L’insidiosa strada della privacy


Una delle preoccupazioni di ogni (buon) navigatore Internet è sicuramente quella di proteggere la propria privacy per evitare che informazioni delicate o riservate cadano in mani inappropriate.

Quando utilizziamo internet i dati che vengono scambiati tra il nostro computer ed i server che visitiamo transitano attraverso una serie finita ma non determinabile di altri apparati di rete e computer. Quando navigo da casa per esempio i miei dati attraversano l’etere per raggiungere il mio router wi-fi, quindi raggiungono gli apparati di rete del mio provider, poi sono instradati verso il provider di connettività internet cui il mio ISP si rivolge e poi….. lo sa solo il padreterno che giro fanno.

Molte persone temono che il proprio traffico sia intercettato e quindi cercano di utilizzare strumenti di anonimizzazione, magari free, per evitarlo.

Il fatto è che a volte la cura può essere peggiore della malattia.

Ricordate il caso di qualche settimana fa che coinvolgeva l’intercettazione delle credenziali di  personale di enti diplomatici?

Ecco arrivare la spiegazione di come sono stati raccolti quei dati.

Nella pratica il tizio che ha intercettato gli account lo ha fatto utilizzando i server TOR della sua azienda. Tor è appunto uno dei tanti sistemi che dovrebbero garantire la privacy di chi utilizza il loro circuito di server. Ma il circuito di server Tor è a base volontaria e gratuita e quindi “chiunque” potrebbe avere un server Tor ed utilizzarlo per sniffare allegramente tutto il traffico che vi circola.

Cosa che il nostro amico esperto di sicurezza ha fatto, pubblicando poi una piccola parte degli account raccolti da questa attività.

Ci sono due problemi che vengono evidenziati da questo caso.

Il primo, sottolineato dall’esperto di sicurezza  coinvolto, che riguarda la crittografia delle informazioni riservate. E’ stato possibile infatti intercettare credenziali di accesso di importanti istituzioni diplomatiche perchè queste non utilizzano la crittografia per proteggere i propri accessi.

Questo ovviamente non è un problema della rete Tor, ma piuttosto degli enti che offrono ai propri dipendenti un accesso internet non protetto. Tutto sommato questo tipo di problema mi interessa relativamente. Si tratta di una cosa che sarebbe facilmente risolvibile dai responsabili tecnici di quelle istituzioni. Dimostra chiaramente la poca importanza che si da alla sicurezza anche in ambienti dove questa dovrebbe essere pane quotidiano, ma è un fenomeno ben conosciuto e che difficilmente sarà risolto in breve tempo.

Il secondo aspetto che viene evidenziato da questo fattarello è invece quello che riguarda l’insicurezza intrinseca di reti di anonimizzazione come Tor.

Mi spiego. Chi utilizza Tor lo fa per evitare che la sua navigazione sia intercettata e per fare in modo di essere il più possibile anonimo nei riguardi dei server che visita.

Peccato che per fare questo si affidi ad una rete di server che dovrebbero anonimizzare la sua navigazione, ma della cui proprietà il navigatore non ha alcuna cognizione.

Come giustamente faceva notare il tizio di Deranged Security tra i server Tor potremo probabilmente trovare un bel pò di macchine appartenenti a gruppi di hacker, a istituzioni politiche (cina, stati uniti), a gruppi conosciuti di ladri di identità, a sconosciuti etc etc

In pratica chiunque potrebbe fare quello che ha fatto lui e fottersi (fottervi) un bel pò di dati riservati.

Vale la pena a questo punto utilizzare strumenti come Tor?

Personalmente non credo che il gioco valga la candela. I rischi aggiuntivi e le accortezze necessarie per utilizzarlo in maniera proficua sono per me troppo onerosi rispetto al vantaggio di navigare anonimi. In fondo non sarete mica terroristi no?

In generale prima di utilizzare qualsiasi strumento o servizio che giocheralla con il vostro traffico fateci un pensierino ed informatevi bene sul funzionamento e su chi lo gestisce (e come)…

E poi contante fino a cento e ripensateci ancora 🙂

Annunci

2 commenti (+aggiungi il tuo?)

  1. phoenix
    Set 12, 2007 @ 15:09:06

    caspita abbiamo scritto un post simile!

    cmq non sono pienamente d’accordo sulla tua analisi se utilizzare Tor o no. Il fatto è che se si utilizza Tor bisogna sapere cosa PUO’ fare e cosa NON PUO’ fare. Tor è stato progettato per rendere anonima la navigazione, e questo lo fa alla grande. Le persone non possono lamentarsi del fatto che Tor non protegga i dati trasmessi in rete, perchè questo non è il suo compito.
    Tor è uno strumento potente che nelle mani di persone inesperte può anche non servire a nulla. Vale sempre quella regola che dice: per raggiungere un buon livello di sicurezza non ci si deve affidare solo ad un unico strumento, ma bisogna utilizzare più strumenti che operano a vari livelli e che interagendo tra loro permettono di raggiungere un buon grado di sicurezza.

    Posso utilizzare Tor quanto voglio ma se poi non uso crittografia e non uso precauzioni come SSL o VPN, tutto ciò che ho fatto è inutile.

    ciao

    Rispondi

  2. Mario
    Set 12, 2007 @ 17:17:53

    Beh certo, dipende da cosa intendi per essere anonimo su internet e da cosa ci combini, ovviamente.

    Pur non essendo un hacker esperto ho fatto la mia fetta di giochini e pensare di far passare il mio traffico attraverso una serie “aggiuntiva” di macchine di cui non so niente non mi rende particolarmente allegro.

    E parlo di navigazione normale per la quale non ci sarebbe alcun bisogno di essere anonimi. Se devo/voglio fare qualcosa per cui mi serve veramente essere anonimo ci sono molti altri mezzi, anche “quasi” legali, volendo…

    Se devo andare sul sito della mia banca, bello crittato, non passo da una rete Tor, è inutile ed aggiunge un rischio aggiuntivo, per quanto piccolissimo…

    Considerando che alcuni dei server Tor sono probabilmente gestiti dalle stesse entità dalle quali vorrei proteggermi… beh permettimi di dubitare della bontà dell’idea.

    Che poi non capisco per quale motivo sia cosi’ importante navigare “anonimi”, a meno di non dover fare cose strane…

    Se vuoi navigare anonimo giusto per il gusto di farlo, beh fattelo tu Tor…

    Prendi una carta di credito anonima, di quelle usa e getta che si comprano al bar, non ti chiedono documenti ne nomi; affitta un server virtuale negli stati uniti in una factory di quelle enormi, un centinaio di dollari l’anno potrebbero bastare, come nome ci metti paolino paperino; mettici un bel tunnel, una rete virtuale, quello che ti piace di più, ti colleghi al server e da li vai su internet; a quel punto sei “anonimo”, diciamo così, almeno finchè non fai il terrorista o il pedofilo…

    perchè se fai cazzate grosse ti trovano lo stesso eh…

    Rispondi

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger hanno fatto clic su Mi Piace per questo: