano inviati rispettivamente a Apple e a Google. Vari rappresentanti di entrambe le aziende si stanno affrettando a negare qualsiasi utilizzo fraudolento.

Google Latitude & Alert

Pubblicato il da

logoGoogle Latitude, il servizio che permette di sapere dove si trova qualcuno, o almeno il suo cellulare, è al centro delle polemiche. Molti blaterano di invasione della privacy dimenticando che l’adesione è su base volontaria. Qualcuno suggerisce di fregarlo andando in un posto e lasciando il telefono in un altro, ma allora non si può rispondere…

Altri paventano il fatto che, in certe situazioni si possa essere obbligati ad aderire, ma mi pare un po’ eccessivo. Non credo che un datore di lavoro possa imporlo. L’unico caso può essere quello di un minorenne obbligato dai genitori…

Ma mi chiedo una cosa: esiste, nei cellulari, una ridirezione della chiamata che non avvisi il chiamante? Se esiste, basta avere due cellulari e si può fare di tutto.

Mi chiedo anche un’altra cosa, cioè se sia possibile attivarlo all’insaputa del proprietario del cellulare. Effettivamente i primi passi sono l’inserimento del numero e la ricezione di un sms che arriva subito e invita a consultare una pagina web sul cellulare, cosa che si può fare avendo in mano il telefono da controllare. Ma poi non so cosa succeda perché il mio telefono non è compatibile.

Più interessante e fruibile è, invece, Google Alert che vi invia una mail ogni qualvolta un sito parla di un determinato argomento, ovviamente inserito da voi. Un servizio gratuito che non renderà felici quelli dell’Eco della Stampa, azienda leader nel media monitoring, naturalmente a pagamento.

Tienti stretto il Blackberry

Pubblicato il da

Obama sta lottando per tenersi il Blackberry.

Generalmente non si sa, però il presidente USA non ha privacy. Non ha una email diretta, non può ricevere direttamente posta, tutte le sue comunicazioni passano attraverso la Casa Bianca. Agli amici viene dato un codice postale speciale a cui inviare la posta e gli addetti alla sicurezza devono avere i nomi di tutte queste persone perché sono istruiti a passare al presidente la loro posta senza controllarla. Lo stesso accade per il cellulare. Come ebbe a dire Clinton riferendosi appunto alla Casa Bianca: è la punta di diamante del sistema penale federale.

Nel caso specifico, gli addetti alla sicurezza vogliono togliere a Barack il suo Blackberry perché è considerato troppo facile da intercettare, ma lui non ne vuol sapere perché è il suo unico aggancio con una vita sociale normale.

A proposito, lo sanno i nostri governanti che citano tanto gli USA quando fa comodo, che in quel paese praticamente tutte le comunicazioni del presidente vengono controllate?

Google Chrome: indietro tutta

Pubblicato il da

Dopo le polemixhe generate dall’articolo 11 dell’EULA di Chrome, che sembrava concedere a Google una licenza a vita su qualsiasi contenuto venisse visualizzato nel browser (vedi i commenti al post del 4/9), la compagnia ha fatto una veloce conversione a U, chiarendo che l’art. 11 era frutto di una svista di copia e incolla.

Mike Yang, Senior Product Counsel, ha postato su Googleblog un update in cui dice, fra l’altro:

So for Google Chrome, only the first sentence of Section 11 should have applied. We’re sorry we overlooked this, but we’ve fixed it now, and you can read the updated Google Chrome terms of service. If you’re into the fine print, here’s the revised text of Section 11:

11. Content license from you
11.1 You retain copyright and any other rights you already hold in Content which you submit, post or display on or through, the Services.

And that’s all. Period. End of section.

aggiungendo che ci vorrà un po’ per propagare la modifica in tutti i 40+ linguaggi della distribuzione, comunque il cambiamento è retroattivo.

In effetti, nel momento in cui scrivo, la versione inglese è già aggiornata; quella in italiano, non ancora.

Dati perduti

Pubblicato il da

È il 2008 e siamo solo a metà marzo.

Quello che segue è un elenco sicuramente parziale della mole di dati sensibili esposti a terzi in violazione della privacy, a causa di negligenze, incidenti, furti o cracking negli USA.

Nell’intero 2007 i casi accertati sono stati 329 e coinvolgono milioni di persone. Questi dati sono raccolti nell’Attrition.org Data Loss Archive and Database. L’archivio è pubblico.

Apprezzate gli effetti collaterali della società dell’informazione. Continua a leggere

Stop all that spam!

Pubblicato il da

Negli ultimi giorni ho scritto a 3 amministratori di rete chiedendo che bloccassero l’attività spammatoria di altrettanti individui che insistevano ad inserire nel blog commenti fittizi aventi l’unico scopo di pubblicizzare casinò online, pillole per dimagrire e sistemi per ingrandire il coso (voi non li vedete perché i commenti contenenti certe parole vengono sospesi e sottoposti alla mia approvazione).
Ho allegato i messaggi e i log che provavano la loro attività e lo spam da questi ip è cessato nel giro di 2 giorni (anche nel caso di una rete coreana che non avrei giurato che mi ascoltasse).
Questo conferma che ormai gli amministratori di rete si sono resi conto che lo spam è una rogna anche per loro perché ha raggiunto dimensioni tali da tradursi in un sensibile spreco di banda che i la loro società paga. Inoltre la loro rete corre il rischio di finire su una lista nera (blacklist) che fa sì che i più noti provider non accettino più la loro posta, quindi prendono provvedimenti.
Perciò, quando ricevete email non richieste, oltre ad attivare misure bloccanti, se avete tempo e voglia, protestate! È il modo più sicuro per ottenere risultati. Più gente lo fa, meno spam gira.
Non rispondete allo spammer. Di solito l’indirizzo di ritorno è falso e quando non lo è, o appartiene a un utente ignaro oppure, se è una casella controllata dallo spammer, serve solo a dare al vostro indirizzo email un grande valore, perché la risposta costituisce una conferma che un umano ha letto la mail.

Si fa così:
per prima cosa bisogna identificare il luogo di partenza e per fare questo occorre visualizzare gli header del messaggio, cioè le intestazioni che i vari computer per cui il messaggio passa aggiungono in testa. Per esempio, prendiamo questa email, che voi vedete così:

From: Braelyn Ewing < chana @k3btg.com>
Reply-To: Braelyn Ewing < chana @k3btg.com>
To: Egon Macmillan < xx@pippo.org>
Subject: Re: your coupo
Date: Fri, 26 Jan 2007 10:00:25 +0100

Hi
Viag_gra $3. 30
Ambi_ien $2. 90
Vali_ium $1. 25
CiaI_lis $3. 75
Xan_nax $1. 50

Ora, se chiedete al vostro programma di email di mostrare gli header (il comando è una voce di menu come: “mostra messaggio completo”, “mostra header”, “mostra intestazioni” o simile), esce, per esempio, questo

Return-Path: < chana @k3btg.com>
Received: from pippo.org [217.131.171.142] by host.linux with POP3
(fetchmail-6.3.4) for < pippo1@localhost> (single-drop); Wed, 27 Dec 2006
16:33:39 +0100 (CET)
Received: from k3btg.com (i53871784.versanet.de [83.135.23.132]) by
pippo.org (8.11.6/8.11.6) with SMTP id kBR8wRv31793 for
< xx@pippo.org>; Wed, 27 Dec 2006 01:58:29 -0700
Message-ID: <01c74128$6ad6d570$84178753@EVALUATION1>
Reply-To: “Braelyn Ewing” < chana @k3btg.com>
From: “Braelyn Ewing” < chana @k3btg.com>
To: “Egon Macmillan” < xx@pippo.org>
Subject: Re: your coupo
Date: Fri, 26 Jan 2007 10:00:25 +0100
MIME-Version: 1.0
Content-Type: multipart/alternative; boundary=”—-=_NextPart_000_02C7_01C7412F.7F7411D0″
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
X-UIDL: PjQ!!OR~”!n$’!!nmj!!

This is a multi-part message in MIME format.

——=_NextPart_000_02C7_01C7412F.7F7411D0
Content-Type: text/plain; charset=”Windows-1252″
Content-Transfer-Encoding: quoted-printable

Hi
Viag_gra $3. 30
Ambi_ien $2. 90
Vali_ium $1. 25
CiaI_lis $3. 75
Xan_nax $1. 50

In mezzo a questa roba, l’unica cosa importante sono le linee che iniziano con “Received”: ogni linea rappresenta un computer attraverso il quale questo messaggio è passato. Ce ne possono essere molte.
NB: tutto il resto non ha alcun senso perché può essere falsificato. Per questo spesso vi arriva della posta che non sembra essere diretta a voi.

Received: from pippo.org [217.131.171.142] by host.linux with POP3
(fetchmail-6.3.4) for < pippo1@localhost> (single-drop); Wed, 27 Dec 2006
16:33:39 +0100 (CET)
Received: from k3btg.com (i53871784.versanet.de [83.135.23.132]) by
pippo.org (8.11.6/8.11.6) with SMTP id kBR8wRv31793 for
< xx@pippo.org>; Wed, 27 Dec 2006 01:58:29 -0700

e fra queste, quella originaria è l’ultima (quella più in basso; ogni computer aggiunge la sua linea sopra alle precedenti)

Received: from k3btg.com (i53871784.versanet.de [83.135.23.132]) by
pippo.org (8.11.6/8.11.6) with SMTP id kBR8wRv31793 for
< xx@pippo.org>; Wed, 27 Dec 2006 01:58:29 -0700

Questa linea dice che il primo passo del messaggio è stato andare da k3btg.com (i53871784.versanet.de [83.135.23.132]) a pippo.org in data 27 Dec 2006 01:58:29 -0700.
k3btg.com (i53871784.versanet.de [83.135.23.132]), quindi, è la macchina di partenza, verosimilmente l’ip dello spammer oppure quello di un computer utilizzato fraudolentemente per questo fine.
A questo punto basta scrivere all’amministratore della rete di cui fa parte il computer identificato in quel momento dall’ip 83.135.23.132 e segnalare il problema.
Per sapere chi è basta cercare un sito che faccia whois in internet oppure dare il comando whois numero su un terminale.

83.135.23.132 = [ i53871784.versanet.de ]

 

e cliccando sul nome [ i53871784.versanet.de ] vi mostra una serie di dati fra cui appare

remarks: abuse reports please to: abuse@versatel.de
oppure
abuse-mailbox: abuse@versatel.de

Questo è l’indirizzo a cui bisogna scrivere inviando il messaggio spammatorio completo con tutti gli header di cui sopra, compresa la data e l’ora. Solo così l’amministratore di rete potrà risalire al computer incriminato.
Io di solito aggiungo anche qualche frase di circostanza, tipo

Hi
here is a spam message apparently originating from your network.
Thank you vm for your interest.
Regards

Header & text follow
…header e testo completi…

Adesso mi direte che è una palla, però, credetemi, una vigorosa azione della comunità è l’unico modo di fermare lo spam.
Se volete approfondire l’argomento, andate qui.

Per una società con pareti di vetro

Pubblicato il da

Immaginate adesso una società con pareti di vetro.
Mi spiego. Supponete che:

  • Ognuno di noi, alla nascita, venga identificato con un codice unico. A dirlo suona terribile, ma in realtà succede già. Da noi è il codice fiscale. In altri stati si usano altri codici generati con vari sistemi (per es. negli USA è il codice della previdenza sociale), ma è già così.
    In ogni modo, non mi interessa esattamente come è fatto il codice. Mi basta che sia unico, che valga in tutti gli stati, che sia lo stesso in rete e fuori e naturalmente che venga utilizzato in qualsiasi dispositivo legato alla persona, compresi i cellulari.
  • Ogni essere umano abbia un collegamento in rete gratuito, assicurato dalla nascita alla morte e identificato dal suo codice.
  • Il denaro contante non esista più. Tutti i pagamenti, di qualsiasi tipo, vengano fatti tramite una sorta di carta di credito e siano registrati in rete.
  • Qualsia forma di comunicazione fuori rete, dal telefono alla posta, non esista più. Tutto passa attraverso la rete.
  • Tutti i gli archivi, di qualsiasi tipo, dal fisco alla sanità, alle assicurazioni, alle banche, all’anagrafe, alle compagnie telefoniche, ai negozi fino alla raccolta punti del supermarket siano in formato digitale (in massima parte lo sono già), ma soprattutto che siano in rete.
  • Tutte le apparecchiature di sorveglianza puntate su luoghi pubblici (anche i bar, gli aeroporti e i centri commerciali) siano in rete. Al limite, anche quelle private. Se metti una webcam per sorvegliare da remoto il tuo cane o il tuo bambino, anch’io lo posso vedere.
  • Nessuna forma di comunicazione e nessun dato possano essere criptati.
  • Tutto ciò che è in rete sia pubblico, accessibile da chiunque.

A questo punto si saprebbe quasi tutto di tutti. Per sapere dove si trova adesso un cellulare e quindi la persona che lo porta, basterebbe collegarsi al db della compagnia telefonica. Per sapere come spendo i soldi, chi ho pagato e quando basta cercare nel db della transazioni. Si saprebbe cosa ho comprato nel tal supermercato, eccetera. Si saprebbe come sono le mie ultime analisi e che malattie ho e ho avuto. Che locali frequento, attraverso quali caselli autostradali la mia auto è passata, che biglietti di treno/aereo ho comprato e se qualcuno con il mio nome ci è salito…

Fine dei segreti.
Fine dello spionaggio statale perché non c’è spionaggio su cose che tutti possono sapere.
Fine della maggior parte dei reati contro il patrimonio.
Fine degli stupidi sospetti familiari.
Fine dell’evasione fiscale.

Non male…

Privacy or not Privacy?

Pubblicato il da

Google e gli altri motori di ricerca permettono di trovare un sacco di cose.
La facilità con cui la gente mette documenti e dispositivi di vario tipo su internet e li espone al mondo, anche senza rendersene conto, è grande e sembra essere una nuova tendenza sociale. Il tutto è reso possibile dall’ubiquità del digitale che ormai codifica qualsiasi tipo di documento scritto, sonoro o in forma di immagine. Nello stesso tempo i supporti come le memory key e le tessere magnetiche cambiano il modo con cui l’informazione viene fisicamente conservata, aumentando enormemente la quantità di dati che ogni persona è in grado di portare con sè.
C’è una richiesta di privacy sempre maggiore, ma, paradossalmente, nello stesso tempo la gente accetta, consapevolmente o meno, che i propri dati e comportamenti siano esposti al mondo grazie alla rete o a una RAM key perduta/dimenticata.
Forse è un passo solo parzialmente consapevole verso una società con pareti di vetro, in cui qualsiasi cosa venga fatta via internet è pubblica e molti comportamenti che, di per sè, sono già pubblici o semi-pubblici (uscire in strada, fermarsi in un bar, discutere in chat, etc.) lo diventano alla massima potenza e sono visibili da tutti coloro che si imbattono nel link alla webcam o al file giusto, potenzialmente da tutto il mondo.

Dato che io sono favorevole a una casa di vetro, ho appena creato una pagina dedicata alle cose relativamente private che si possono trovare con Google e/o altri motori di ricerca.
Non contiene cose potenzialmente pericolose come ricerca di password, falle di sicurezza o simili, che pure si possono fare (quindi se cercate questo, andate da un’altra parte).
Divertitevi.

L’Universo non è user friendly anche se lo sembra

Pubblicato il da

kakophone

Signore e signori, vi presento il Kakophone.
Questo divertente sintetizzatore virtuale genera una quantità infinita di suonerie personalizzate in diversi stili. Poi ve le manda al vostro indirizzo email. Tutto gratis. In cambio vi chiede solo di iscrivervi a una newsletter, verosimilmente pubblicitaria, che poi potete annullare.
L’oggetto è effettivamente molto simpatico. Fa un sacco di rumorini graziosi. Immagino che torme di ragazzini si siano immediatamente fiondati sul sito. Provatelo anche voi. Però, prima, seguite questo ragionamento.

Dunque, per prima cosa il kakophone vi chiede il vostro numero telefonico che appare sotto forma di bar-code nell’immagine (sulla destra sotto alla freccia; 789… non è il mio). Il numero serve come base per un generatore di numeri casuali ed è quello che assicura che una suoneria non possa essere duplicata. Dal punto di vista informatico è corretto. Ovviamente potete dare un numero qualsiasi, ma di solito non ci si pensa. Anch’io ho dato il mio.
Poi voi giocherellate con l’oggetto. Generate un po’ di suonerie e ne scegliete una. A questo punto il programma te la deve inviare come file perché tu possa caricarla nel telefono e ti chiede nazionalità, marca e modello del telefono e email.
E qui mi sono bloccato. Perché, così facendo, il sito conosce e associa

  • la mia nazionalità
  • il mio numero di telefono
  • la mia email
  • marca e modello del mio telefono

Non male. Vi rendete conto? Va bene che non può esserne sicuro e io sono tendenzialmente paranoico, ma le vie di internet sono infinite…

L’Universo non è user-friendly ma a volte fa ridere

Pubblicato il da

Che cosa si scrive di solito su un documento quando non si vuole venga diffuso?
Per esempio “confidential”, oppure “not for distribution”, o ancora “not for public release”. In italiano, “strettamente confidenziale” o cose del genere.
E dove si usano documenti di questo tipo? Nelle aziende, nelle organizzazioni e in posti del genere. E ovviamente, perché sia accessibile agli interni, si piazza in una apposita cartella sulla intranet aziendale. E come al solito l’idiota di turno dimentica che in quella cartella ci arrivano anche i robots, come quello di Google.
Adesso cercate le frasi di cui sopra in Google e divertitevi a spulciare fra le decine di migliaia di documenti che saltano fuori. Ovviamente non tutto quello che trovate è un documento confidenziale; ci sono anche pagine che contengono le suddette frasi per caso (come questo post), ma in ogni caso, sembra proprio che molte aziende si divertano a spiattellare i propri verbali in faccia a cani e porci.
I risultati migliori li ho ottenuti con questa ricerca. Se poi si limita il tipo di file a pdf va ancora meglio.
Adesso provate anche ad aggiungere il nome di una specifica azienda…

Fotocamere user friendly

Pubblicato il da

Immagine
Questo grazioso cagnolino che azzanna per gioco il padrone, che per la sua stupidità meriterebbe di essere divorato in un solo boccone, ci aiuterà a vedere un altro “incidente”, meno comune ma quasi più grave di quello del post precedente, a cui vanno incontro gli sprovveduti che si aggirano nelle terre di internet senza sapere dove mettere i piedi.
Io qui ho messo solo questa foto in cui il padrone non è riconoscibile, ma ne ho viste anche molte altre in cui varie persone sono perfettamente visibili. Ne ho viste anche di altro tipo: scherzi in ufficio, cene aziendali, giochi con amici, ma anche di meno innocue e sono sicuro che in molti casi i protagonisti si incazzerebbero moltissimo sapendo che le loro foto sono andate in mano a cani e porci.
Perché, come nel caso precedente, loro non sanno che le ho viste e che chiunque le può vedere.

Ormai quasi tutte le foto sono digitali e anche la bestia in figura è stata immortalata con una fotocamera digitale. Le foto, poi, sono state scaricate su un computer e le fotocamere digitali sono user friendly. Basta collegarle via USB e infilare il solito CD-ROM che installa un programma per scaricare e gestire le foto.
Ora, la maggior parte delle fotocamere digitali aderisce a uno standard inventato per facilitare la vita ai software di gestione e anche all’utente. Lo standard consiste nel creare una cartella il cui nome è DCIM in cui vengono create altre cartelle per le varie fotocamere. Così all’interno della cartella DCIM avremo, per esempio, una cartella CASIO, oppure CANON, etc con davanti un numero progressivo per dividere i vari scaricamenti (102CANON, 103CANON, 104CANON, etc). Qui finiscono le foto, tipicamente in formato jpeg e anche i filmati, di solito in formato avi.

Fin qui tutto bene. Se la cartella DCIM è sul vostro computer personale o anche su un server internet ma fuori dallo spazio web. Ma se, per qualche ragione, finisce all’interno dello spazio web e il solito amministratore idiota dimentica di fermare gli spider dei motori di ricerca, Google in primis, ecco che le cartelle e tutte le foto vengono indicizzate e sono disponibili a chiunque sia in grado di cercarle.
Ma perché questa cartella dovrebbe finire nello spazio web di un server? Le ragioni sono molte: perché gli amici possano vedere da casa le foto della partita di ieri e scaricarsele, per esempio.

Cercarle, peraltro, è facilissimo. Potete provare anche voi. Basta inserire in Google la stringa di ricerca index.of.dcim (index punto of punto dcim senza spazi). Salteranno fuori una cinquantina di links, pochi perché questo incidente non è molto comune e alcuni di questi non sono cartelle di foto, ma solo articoli come questo.
Se però, dopo aver cliccato sul link vi appare una paginetta bianca che ha come titolo “Index of /DCIM” e sotto due link che dicono “Parent directory” e “DCIM”, siete nel posto giusto. Cliccate DCIM e troverete una pagina simile con link tipo 100CASIO o 102CANON o ancora 101FUJI, etc.
Cliccate su uno di questi e vedrete i nomi delle immagini. Basta cliccare ognuno di questi ultimi per vedere la foto nel browser.
Complimenti. Siete sulla buona strada per diventare un provetto voyeur.

L’Universo non è user-friendly

Pubblicato il da

L’universo non è user friendly, ovvero su internet una cosa che sembra banalissima può avere effetti collaterali spiacevoli o, come minimo, non previsti.
Generalmente non ci si pensa, ma entrare in internet è come andare in un paese straniero, con le sue usanze, le sue leggi, le sue consuetudini e i suoi abitanti. C’è gente che su internet ci vive. C’è qualcun altro, come il sottoscritto, che magari non ci vive, ma lo conosce molto bene (in realtà, in questo periodo, praticamente ci vivo anch’io). C’è qualcuno che lo abita a tempo parziale, per esempio per affari, e poi ci sono i turisti, la maggior parte di voi.
Ora, quando fate i turisti, anche quando viaggiate in un gruppo organizzato, qualche precauzione la prendete. Se, poi, viaggiate da soli, dovete anche stare un po’ attenti a come vi comportate e a dove ficcate il naso. Se entrate in un quartiere malfamato ben vestiti, con il Rolex al polso e la videocamera al collo, non solo sarete rapinati e magari anche pestati o peggio, ma oltretutto, quando la polizia vi verrà a ripescare, ve ne dirà quattro.
Però a volte potete anche stare attenti, ma inciampate in una qualche usanza locale di cui non siete a conoscenza e fate una pessima figura perdendo stima e amicizie. Per esempio, ci sono paesi in cui soffiarsi il naso in pubblico, soprattutto al chiuso, è considerato segno di maleducazione, più o meno come sputare per terra. Si va in bagno a farlo.
Ci sono, invece, altri paesi in cui sputare per terra, in strada, è normale e lo fanno anche le ragazzine di 15 anni, oppure ruttare sonoramente dopo il pranzo è un apprezzamento per la cucina del padrone di casa.
Ecco, internet ha le sue usanze e regole e spesso, se qualcuno non sa o non pensa a quello che fa, incappa in qualche disavventura. Qualche esempio.
Nota: questi esempi non sono nuovi. Non sto suggerendo nessun nuovo “hack” e proprio il fatto che siano ampiamente noti alla comunità degli “smanettoni” ma ignorati dalla massa comprova quanto dico.

WebcamAdesso guardate l’immagine qui a sinistra. È una stanza in un ufficio in america. L’immagine viene da una webcam e nella pagina originale, si aggiorna ogni 5 secondi. È grande 4 volte questa, quindi si vede tutto molto bene. Il signore in fondo sta armeggiando con la stampante. È entrato 30 secondi fa, magari per aggiungere carta. Forse tra un po’ se ne andrà, o forse si siederà al computer. Il problema è che lui non sa che io lo sto guardando.

Forse sa della webcam o forse no. Se lo sa, sa anche che il suo capo o qualcuno della sorveglianza tiene d’occhio quella stanza, ma non immagina che io lo sto guardando. Perché questa non è una di quelle webcam messe lì per pubblicità che tutti possono vedere. Questa è, o dovrebbe essere, una telecamera di sorveglianza ad uso interno. Ci si accede via internet, così si può tenere d’occhio la situazione anche da lontano, ma, quasi certamente, non è previsto che sia vista da terzi.
Invece io la vedo. Nello stesso modo potrei mostrarvi migliaia di altre situazioni: un porticciolo alle Bahamas (invidia!), una lavanderia in Giappone, l’interno di un grande magazzino, un autosalone negli USA, un laboratorio in Svizzera, il cane di un/una giapponese, magari, se cerco a lungo, anche il bambino di qualcun altro. Tutte webcam di sorveglianza.
Continua a leggere

Cominciate a preoccuparvi

Pubblicato il da

Mi spiace dirvelo, ma è possibile, anzi probabile, che l’avvento del digitale nelle telecomunicazioni e nel multimedia equivalga a una ennesima fregata (leggi: limitazione dei diritti) per l’utente/consumatore.
Quello che segue è un esempio molto ma molto limitato rispetto a quello che si può fare e si sta già facendo.

Dunque, state guardando un film sulla vostra nuova TV ad alta definizione con schermo al plasma, quando parte l’inserto pubblicitario. Lanciando qualche maledizione ai pubblicitari e alle aziende che li pagano, annaspate alla ricerca del telecomando con l’idea di approfittarne per dare un’occhiate alle prove del gran premio di formula 1 sull’altro canale.
Impugnando l’oggetto del potere, premete un tasto… e il canale non cambia.
Inoltre, nella parte bassa dello schermo appare in sovraimpressione un messaggio il cui contenuto è, in sintesi, il seguente:
“Tranquilli, il vostro telecomando non è rotto. In base alla nuova politica di questa emittente, la funzione di zapping viene disabilitata durante gli spazi pubblicitari. Dovete capire che questa emittente vive solo grazie alla pubblicità e solo così sarà in grado di offrirvi nuovi e più entusiasmanti programmi. Il vostro telecomando riprenderà pienamente la propria funzionalità al termine dello spazio pubblicitario. Vi ringraziamo per la collaborazione”
Il bello è che la cosa non coinvolge solo chi sta guardando in diretta il programma. Il vostro amico che ha pensato bene di vedersi le prove del gran premio e registrare il film sul nuovo DVD recorder, non si salverà. Negli spazi pubblicitari, infatti, sarà disabilitata la funzione di avanti-veloce.

Non è fantasia e nemmeno pessimismo. È un nuovo brevetto Philips che sta facendo proseliti (vedi Punto Informatico).
Ora considerate che questo è un esempio molto limitato di quello che si sta facendo nel campo del controllo. Quello a cui si vuole arrivare è:

  • musica, film e altri contenuti multimediali blindati, non copiabili e possibilmente nemmeno prestabili (e questo è il DRM: digital rights management)
  • computer blindati mediante tecnologia TC (trusted computer) che possono consentire soltanto l’accesso o l’esecuzione di software specificamente autorizzato.

Cominciate a preoccuparvi un po’. Date un’occhiata a NO1984.

I’m sorry, but the digital revolution in telecommunication and multimedia is very likely to have a dangerous effect (i.e. right limitations) on users/consumers.
This is a simple and limited example:

Well, suppose you are looking to a movie on your new digital HD TV. The commercial starts and you search for the remote controller to switch to another channel.
You push the button… and the channel don’t change. Moreover, a message appears on the screen:
“Be cool, your controller is good, but following the new policy of this TV station, your remote controller is disabled during the commercials broadcasting. Please, consider that this TV station needs the commercials incomes to offer new and beautiful channels. Your controller will become fully functional after the commercials space. TYVM for your cooperation”
This thing is not limited to the people looking at the movie in real time. Even if you record the movie with your new DVD recorder you will be affected. The Fast Forward function will be disabled during the advertisement’s broadcasting.

It’s not science fiction and it’s not pessimist attitude. It’s a new Philips patent which prevents a user from changing the channel during commercials. According to Ars Technica, ABC is very interested in.
Now, consider that this is a little example of exploiting the digital technologies to control the users. It seem that the aim of the major is:

  • music, movies and multimedia contents completely blocked. No copy (even for personal use) and no loan between friends (this is the DRM)
  • computers totally under control by the so called Trusted Computing technologies. Only allowed software can run and only allowed (so called “safe“) platforms can go on line.

 

Sei un zombie?

Pubblicato il da

Guardando l’ennesimo tentativo di attacco virale via mail (si spera fermato dall’antivirus) o diretto a una porta del computer (e bloccato dal firewall), oppure trovandosi con la macchina bloccata e impestata fino ai capelli, molti di voi si saranno chiesti “ma perché? chi ci guadagna in tutto questo giro di virus?”

Questa, fra l’altro, è una delle domande che mi sento rivolgere con maggiore frequenza quando parlo di sistemi operativi e sicurezza nelle aule di formazione. In effetti, mentre tutti (o quasi) capiscono chiaramente dove stia il lucro nel vendere i numeri del lotto, è difficile per l’utente medio avere la percezione dei vantaggi che derivano dallo spargimento di virus.
Il fatto è che i virus attuali non sono più distruttivi come quelli di un tempo. L’epoca delle ca…te goliardiche è passata e la nuova logica è quella del profitto e della produttività. Come nella biosfera, il virus che uccide l’ospite può anche provocare una pandemia, ma è un fallimento perché nel contempo si suicida. Quello che, invece, non provoca particolari problemi all’ospite o magari riesce anche a cambiarlo un po’ in modo da costruire un ecosistema più favorevole alla propria specie è un successo.
Ma allora, cosa fanno i virus attuali? Molto semplice: il principale fine di un virus ben fatto è quello di trasformare il vostro computer in un zombie.
Dicesi zombie una macchina che, all’insaputa del proprietario

  • esegue un compito ben determinato (per esempio, invia una mail di spam a tutti gli indirizzi della rubrica), ma, ancora meglio
  • quando l’utente è collegato a internet, invia il suo indirizzo ip a un determinato sito o mailbox e apre una backdoor (porta di servizio) consentendone il controllo da remoto.

Soprattutto questo secondo caso è premiante perché consente al produttore del virus di usare tranquillamente il vostro computer da chissà dove per piccole attività tali da non rallentarlo in modo sensibile e ovviamente da non bloccarlo, altrimenti, prima o poi, voi ve ne accorgete e magari anche senza sapere il perché dei rallentamenti, reinstallate windows.
Il problema è che queste attività possono essere piccole, ma generalmente sono illegali e nei log del destinatario della spam o del sistema a cui è diretto l’attacco resta il vostro numero di ip.
Il secondo punto è che lo scopo dell’untore è di controllare un gran numero di macchine per farle lavorare tutte insieme. Una tale concentrazione di zombie è detta ‘botnet’ (rete di robot) e può essere usata, per esempio

  • per diffondere lo stesso messaggio di pubblicità non richiesta a 10.000.000 di utenti nel giro di qualche minuto;
  • per scatenare un attacco DDoS (Distributed Denial of Services) mandando milioni di richieste di pagina per secondo a un certo server e intasarlo al punto da impedirgli di rispondere agli utenti legittimi;
  • per diffondere materiale illegale di vario tipo;
  • per decodificare un file di password (rubato a qualche sistema) mediante tentativi casuali: un solo computer impiegherebbe un anno, ma 100.000 computers possono farcela in meno di 10 minuti;
  • infine, per una attività non necessariamente legata al controllo di una botnet, ma remunerativa soprattutto quando riesce molte volte: salvare in un file tutto ciò che digitate sulla tastiera mentre siete collegati (comprese le password del vostro account bancario) e inviarlo a un certo indirizzo.

Ovviamente, tutto questo a pagamento. L’ultimo arrestato per aver organizzato una siffatta rete (il botmaster) gestiva più di 500.000 zombie sparsi per tutto il mondo, per cui almeno 100.000 erano accesi contemporaneamente e aveva guadagnato più di $100.000 in un anno di ‘noleggio’ della propria botnet. Magari li fatturava anche. Consulenza di marketing.
Il bello è che il sistema per difendersi è piuttosto semplice: installare un buon sistema antivirus + firewall (ce ne sono anche di gratuiti) e tenerlo aggiornato, oppure usare Linux.

BE PARANOID!

Pubblicato il da

Qualche giorno dopo l’arresto di Provenzano, durante una intervista TV con uno degli inquirenti (di cui purtroppo non ricordo il nome), ho sentito una dichiarazione che mi ha colpito.
In sintesi, quel funzionario, per dare l’idea della complessità dell’indagine, a un certo punto ha detto: «Vi rendete conto di quanto sia difficile individuare qualcuno che come massima tecnologia usa una macchina da scrivere?».
Traduzione (mia): è difficilissimo beccare qualcuno che non usa telefono, cellulare, internet, email, carta di credito, bancomat, tessera sanitaria, raccolte punti, certimat, schede TV, TV via cavo, telegrammi, etc, tutte tecnologie che seminano tracce.

Adesso pensate un po’ a che cosa significa tutto questo per la nostra privacy. So che per alcuni di voi sono cose assodate, ma immaginatele nei particolari. Per esempio, oggi all’uscita del supermarket, controllando il conto mi sono reso conto che sopra c’era scritto il mio nome: «arrivederci e grazie, Sig. Graziani».
Così i bastardi non hanno archiviato solo il mio codice cliente, che è quanto basta per attribuirmi i punti e magari è AB123ZX e non dice niente sul mio nome, ma l’hanno anche associato alla mia identità.
Così hanno un bel database con dentro tutto quello che mangio. Sanno che non mi piacciono i dolci, ma amo la cioccolata e compro solo la Lindt più sottile e magari, con adeguate offerte e pubblicità, forse potrei cambiare marca. Sanno che mi piace il pesce e che a casa mia c’è sempre il salmone, ma non posso permettermi il caviale. Sanno che non ho bambini perché non ho mai comprato mai ovetti kinder, merendine etc. Sanno anche che sono single, che non vado matto per la verdura e che ultimamente ho inspiegabilmente smesso di acquistare coca-cola.
In definitiva, hanno una buona visione del mio stile e del mio tenore di vita. E tutto questo solo con una carta di raccolta punti. Pensate se si potessero unire tutte le informazioni provenienti da varie fonti. Adesso è chiaro perché, anche sotto questo aspetto, le grandi concentrazioni in cui molte aziende di diverso tipo sono in mano alla stessa società/persona dovrebbero essere bloccate?
La cosa buffa è che, come informatico, questi database a volte li progetto o comunque li vedo da vicino e so cosa si può dedurne, di conseguenza tutte queste cose mi sono ben chiare. E allora perché quell’affermazione mi ha colpito? Non so. Una cosa è saperlo e non pensarci, un’altra sentirselo dire dalla polizia. È come se ti dicessero «guarda che questi dati non sono lì a dormire, qualcuno li usa… siate paranoici!»