Quanto puoi star tranquillo per i tuoi dati se tutto il tuo PC è indicizzato su Google?

Venerdì 17 marzo (guarda caso), l’ottimo Maurizio Ceravolo ha avviato una discussione su Google+ ha avviato su una discussione in cui esponeva un pessimo esempio di sicurezza informatica in cui si è imbattuto: un server FTP su Windows aperto, senza password e, peggio del peggio, collegato alla cartella radice dell’hard disk di un computer. Conseguenza diretta: il crawler di Google, non riscontrando impedimenti, ha indicizzato totalmente il contenuto di quel server FTP – meglio: dell’hard disk di quel PC connesso a Internet con un indirizzo IP fisso. Quella discussione ci offre alcuni spunti di riflessione in tema di sicurezza informatica applicata agli esercizi commerciali e alle attività professionali. Nella fattispecie, il computer dovrebbe essere quello di un supermercato (o di una piccola catena di supermercati); molto probabilmente si è voluto fare in modo che si potessero consultare i dati contenuti in alcune cartelle (per esempio: i punti raccolti nelle singole fidelity card dei clienti oppure il file RUBRICA.CSV con nomi, cognomi e indirizzi e-mail dell’organico del supermercato) da più postazioni. La soluzione scelta, purtroppo, appare immediatamente la meno sicura e persino un profano in materia noterebbe l’assurda configurazione del sistema. Quando si deve affrontare il tema della sicurezza informatica in un luogo in cui si trattano dati personali di terzi (siano essi i dipendenti o i clienti) o dati che comunque permetterebbero di risalire all’identità di una persona, bisogna partire da un presupposto: la via comoda è da scartare. Come già spiegato in precedenza, il primo responsabile per la sottrazione di dati e documenti personali è l’utilizzatore del sistema informatico (o chi lo amministra o chi lo progetta) e deve sempre – SEMPRE – agire pensando a come un intruso nel sistema potrebbe arrivare a leggere informazioni riservate; invece, troppo spesso, chi implementa un sistema informatico, fa sì che quel sistema sia semplice da utilizzare anziché difficile da violare. E non è detto che il rivolgersi a sedicenti esperti progettisti di sistemi informatici sia la soluzione migliore. Il professionista o il titolare di un esercizio commerciale che desideri un sistema informatico efficiente e sicuro per la propria attività, deve prima di tutto rassegnarsi ad usare un sistema complicato, da conoscere passo passo e, magari, arricchendo il proprio bagaglio di conoscenze. La sicurezza informatica pret-à-porter è una clamorosa chimera! Non è sofficino surgelato da cucinare subito in padella ma deve essere considerato più come un piatto di alta cucina e, quindi, può essere cucinato e impiattato solo da uno chef stellato. Non tutte le attività commerciali e/o professionali hanno le stesse esigenze di tutela, non tutte hanno l’esigenza di avere identici sistemi informatici, non tutte trattano internamente dati personali di terze parti, dunque è molto importante che ci si affidi sempre ad un vero esperto, magari certificato e in possesso di specifici titoli che ne attestino le competenze tecniche. Diciamocelo: chi ha realizzato quel sistema basato sull’uso del protocollo FTP è sicuramente inesperto e pigro. La pigrizia possiamo dedurla dalla mancata migrazione verso sistemi più moderni ed efficienti come un semplice cloud storage condiviso fra più postazioni – eventualmente un cloud interno come OwnCloud o Lima – poiché creare un server FTP solo per consentire lo scambio di documenti fra punti vendita diversi è veramente degno dell’epoca del web 1.0. In conclusione, chiunque abbia la necessità di utilizzare sistemi informatici consultabili in remoto da più postazioni deve investire tempo e denaro così come lo investirebbe se volesse farsi costruire una casa moderna e antisismica.

Sradicare il concetto di password sicura.

Nel 2017 dobbiamo cambiare l’approccio mentale alla scelta della protezione per i documenti che salviamo online (non solo). Oggi non esiste più una password sicura in senso assoluto, quindi dobbiamo individuare soluzioni e metodi di tutela alternativi.

Crittografia: nel 2017 la useremo sempre più.

Questo è il primo di una serie di articoli dedicati al tema della sicurezza digitale alla luce dei numerosi eventi registrati nel 2016 quali i maxi-furti di account subiti da Yahoo! e tenuti nascosti per anni, con conseguenze inenarrabili per gli utenti, o come i numerosi casi di furti di credenziali di servizi online per la conservazione di documenti. Esamineremo lo scenario attuale e tenteremo di adottare le migliori constromisure per tutelare il nostro lavoro, i nostri ricordi e, soprattutto, noi stessi. Quanto è sicura la nostra vita in digitale? [dropcap]“C[/dropcap]rittografia”. Questa sarà la parola che nel corso del 2017 potrebbe capitarvi di sentire sempre più spesso, indipendentemente dal fatto che siate professionisti o meno. Il 2016 verrà ricordato anche come l’anno del crollo della sicurezza online, nella forma di tutti di account e divulgazione di documenti riservati sottratti da server privati o cloud storage che si ritenevano sicuri; abbiamo avuto la dimostrazione che, nel 2016, il concetto di sicurezza, quando riferito alle moderne tecnologie iperconnesse, è estremamente labile. Non ce ne accorgiamo ma spesso siamo noi stessi ad offrire in pasto ai malintenzionati moderni le chiavi per entrare in possesso di materiali e conversazioni ai quali dovrebbero poter accedere solo gli interlocutori che selezioniamo quotidianamente. Giova ricordarlo: il social engineering è il principale grimaldello per poter schiudere le serrature virtuali altrui e l’essere perennemente presenti sui social media facilita notevolmente il lavoro di chi vorrebbe entrare nei nostri account e vedere se c’è qualcosa di interessante, di remunerativo o, più semplicemente, di pruriginoso. Nel 2016, dunque, siamo andati ben oltre il semplice “se ti registri in un luogo, fai sapere che non sei in casa”: al ladro moderno non serve più lo scasso di uma porta per rubare ciò che vi appartiene: oggi abbiamo l’abitudine di salvare tutto negli smartphone, nei tablet e nei computer, e da lì, nei diversi servizi di cloud storage, come iCloud, Dropbox o Onedrive. Abbiamo tutto nelle nostre tasche ma ciò non equivale ad avere la migliore sicurezza poiché le porte per accedere ai nostri servizi online e dispositivi, sono disseminate ovunque e le chiavi le lasciamo a portata di chiunque. Rubate le chiavi d’accesso, la frittata è fatta e i vostri segreti sono lì, pronti per essere scandagliati e sottratti. Quello della password sicura, oggi, è un mito ed è stato sfatato ripetutamente nel corso degli ultimi due o tre anni ma con intensità maggiore nel corso del 2016, appunto. Una password può essere sicura solo quando è realmente complessa ma… anche difficilissima da ricordare. Chi potrebbe mai ricordare a memoria la password “Wx2@LoW#xXy3H@1tT7*Q5”? Password sicura, certo, ma per ricordarla serve uno sforzo mnemonico non indifferente oppure bisogna annotarla da qualche parte e, in tal caso, spesso si finisce riportando la “password sicura” su un foglietto o in un’agendina – i più tecnologici, invece, utilizzeranno servizi di password keeping come LastPass. Il foglio verrà smarrito o dimenticherete il suo nascondiglio, e lo stesso dicasi per l’agendina, mentre i servizi di password keeping come LastPass, con un database online, potrebbero essere “bucati” da hackers per impossessarsi delle credenziali d’accesso salvate nel vostro account (LastPass nel 2015 ha già subito un furto di account, giusto per ricordarlo). Il problema è sempre quello: se qualcuno s’impossessa del portachiavi di casa con appeso il telecomando dell’antifurto, non esiste sistema di sicurezza che tenga e, una volta entrati in casa, i ladri possono impadronirsi di qualsiasi cosa o danneggiare i locali dell’appartamento. Ora immaginiamo di abitare in un appartamento in cui non esistano mobili ma solo casseforti: ogni cassaforte, più o meno grande che sia, contiene documenti personali o professionali, fotografie della propria famiglia, i foglietti con la password del conto bancario online, progetti industriali ancora top secret, e-mail personali o professionali, estratti conto, eccetera. Supponiamo anche quell’appartamento sia munito di un sistema d’allarme con telecomando e codice segreto, oltre ad avere un unico accesso attraverso un portone blindato con serratura di tipo europeo e finestre con imposte antintrusione. Certo non è il più romantico e accogliente dei luoghi ma se facciamo attenzione, certi posti sono davvero protetti in questo modo – persino con sorveglianza armata! – e così dovremmo proteggere, in realtà, la nostra vita digitale. Il discorso sin qui affrontato diventa ancor più stringente se pensiamo per un attimo che oggi è molto frequente l’uso di dispositivi mobili – smartphone e tablet, in particolare – per la conservazione di documenti, fotografie, progetti e roba simile. I dispositivi mobili sommano i rischi derivanti dalla perdita di un’agendina (il furto o lo smarrimento) con quelli intrinsecamente legati all’uso delle tecnologie informatiche (furto di credenziali e accesso non autorizzato): se prima avevamo un problema, adesso ne abbiamo due o più. Vero è che smartphone, tablet e computer dispongono di sistemi operativi in grado di usare file system crittografati, però l’anello debole della catena di sicurezza sta nella miriade di possibilità di impersonare il proprietario e accedervi usando le credenziali d’accesso esatte. Facciamo un esempio pratico e pure un po’ banale: l’avvocato Rossi chiude lo studio ogni sera alle 20.00, spegne il PC e torna a casa tranquillo poiché usa Windows e ha attivato BitLocker, ritenendo che i suoi file, gran parte legati all’attività professionale, siano al sicuro anche in caso di furto del computer grazie al file system crittografato. Sfortunatamente per lui, il ladro è abbastanza scafato e ha agito in maniera opportuna dopo diverse settimane di social engineering; acceso il computer, BitLocker chiede la password per decifrare il file system e il ladro sa che l’avvocato, fra le centinaia di password possibili, molto probabilmente avrà usato nome e anno di nascita della figlia Maria (es.: maria1988), anch’essa presente su Facebook e abituata a postare le foto dei suoi compleanni in compagnia degli amici. L’ultima foto di questa serie è stata pubblicata nel maggio 2016 e ritraeva una torta con una candelina a forma di numero “28”, pertanto, anche se la figlia non ha inserito la propria data di nascita nel proprio profilo Facebook, basta fare una semplice sottrazione: 2016-28=1988. LEGGI TUTTO

I “fenomeni” del Web.

Sono connesso ad Internet dal lontano ottobre 1996. A quei tempi molti dei lettori di questo articolo o non erano nati o non avevano un computer in casa o ce l’avevano ma non conoscevano Internet. Talvolta ripenso a quei tempi e mi rattristo ancora di più quando torno a guardare la realtà, fatta di social networks e analfabeti funzionali. Zuckerberg ha creato Facebook nel 2004 in preda ad un’incazzatura storica per essere stato lasciato dalla fidanzata dell’epoca e ulteriormente amplificata da una sbronza epica. Il progetto, che sia stato rubato o meno ai gemelli Winklevoss come subornato dal film “The Social Network” di David Fincher, ha l’indiscusso merito di aver consentito alle persone di ritrovarsi dopo molto tempo e di restare (o tornare) in contatto pur risiedendo ai poli opposti del pianeta. Purtroppo, però, è principio pacificamente assodato che il semplice possesso di una Ferrari non si traduca automaticamente nel saperla guidare e – spesso – non basta avere una patente di guida per poterlo fare ma si dovrebbe realmente partecipare ad un corso di guida professionale. Ecco: Facebook è come la Ferrari a portata di mano di un qualsiasi individuo incapace di guidarla e padroneggiarla. Internet, quindi, ha dato voce ad una massa di persone che, a prescindere dal titolo di studio, non sono capaci di comprendere quali possano essere le ricadute nel “mondo reale” di un loro gesto nel “mondo virtuale” (orrida espressione!) e, dunque, incapaci di comprendere il nuovo principio di causalità digitale, ove ad un’azione in rete o nel reale corrisponde una reazione nel substrato opposto (quindi, rispettivamente, nel reale o in rete). Il ragionamento a seguire prende Facebook come esempio eclatante ma è perfettamente applicabile ai moderni mezzi di comunicazione e condivisione sociale come YouTube, Whatsapp, Telegram, WeChat, Line, Twitter, Google+. Alcuni anni fa Italia 1 trasmetteva un programma della Gialappa’s Band intitolato “Mai Dire TV” nel quale venivano montati spezzoni di programmi televisivi locali o esteri, tutti accomunati dalla bizzarria dei protagonisti e dal loro muoversi in contesti grotteschi, con evidentissimi risultati comici o – peggio – ridicoli. Come dimenticare il Mago Gabriel, sedicente medium e operatore dell’occulto? Volente o nolente, il sig. Salvatore Gulisano (nome reale del personaggio), a prescindere dal fatto che fosse convinto o meno dei propri rituali esoterici, divenne vittima fissa della trasmissione. Egli divenne incredibilmente popolare presso gli adolescenti di allora, i quali attendevano la messa in onda del programma quasi esclusivamente per ridere delle tragicomiche messe in scena di Gabriel. Il sig. Gulisano divenne realmente popolare in quel periodo e alla fine fu egli stesso a cavalcare questo successo mettendo in scena rituali sempre più complessi ma sempre più ridicoli: liberamente e volontariamente aveva capito che per poter continuare ad alimentare la propria popolarità doveva insistere in quelle sue esibizioni.

Esiste la diffamazione in Internet?

Esiste la diffamazione in Internet? 9 Novembre 2014 In evidenza Ho scritto questo articolo per Newz.it per rispondere ad una delle domande più frequenti circa la libertà d’espressione in Rete. http://www.newz.it/2014/11/07/esiste-la-diffamazione-in-internet/219032/ Articolo precedenteArticolo successivo

Esiste la diffamazione in Internet?

Ho scritto questo articolo per Newz.it per rispondere ad una delle domande più frequenti circa la libertà d’espressione in Rete. http://www.newz.it/2014/11/07/esiste-la-diffamazione-in-internet/219032/
Archivio
Categorie

Cloud storage all’estero e privacy: come fare?

Il cloud computing è certamente una fra le innovazioni in assoluto più utili. Avere la possibilità di salvare dati e documenti in remoto e potervi accedere da qualunque posizione è semplicemente fantastico ma, come tutte le medaglie, questa tecnologia ha due facce e tendenzialmente ci soffermiamo solo ad esaminare la prima, quella che ci offre gli aspetti positivi. Non è facile dissertare sul rovescio della medaglia del cloud computing poiché il discorso rischierebbe di diventare troppo tecnico e poco comprensibile per le persone che, sebbene interessate all’argomento, non sono annoverabili fra gli “addetti ai lavori”. Appare necessario, quindi, rammentare un po’ in cosa consiste il cloud computing. Semplificando in maniera brutale ed estrema possiamo affermare che si tratta di una tecnologia che ci consente di utilizzare risorse informatiche attraverso Internet, spesso senza la necessità di installare appositi software nel nostro computer; quest’ultimo, in teoria, potrebbe persino non avere un hard disk all’interno poiché gli basterebbe avere tastiera, mouse e connessione ad Internet, poiché tutto il lavoro verrebbe svolto online – salvo non potervi accedere nei casi in cui sia impossibile connettersi alla Rete. Chiave del cloud computing è la struttura hardware del sistema che offre un servizio del genere: viene stravolta l’idea del tradizionale web server, una macchina in grado di ricevere richieste e restituire informazioni via Internet, e al suo posto bisogna immaginare una rete composta da innumerevoli server interconnessi. Ciascuno di questi server compone la “nuvola” (appunto, “cloud” in inglese) con la quale ci interfacciamo per lavorare. L’utente non sa se la rete sia composta da 10, 20 o 100 server: sa soltanto che c’è una struttura che offre un servizio e permette di lavorare a distanza e in qualsiasi punto in cui sia disponibile una connessione. Ecco perché si dice anche che l’infrastruttura del cloud computing è trasparente: semplicemente, non si vede. Una volta immesso un dato o un documento nel sistema cloud, questo viene letteralmente atomizzato. Esso cessa di esistere come unica sequenza di bytes contigui (secondo la tradizionale concezione di file salvato in un computer) e viene distribuito su un numero indefinibile di server del sistema. Le medesime parti del dato/documento vengono ulteriormente salvate anche sui restanti server in modo che nella non remota ipotesi di fallimento di un nodo dell’infrastruttura, il dato sia sempre recuperabile e disponibile per l’utilizzatore – che non noterà mai nulla di tutto ciò, salvo che manchi del tutto la connessione al servizio. Le dimensioni di un sistema cloud possono essere le più disparate: si va dal sistema chiuso nello stanzino di un’università (poche macchine) fino al colosso dell’informatica col nome che inizia per “G” e finisce per “oogle”, con interi datacenter interconnessi al fine di fornire un gigantesco sistema cloud. C’è di più: proprio perché questi server comunicano attraverso il protocollo TCP/IP (quello di Internet, per intenderci), essi non hanno la necessità di stare “vicini vicini” uno al fianco dell’altro. Ergo: un server potrebbe trovarsi a Roma, uno a Milano, uno a Palermo, uno a Reggio Calabria e uno potrebbe persino essere in Francia o negli Stati Uniti. Una tale possibilità potrebbe costituire dei problemi per i soggetti responsabili del trattamento dei dati personali altrui.

Il cloud computing è certamente una fra le innovazioni in assoluto più utili. Avere la possibilità di salvare dati e documenti in remoto e potervi accedere da qualunque posizione è semplicemente fantastico ma, come tutte le medaglie, questa tecnologia ha due facce e tendenzialmente ci soffermiamo solo ad esaminare la prima, quella che ci offre gli aspetti positivi.

Non è facile dissertare sul rovescio della medaglia del cloud computing poiché il discorso rischierebbe di diventare troppo tecnico e poco comprensibile per le persone che, sebbene interessate all’argomento, non sono annoverabili fra gli “addetti ai lavori”.

Appare necessario, quindi, rammentare un po’ in cosa consiste il cloud computing. Semplificando in maniera brutale ed estrema possiamo affermare che si tratta di una tecnologia che ci consente di utilizzare risorse informatiche attraverso Internet, spesso senza la necessità di installare appositi software nel nostro computer; quest’ultimo, in teoria, potrebbe persino non avere un hard disk all’interno poiché gli basterebbe avere tastiera, mouse e connessione ad Internet, poiché tutto il lavoro verrebbe svolto online – salvo non potervi accedere nei casi in cui sia impossibile connettersi alla Rete.

Chiave del cloud computing è la struttura hardware del sistema che offre un servizio del genere: viene stravolta l’idea del tradizionale web server, una macchina in grado di ricevere richieste e restituire informazioni via Internet, e al suo posto bisogna immaginare una rete composta da innumerevoli server interconnessi. Ciascuno di questi server compone la “nuvola” (appunto, “cloud” in inglese) con la quale ci interfacciamo per lavorare. L’utente non sa se la rete sia composta da 10, 20 o 100 server: sa soltanto che c’è una struttura che offre un servizio e permette di lavorare a distanza e in qualsiasi punto in cui sia disponibile una connessione. Ecco perché si dice anche che l’infrastruttura del cloud computing è trasparente: semplicemente, non si vede.

Una volta immesso un dato o un documento nel sistema cloud, questo viene letteralmente atomizzato. Esso cessa di esistere come unica sequenza di bytes contigui (secondo la tradizionale concezione di file salvato in un computer) e viene distribuito su un numero indefinibile di server del sistema. Le medesime parti del dato/documento vengono ulteriormente salvate anche sui restanti server in modo che nella non remota ipotesi di fallimento di un nodo dell’infrastruttura, il dato sia sempre recuperabile e disponibile per l’utilizzatore – che non noterà mai nulla di tutto ciò, salvo che manchi del tutto la connessione al servizio.

Le dimensioni di un sistema cloud possono essere le più disparate: si va dal sistema chiuso nello stanzino di un’università (poche macchine) fino al colosso dell’informatica col nome che inizia per “G” e finisce per “oogle”, con interi datacenter interconnessi al fine di fornire un gigantesco sistema cloud. C’è di più: proprio perché questi server comunicano attraverso il protocollo TCP/IP (quello di Internet, per intenderci), essi non hanno la necessità di stare “vicini vicini” uno al fianco dell’altro. Ergo: un server potrebbe trovarsi a Roma, uno a Milano, uno a Palermo, uno a Reggio Calabria e uno potrebbe persino essere in Francia o negli Stati Uniti. Una tale possibilità potrebbe costituire dei problemi per i soggetti responsabili del trattamento dei dati personali altrui.

Pollicino 2.0

Nel corso della settimana che volge al termine, il Garante per la protezione dei dati personali, Dott. Francesco Pizzetti, ha illustrato l’annuale relazione sull’attività dell’Authority nel corso dell’anno 2010 e non pochi sono stati gli spunti di riflessione, soprattutto alla luce della recente esplosione del fenomeno “smartphone”. Il Garante, infatti, seppur solo con un accenno, ha trattato un tema di scottante attualità: il potenziale rischio per la privacy di chi possiede e usa uno smartphone (da intendersi come colui che lo smartphone lo “spreme” e non lo usa solo per telefonare e spedire SMS). Il boom di iPhone prima e l’esplosione del fenomeno Android dopo, hanno consentito ad una larga fetta di utenti di fare il cosiddetto “salto di qualità” con l’abbandono di terminali telefonici “comuni” in favore dei sofisticatissimi “telefoni intelligenti”, in grado di fare praticamente qualsiasi cosa attraverso un’innumerevole quantità di applicazioni scaricabili dai rispettivi “app store/market”. Il telefono come lo conosciamo quasi non esiste più. I tempi in cui esso era solo ed esclusivamente un apparecchio per fare e ricevere telefonate oggi appaiono (di colpo) come la preistoria di questo settore; era solo il 1992 quando spesi la fortuna di L. 1.600.000 per portare a casa un Nokia Cityman 300 con contratto SIP (l’azienda di stato per la telefonia che, dopo la privatizzazione, è diventata Telecom Italia): le caratteristiche tecniche di quel telefono oggi fanno sorridere e – perché no? – anche commuoversi: schermo a matrice di led su due righe monocromatico, 5 suonerie monofoniche, 50 posizioni di memoria in rubrica (con nomi da abbreviare) e un solo numero per ciascun contatto, sistema ETACS, tastiera in gomma soggetta ad usura per sfregamento, doppia batteria (slim e normal) per garantire maggiore durata. Certo sono trascorsi quasi venti anni da allora, ma in questo arco di tempo la telefonia mobile ha visto e subìto una serie di piccole rivoluzioni, le quali ogni volta hanno provveduto a rendere obsoleto ciò che fino al mese precedente era lo stato dell’arte; così ci siamo ritrovati dapprima il GSM in luogo dell’ETACS, poi gli SMS, il GSM Dual-Band, gli MMS, lo sfortunato WAP, l’UMTS, le fotocamere/videocamere, Internet mobile, l’HSPA, il GPS, il Wi-Fi, il Bluetooth, il touch screen, i sensori di accelerazione e movimento, “Internet full experience”. Ciascuna rivoluzione ha portato con sé una radicale innovazione anche sotto il profilo hardware e, perciò, il telefono è diventato sempre più sottile, più robusto, più grande, più leggero, ha perso la tastiera e si è trasformato in un dispositivo sempre più simile ad un computer. Uno smartphone odierno è capace di sostituire quasi del tutto diversi altri dispositivi, computer compresi, poiché oggi esso può scattare fotografie o riprendere video, caricarli via Internet su Facebook o spedirli via e-mail; può fungere da navigatore GPS per guidarci per le strade di una città sconosciuta e ci permette di leggere le notizie dei quotidiani al mattino appena svegli, e tanto altro ancora. La funzione telefonica è sempre più residuale perché è cambiato lo stesso modo di comunicare grazie agli SMS e ai messaggi (privati e non) su Facebook o su Twitter.