Security Notes

Cosa sa la Rete di noi?

copertina

Quello di cui vorrei parlarvi oggi è un aspetto su cui non ci soffermiamo spesso a riflettere: una crescente duplice tendenza che mette a rischio la nostra privacy e la nostra in Rete. Da un lato la facilità con cui, senza pensarci a sufficienza, diffondiamo in internet sui vari Social, Blog e siti vari, informazioni che ci appartengono come se stessimo scrivendole su un nostro diario personale. Dall’altro grazie alla tecnologia ed ai bug delle applicazioni, nonché alla negligenza di alcuni amministratori di rete, come sia facile per chiunque con un minimo di conoscenze informatiche reperire parecchie informazioni sul nostro conto, che una volta aggregate tra loro, costituiranno un vero e proprio profilo di noi.

Avete mai provato a scrivere in Google il vostro nome e cognome tra virgolette, o il nome della vostra azienda? Vi consiglio di provare, e potreste scoprire delle cose che non ricordavate più nemmeno di aver fatto in passato. Questo tipo di ricerca eseguita con Google (ad aprile è il motore di ricerca più popolare con un miliardo e cento milioni di visitatori – fonte ebizmba) è infatti la base di partenza per chi vuole iniziare a raccogliere informazioni su qualcuno. Compariranno dati prevedibili come appunto i link ai profili dei social network, le vostre foto, i vostri blog o le notizie tratte dalla stampa, ma potrebbero apparire anche informazioni impensabili come ad esempio la partecipazione, anche in anni passati, a Società o Associazioni, a cariche di responsabilità in esse, oppure l’assegnazione dei contributi per la prima casa, finanziamenti e gare d’appalto, e molto altro. Attraverso poi le Google Dorks, le tecniche avanzate di ricerca messe a disposizione da Google, un criminale potrebbe arrivare ad ottenere nostri username, password, indirizzi email, e dati sensibili. Tutte informazioni che associate ad altre possono diventare molto pericolose.

Ad esempio se sul profilo FB (che molti lasciano pubblico) ho indicato la data del mio compleanno, e poi ho ricevuto un contributo prima casa nel Comune di Milano apparso pubblicamente sul sito istituzionale, già con questi dati è possibile per chiunque ottenere l’indirizzo della mia residenza ed il mio stato di famiglia semplicemente andando in anagrafe (sono registri pubblici).  Ancora più facile sarebbe se su FB indico direttamente la data di nascita ed il mio comune di residenza o pubblico la foto del panorama visto dal mio terrazzo lasciando la geolocalizzazione dello smartphone attiva. Corro lo stesso pericolo inoltre se pubblico (come ho visto fare) la foto della mia auto dove si vede bene la targa (il Registro “Pubblico” Automobilstico è consultabile OnLine), o addirittura se entusiasta per la patente appena presa, ne pubblico la foto (e tutti i dati su di essa riportati) sui Social Network. Quando si vuole pubblicare qualcosa, non si deve pensare solo al valore che può avere in termini di privacy quello che oggi pubblico, ma va pensato nell’insieme dei dati che ho già pubblicato nel tempo ed anche alle ripercussioni che il tutto potrà avere nel futuro.

Non è un caso se dopo aver pubblicato sui Social Network la notizia e le foto delle nostre ferie fuori città, con tutta la famiglia cane compreso, al nostro ritorno troviamo la casa svaligiata dai ladri. Non abbiamo fatto altro che dare uno strumento in più ai criminali.

Vi è mai capitato di ricevere nella casella di posta elettronica della pubblicità mirata ai vostri interessi o alle ricerche effettuate di recente? Se si credete che sia un caso? No, non lo è. Sappiate che i siti visitati mentre si è loggati ad uno dei servizi di un motore di ricerca (es. Google), verranno registrati da questo che assocerà le ricerche fatte al nostro account creandosi un profilo di noi e correlando le informazioni (pagine visitate, numero di volte, date e orari di visualizzazione) Sarà pertanto facile per questo indirizzare la pubblicità ai propri interessi.

Esiste un motore di ricerca che ispeziona la rete alla ricerca di ogni dispositivo connesso: SHODAN. Ed al giorno d’oggi dove il mercato dell’IoT sta crescendo esponenzialmente, questo deve farci preoccupare. Shodan può infatti individuare router, frigoriferi, televisori, sistemi elettrici complessi e dighe. Tutto quanto è connesso ad Internet. Ma anche addirittura forni crematori dove è possibile accedere e conoscere il nome del defunto senza necessità di credenziali di autenticazione o sistemi di videosorveglianza non protetti che permettono di sbirciare quanto accade davanti all’obiettivo. Molto comuni sono al giorno d’oggi i sistemi di videosorveglianza collegati ad internet per poter vedere dall’ufficio cosa accade a casa o viceversa, ma di questi pochi sono quelli configurati correttamente per non permettere di accedere ad essi senza password o con password di default. La forza di Shodan è tanto maggiore quanto più grossolanamente sono configurati gli apparecchi che sono connessi ad Internet.

shodan

 

GEOLOCALIZZAZIONE

Quanti conoscono la funzione “Posizioni Frequenti” dell’iPhone? Si tratta di una impostazione dello smartphone abilitata di default. Si trova nel menù  Impostazioni/Privacy/Localizzazione/Servizi di Sistema” (preso a campione un iPhone 5S). Se abilitata registra tutti i luoghi visitati dall’utente nel tempo raggruppando quelli più frequenti e registrando anche il tempo di permanenza in ogni luogo. Ora immaginiamo se perdiamo lo smartphone, o semplicemente se cade in mano ad un partener eccessivamente geloso. Resta il fatto che tali dati sono solo nel telefono assicura la Apple, ma ne siamo proprio sicuri?

Servizio analogo si ha con la “location history” di Google, quando si ha GMail sul telefonino o altre applicazioni legate a Google. Questo registra tutti gli spostamenti con rispettiva data ed orario e permette di vedere le registrazioni su “Google.it/locationhistory”. In questo caso è evidente che se il registro può vedersi online, allora tutti i dati dei nostri spostamenti non sono di certo sul nostro telefonino. Anche in questo caso la “location history” è abilitata di default nei device, ma è possibile disabilitarla.

posizioni-frequenti

Foto tratta da http://www.saggiamente.com/2015/04/01/liphone-tiene-traccia-dei-luoghi-che-visitiamo-scopriamo-come-impedirglielo/

NAVIGAZONE WEB

Non dimentichiamo che quando navighiamo e visitiamo una pagina web o un motore di ricerca questi sono in grado di sapere, e di solito memorizzano, le informazioni sul nostro browser, il sistema operativo in uso, la lingua utilizzata ed anche il nostro indirizzo ip pubblico. Inoltre scaricheranno nel nostro pc dei piccoli file chiamati «Cookie».

I Cookies possono avere finalità molto differenti dalle quali derivano effetti e criticità diverse. Se di norma sono utili perché permettono di fare acquisti online (riempendo il carrello della spesa), evitano di fare ogni volta il login sui siti internet e permettono di personalizzare certe pagine web mantenendo la configurazione quando ritorniamo sul sito (cookie tecnici), molto spesso sono invece pericolosi perché vengono utilizzati per “profilare l’utente” (cookie di profilazione – tracciano un suo profilo, le sue abitudini e i suoi interessi), oppure sono inviati da siti che l’utente non sta visitando  (cookie di terze parti). Sono così pericolosi per la privacy degli utenti che il Garante per la Protezione dei Dati Personali ha emanato delle prescrizioni in capo ai possessori di siti web che installano cookie nei computer dei visitatori e diverse a seconda del tipo di cookie installato.

Per ovvi motivi, inoltre, gli ISP conservano per almeno un anno un registro con tutte le connessioni che abbiamo effettuato insieme a tutti i nostri dati anagrafici consegnati al momento del contratto. Così pure fanno i Provider di posta elettronica che conserveranno non tanto il contenuto delle email (siamo sicuri?), ma data e ora, mittente e destinatario della corrispondenza.

Nella rete internet sono presenti già da anni anche dati (perché digitalizzati e strutturati) che prima si trovavano solo nei registri pubblici, nei registri ufficiali dello Stato. Di particolare interesse, sia relativo alla persona fisica che a quella giuridica, sono quelle relative alle proprietà immobiliari (visura catastale), ai veicoli posseduti (PRA), proprietà e partecipazioni in società (visura camerale), ipoteche e situazioni debitorie e fallimentari (visura ipotecaria e visura dei pregiudizievoli di conservatoria). Accedendo ai siti istituzionali di questi uffici è possibile ottenere le visure dietro il pagamento del relativo prezzo o abbonamento. Ed in questo modo senza muoversi da casa, un soggetto che voglia conoscere le nostre proprietà immobiliari potrà farlo, in quanto trattasi di registri pubblici.

Moltissimi sono gli strumenti e tecniche per ricercare informazioni in rete su persone fisiche ed aziende, ma quanto visto fino ad ora è già sufficiente per capire il concetto principale: Internet spesso può sapere di noi più di quanto immaginiamo.

Inoltre ricordiamoci sempre che L’UOMO DIMENTICA, INTERNET NO! Quindi quello che pubblichiamo o compare in internet oggi potrebbe rimanerci forse per “sempre”.

Come possiamo fare per limitare allora le informazioni sul nostro conto o su quello della nostra azienda che si troveranno in internet?

Ecco alcuni consigli generali …

  • Controllare o fare controllare periodicamente quali dati ed informazioni personali sul nostro conto e su quello della nostra azienda sono presenti in Internet
  • Formare il personale su quali e su come pubblicare informazioni aziendali in rete
  • Pensare molto bene prima di pubblicare in rete qualcosa di personale o sensibile che ci riguarda
  • Sui Social fare attenzione, ci sono molti profili fake con lo scopo solo di riuscire a leggere quanto scriviamo sulle nostre bacheche. Non accettare contatti da chi non si conosce personalmente e non lasciare il profilo di Facebook pubblico.
  • Non effettuare ricerche in Internet quando si è loggati sui motori di ricerca
  • Configurare correttamente router, videosorveglianza, e tutto quello che è collegato ad internet, il pericolo è sempre dietro l’angolo.
  • Adottare tutti gli strumenti messi a disposizione dai Browser per navigare limitando le tracce lasciate.

Restando in tema di Privacy qui troverete le recenti slides utilizzate ad una lezione del corso di Informatica Giuridica del Prof. Ziccardi all’Università di Milano su “Privacy e Anonimato”.

Immagine di copertina sotto licenza CC-BY-SA 4.0

Antonio Sagliocca

Antonio Sagliocca

Amante delle nuove tecnologie, si occupa da vari anni di Investigazioni Private e Digitali, Open Source Intelligence ed Ethical Hacking.

Studente di Sicurezza Informatica e Socio Clusit dal 2014, ha alle spalle un’esperienza di oltre quindici anni in ambito IT Sistemistico e Tecnico. Agli inizi del 2000 ha partecipato al progetto di “alfabetizzazione informatica” organizzato dalla Municipalità a favore dei cittadini che si avvicinavano al mondo del Computer.

Dall’A.A. 2015/2016 collabora con le Cattedre di Informatica Giuridica e Informatica Giuridica Avanzata dell’Università degli Studi di Milano.

Twitter LinkedIn 

Clicca per commentare

Commenti e reazioni su:

Loading Facebook Comments ...

Lascia una replica

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

No Trackbacks.

TechEconomy è il portale di informazione dedicato a manager, imprenditori e professionisti che vogliono approfondire e comprendere l’impatto delle tecnologie nello sviluppo del business nelle PMI come nell’industria, nella finanza, nei servizi.
Si rivolge insomma a tutti coloro che vogliono capire come le nuove realtà dell'Information Technology - Web 2.0, e-Business, net economy - stiano cambiando l’economia, e con essa la società.
Inizio
Shares
Share This