- 5 Maggio 2009
- 8.204
- 0
- Miglior risposta
- 0
La nostra posta elettronica, le coordinate della nostra banca online, il numero della nostra carta di credito. Qualcuno potrebbe averli estratti dal nostro PC. Senza che noi abbiamo mai sospettato nulla. Un esperto di sicurezza ci spiega perché i nostri dati personali sono meno sicuri di quanto crediamo.
Claudio Agosti, esperto di sicurezza informatica, è uno che risolve problemi. Ma diversamente dal Winston Wolf di "Pulp Fiction", che i problemi li risolveva seppellendoli, lui gli scheletri deve riportarli alla luce. Funziona più o meno così: tu, azienda con una presenza in Rete, gli chiedi se il tuo database con Nmila dati è sicuro, e lui, per tutta risposta, ti esegue un "Penetration Test". E perdonate il termine. A quel punto ti mostra le falle della tua rete e passa alla cassa. Claudio Agosti è un hacker, nel senso nazionalpopolare del termine, e quando gli chiedi se i nostri dati su Internet sono al sicuro un po' ride, perché la domanda forse è ingenua, un po' no, perché anche gli hacker, in fondo, due valori ce li hanno...
Ok, ora hai il mio nome e il mio indirizzo email – è la prima cosa che gli chiedo – cosa puoi sapere di me?
Posso sapere tutto quello che, negli anni, hai dimenticato su Internet. In particolare, quello che gli altri hanno detto di te, hanno fatto con te e tu hai fatto con loro.
Qualche esempio?
Esempi? La foto che ti hanno fatto alla festa, che hanno messo su Flickr, i messaggi che hai inviato su un gruppo di discussione, che è indicizzato su Yahoo Gruppi. Le tue posizioni lavorative, che hai scritto su LinkedIn sperando questo ti aiutasse a trovare lavoro. Non ti ha aiutato: in compenso ha aiutato me a trovare te.
Su Internet come ci si fanno gli affari degli altri?
La raccolta dei dati pubblicamente diffusa e il riutilizzo degli stessi per iniziare nuove ricerche si chiama Open Source Intelligence (OSI). Con i motori di ricerca si possono fare ricerche utilizzando come discriminanti nomi, nick, email, luoghi, e analizzare l'output. Un esempio: si parte da un nome, si trova un'email, si cerca nome + email e non si trova nulla, si cerca solo l'email e si trova un'email + un nick, si cerca quel nick e si trova un centro di discussione, le amicizie della persona, le sue foto.
Quindi il problema è quanto ci si espone?
Più si usa la Rete, più ci si espone. C'è da considerare una tendenza che è cresciuta negli ultimi anni: la mania della condivisione di "parti di sé" online. L'utilizzo di blog, forum, social networking causa una diffusione di dati "apparentemente non riservati" incontrollata. Si tratta di dati estrapolabili dalle nostre domande, risposte, amicizie dichiarate. Inoltre, una volta commesso l'errore, potremmo trovarci nella situazione di non poterlo correggere: i motori di ricerca non conoscono oblio.
Ma oltre quelli pubblicamente diffusi, quali dati "sensibili" si possono recuperare in Rete?
In via legittima, pochi. Molto spesso si fa riferimento all'idea che esistano database enormi la cui consultazione è disponibile a pagamento. Ma questo è vero in America. In America è vietato che qualcuno ti procuri danno utilizzando i tuoi dati personali, in Europa che i tuoi dati personali siano in possesso di un'altra persona.
E questo ci porta alla fase due: quanto è possibile sapere, per un buon hacker, in via "non legittima"?
Dipende dal "servizio". Quello che posso dirti è che nessun server che abbia visto nella mia carriera lavorativa effettua una separazione tra i dati utili al business e i dati degli utenti. Chi viola un server, quindi, può potenzialmente disporre di tutti questi dati. È successo l'anno scorso con il motore di ricerca internazionale "Monster". I dati di milioni di utenti che avevano inserito informazioni personali e lavorative sono stati presi da sconosciuti e rivenduti a concorrenti.
In questo caso, come si muove un buon hacker?
Nel caso di violazione massiva, un hacker cerca il server con più utenti più facilmente violabile, quindi scarica un database di username/password/email. A quel punto fa questo ragionamento: "Quante persone usano la stessa password sia per la posta che per i servizi online? Tante". Così automatizza un sistema per scaricarsi la posta degli utenti ai quali ha rubato email e password. Fa in modo che le email copiate rimangano sul server, così che gli utenti non notino la mancanza.
E se così non funziona?
Se non funziona, si procede cercando di "indovinare" la password di posta. Si può tentare di inviare trojan all'utente a nome di persone che conosce, e in generale iniziare una serie di attacchi informatici per violare il suo computer. Si tratta di operazioni che si discostano dalla semplice "ricerca", per passare al vero "spionaggio e furto" di informazioni.
L'idea di molti è che oggi esista anche un "Grande Fratello" statale. È così?
No, l'immaginario orwelliano collettivo è distorto. Il controllo della rete telefonica, satellitare, elettrica, finanziaria da parte dello stato è noto. C'è un organo di sorveglianza possibile grazie al fatto che l'infrastruttura è sua. La rete Internet, invece, è globale, e ogni frammento di globo si divide in operatori internazionali (Inet, Telecom, Albacom), ogni rete si divide tra fornitori di servizio (TIN, Tiscali, Wind), ogni servizio prende vita grazia a un server. Quindi non si può parlare di Grande Fratello, ma di tanti "fratelli medi".
Questo significa che siamo al sicuro?
No, questo significa che se prima non era necessario proteggersi perché lo Stato è l'unione dei cittadini e le intercettazioni uno strumento per difendere gli interessi dei cittadini, ora le intercettazioni sono una possibilità non regolamentata di tutti i privati. Gli scandali Telecom-Sismi, Telecom Grecia, Telecom Brasile e l'attuale Telecom Germania cosa stanno a significare? Che ora sono i privati ad avere il potere delle intercettazioni. E che da tale potere si viene facilmente corrotti. Per questi motivi, se prima ci si poteva non proteggere, ora dovrebbe essere un obbligo morale.
CINQUE CONSIGLI ANTI-HACKER
1. Utilizzare password differenti in ogni server.
2. Installare un software antispyware (Ad Aware, SpyBot, Spyware Terminator).
3. Usare un software per la protezione del disco rigido (Truecrypt).
4. Usare un software per la navigazione anonima (Torpark).
5. Cifrare la propria posta elettronica, con software come GnuPG o Enigmail, una modifica al client Thunderbird.
COME FARSI GLI AFFARI ALTRUI
Da segreta perversione personale, la ricerca di informazioni altrui su Internet è ormai diventata una prassi pubblica. Oggi esistono diversi servizi online che, direttamente o indirettamente, permettono di setacciare la Rete per trovare informazioni su una singola persona.
1. Spokeo (
2. Zabasearch (
3. Spock (
4. Google Earth (
5. Emule, Bittorrent & co.: Nelle profondità della Rete, attraverso i software di file sharing, è ancora possibile recuperare le dichiarazioni dei redditi 2005 degli italiani, diffuse (e poi ritirate) dal Ministero delle Finanze
Fonte:
Claudio Agosti, esperto di sicurezza informatica, è uno che risolve problemi. Ma diversamente dal Winston Wolf di "Pulp Fiction", che i problemi li risolveva seppellendoli, lui gli scheletri deve riportarli alla luce. Funziona più o meno così: tu, azienda con una presenza in Rete, gli chiedi se il tuo database con Nmila dati è sicuro, e lui, per tutta risposta, ti esegue un "Penetration Test". E perdonate il termine. A quel punto ti mostra le falle della tua rete e passa alla cassa. Claudio Agosti è un hacker, nel senso nazionalpopolare del termine, e quando gli chiedi se i nostri dati su Internet sono al sicuro un po' ride, perché la domanda forse è ingenua, un po' no, perché anche gli hacker, in fondo, due valori ce li hanno...
Ok, ora hai il mio nome e il mio indirizzo email – è la prima cosa che gli chiedo – cosa puoi sapere di me?
Posso sapere tutto quello che, negli anni, hai dimenticato su Internet. In particolare, quello che gli altri hanno detto di te, hanno fatto con te e tu hai fatto con loro.
Qualche esempio?
Esempi? La foto che ti hanno fatto alla festa, che hanno messo su Flickr, i messaggi che hai inviato su un gruppo di discussione, che è indicizzato su Yahoo Gruppi. Le tue posizioni lavorative, che hai scritto su LinkedIn sperando questo ti aiutasse a trovare lavoro. Non ti ha aiutato: in compenso ha aiutato me a trovare te.
Su Internet come ci si fanno gli affari degli altri?
La raccolta dei dati pubblicamente diffusa e il riutilizzo degli stessi per iniziare nuove ricerche si chiama Open Source Intelligence (OSI). Con i motori di ricerca si possono fare ricerche utilizzando come discriminanti nomi, nick, email, luoghi, e analizzare l'output. Un esempio: si parte da un nome, si trova un'email, si cerca nome + email e non si trova nulla, si cerca solo l'email e si trova un'email + un nick, si cerca quel nick e si trova un centro di discussione, le amicizie della persona, le sue foto.
Quindi il problema è quanto ci si espone?
Più si usa la Rete, più ci si espone. C'è da considerare una tendenza che è cresciuta negli ultimi anni: la mania della condivisione di "parti di sé" online. L'utilizzo di blog, forum, social networking causa una diffusione di dati "apparentemente non riservati" incontrollata. Si tratta di dati estrapolabili dalle nostre domande, risposte, amicizie dichiarate. Inoltre, una volta commesso l'errore, potremmo trovarci nella situazione di non poterlo correggere: i motori di ricerca non conoscono oblio.
Ma oltre quelli pubblicamente diffusi, quali dati "sensibili" si possono recuperare in Rete?
In via legittima, pochi. Molto spesso si fa riferimento all'idea che esistano database enormi la cui consultazione è disponibile a pagamento. Ma questo è vero in America. In America è vietato che qualcuno ti procuri danno utilizzando i tuoi dati personali, in Europa che i tuoi dati personali siano in possesso di un'altra persona.
E questo ci porta alla fase due: quanto è possibile sapere, per un buon hacker, in via "non legittima"?
Dipende dal "servizio". Quello che posso dirti è che nessun server che abbia visto nella mia carriera lavorativa effettua una separazione tra i dati utili al business e i dati degli utenti. Chi viola un server, quindi, può potenzialmente disporre di tutti questi dati. È successo l'anno scorso con il motore di ricerca internazionale "Monster". I dati di milioni di utenti che avevano inserito informazioni personali e lavorative sono stati presi da sconosciuti e rivenduti a concorrenti.
In questo caso, come si muove un buon hacker?
Nel caso di violazione massiva, un hacker cerca il server con più utenti più facilmente violabile, quindi scarica un database di username/password/email. A quel punto fa questo ragionamento: "Quante persone usano la stessa password sia per la posta che per i servizi online? Tante". Così automatizza un sistema per scaricarsi la posta degli utenti ai quali ha rubato email e password. Fa in modo che le email copiate rimangano sul server, così che gli utenti non notino la mancanza.
E se così non funziona?
Se non funziona, si procede cercando di "indovinare" la password di posta. Si può tentare di inviare trojan all'utente a nome di persone che conosce, e in generale iniziare una serie di attacchi informatici per violare il suo computer. Si tratta di operazioni che si discostano dalla semplice "ricerca", per passare al vero "spionaggio e furto" di informazioni.
L'idea di molti è che oggi esista anche un "Grande Fratello" statale. È così?
No, l'immaginario orwelliano collettivo è distorto. Il controllo della rete telefonica, satellitare, elettrica, finanziaria da parte dello stato è noto. C'è un organo di sorveglianza possibile grazie al fatto che l'infrastruttura è sua. La rete Internet, invece, è globale, e ogni frammento di globo si divide in operatori internazionali (Inet, Telecom, Albacom), ogni rete si divide tra fornitori di servizio (TIN, Tiscali, Wind), ogni servizio prende vita grazia a un server. Quindi non si può parlare di Grande Fratello, ma di tanti "fratelli medi".
Questo significa che siamo al sicuro?
No, questo significa che se prima non era necessario proteggersi perché lo Stato è l'unione dei cittadini e le intercettazioni uno strumento per difendere gli interessi dei cittadini, ora le intercettazioni sono una possibilità non regolamentata di tutti i privati. Gli scandali Telecom-Sismi, Telecom Grecia, Telecom Brasile e l'attuale Telecom Germania cosa stanno a significare? Che ora sono i privati ad avere il potere delle intercettazioni. E che da tale potere si viene facilmente corrotti. Per questi motivi, se prima ci si poteva non proteggere, ora dovrebbe essere un obbligo morale.
CINQUE CONSIGLI ANTI-HACKER
1. Utilizzare password differenti in ogni server.
2. Installare un software antispyware (Ad Aware, SpyBot, Spyware Terminator).
3. Usare un software per la protezione del disco rigido (Truecrypt).
4. Usare un software per la navigazione anonima (Torpark).
5. Cifrare la propria posta elettronica, con software come GnuPG o Enigmail, una modifica al client Thunderbird.
COME FARSI GLI AFFARI ALTRUI
Da segreta perversione personale, la ricerca di informazioni altrui su Internet è ormai diventata una prassi pubblica. Oggi esistono diversi servizi online che, direttamente o indirettamente, permettono di setacciare la Rete per trovare informazioni su una singola persona.
1. Spokeo (
Perfavore,
Entra
oppure
Registrati
per vedere i Link!
Un servizio di ricerca automatizzata in oltre 40 social network.2. Zabasearch (
Perfavore,
Entra
oppure
Registrati
per vedere i Link!
Il punto di riferimento per la ricerca di dati personali negli Stati Uniti. Restituisce, tra l'altro, la fedina penale degli utenti cercati.3. Spock (
Perfavore,
Entra
oppure
Registrati
per vedere i Link!
Un altro strumento per la ricerca di pagine personali all'interno di blog e social network.4. Google Earth (
Perfavore,
Entra
oppure
Registrati
per vedere i Link!
Un paio di clic sono sufficienti per trovare la foto satellitare della casa di una persona. In alcuni casi, anche del suo giardino o della sua auto. 5. Emule, Bittorrent & co.: Nelle profondità della Rete, attraverso i software di file sharing, è ancora possibile recuperare le dichiarazioni dei redditi 2005 degli italiani, diffuse (e poi ritirate) dal Ministero delle Finanze
Fonte:
Perfavore,
Entra
oppure
Registrati
per vedere i Link!