privacy
Perfect Citizen. NSA replica “nessun monitoraggio, solo controlli”
Avevo discusso ieri del nuovo progetto della NSA, il Perfect Citizen, e delle indiscrezioni trapelate attraverso il Wall Street Journal sulle intenzioni poco rispettose della privacy del cittano, di impiantare sensori per intercettare e monitorar le abitudini quotidiane dei comuni cittadini.
Ebbene, la National Security Agency è voluta intervenire in prima persone sulla faccenda affermando che il programma di sorveglianza nazionale sulla Rete è invece un progetto “per valutare semplicemente le vulnerabilità e le possibilità di sviluppo dell’infrastruttura nazionale.”
Mi sembra piuttosto scontata come affermazione e anche poco credibile. Sono stati stanziati 100 milioni di dollari, ( questo il valore del contratto aggiudicatosi dal privato Raytheon) per una semplice analisi di vulnerabilità ?
0
Skype decriptato. Crepa nel più famoso sistema Voip.
Circa un anno fa, un’agenzia dell’Unione Europea, la Eurojust, avviò un’indagine per valutare la possibilità di decriptare le telefonate VOIP e stabilire quali siano i mezzi giuridici e tecnici necessari per implementare un meccanismo di wiretapping, monitoraggio ed intercettazione di telefonate cellulari e fissi. Anche l’Italia si dimostrò interessata e tramite la rappresentanza italiana presso Eurojust si dichiarò disposta a ricoprire un ruolo fondamentale nel coordinamento e nella cooperazione per l’investigazione nell’utilizzo dei sistemi di telefonia VOIP, tenendo sempre conto delle differenti regole per la protezione dei dati e il diritto alla privacy in vigore nei vari paesi. Lo stesso ministro Roberto Maroni nel febbraio 2009 diede mandato di formare una task force con “l’obiettivo di ricercare soluzioni tecnologiche e normative per rendere fruibili ai fini investigativi e giudiziari le intercettazioni telematiche.” E’ chiaro che la principale preoccupazione è rivolta all’utilizzo che malviventi e organizzazioni criminali possano fare della tecnologia VOIP, un pensiero che pochi potrebbero contestare.
La stessa rappresentante italiana di Eurojust, Carmen Manfredda dichiarò che lo scopo di questa iniziativa comunitaria “non è impedire agli utenti di giovarsi di queste tecnologie, ma di prevenire che i criminali utilizzino Skype e altri sistemi per organizzare le loro azioni illegali.”
Però la cifratura del protocollo Skype è una questione abbastanza complessa. Ne l 2008 la Cina comunicò di aver iniziato l’intercettazione di tutte le chat testuali e a seguire anche l’Austria era giunta notizia che la cifratura delle telefonate non fosse così indecifrabile.
Skype, dal canto suo, si dichiarò favorevole a collaborare con le autorità.
E’ notizia odierna quella di un esperto di reverse engineering , Sean O’Neil, che dichiara di essere in possesso del codice in grado di decifrare le comunicazioni VOIP, una versione modificata del bel noto algoritmo RC4, usato in sistemi come SSL per le sessioni HTTP e WEP per le reti wireless.
Attraverso il suo blog egli dichiara di aver deciso di rendere pubblico il codice in grado di decriptare le chiamate VOIP di Skype perchè già in molti sono attivamente impegnati ad abusare della piattaforma VOIP e quindi tanto vale non lasciargli il vantaggio dell’iniziativa.
E’ possibile che un solo uomo sia riuscito dove anche organizzazioni militari hanno fallito ? Ovviamente la questione è molto delicata e già in molti si dichiarano scettici e hanno iniziato a verificare l’esattezza del codice pubblicato da Sean O’Neil.
La risposta di Skype ovviamente non si è fatta attendere:
“Crediamo che il lavoro svolto da Sean O‘Neil, che noi sappiamo essere formalmente noto come Yaroslav Charnovsky, stia facilitando in maniera diretta gli attacchi di spam contro Skype e stiamo valutando le azioni legali da intraprendere. Anche se comprendiamo il desiderio di de-ingegnerizzare i nostri protocolli con l’intento di migliorarne la sicurezza, il lavoro fatto da questo individuo dimostra chiaramente l’opposto. Skype ha investito pesantemente nella sicurezza e nella privacy del nostro software e siamo orgogliosi dell’alto livello di sicurezza che siamo in grado di offrire ai nostri clienti. Skype era e continua a essere estremamente sicuro, e la distribuzione di questo codice “non compromette in alcun modo questo fatto. Skype resta un metodo sicuro ed efficace di comunicazione globale e la società difenderà vigorosamente la propria sicurezza da tutte le minacce note“.
In attesa di altri sviluppi io stesso ho scaricato il codice C e ho proprio voglia di provarne l’efficienza.
0USA, identità elettroniche e Cyber-sicurezza
Giorni addietro ha riecheggiato la notizia di una proposta parlamentare americana per istituire degli organi di controllo governativo sulle infrastrutture private in caso di minaccia telematica che rispondano direttamente al Presidente degli Stati Uniti. Pareri discordi però si sono sollevati da parte dell’industria IT che denuncia i possibili rischi di un controllo indiscriminato da parte del governo federale e di una totale perdita di controllo della privacy di ogni cittadino.
Secondo la proposta presentata, in caso di Cyber-emergenze le autorità competenti potranno dichiarare lo stato di emergenza telematica organizzando e imponendo misure utili a disinnescare l’imminente minaccia. Quali siano però queste misure non è stato chiarito, e credo che sia proprio questo il nodo su cui vertono le preoccupazioni di tanti. In presenza di tala tipologia di minaccia, le società private queli ISP, impinati di fornitura energetica, dovranno obbedire agli ordini provenienti dagli organi federali.
Per preparsi al meglio a ogni tipo di minaccia e attacco informatico, la Casa Bianca sta inoltre pensando alla nascita di un ecosistema di identità online con l’obiettivo di ridurre i danni causati dalle truffe online e proteggere di conseguenza le transazioni finanziarie. Si tratterà di una carta di identità elettronica dotata di un chip che contenga le necessarie credenziali per effettuare gli accessi e condurre in modo sicuro le transazioni finanziarie. Un modo per eliminare totalmente la lista di password e codici di accesso di vario tipo che il più delle volte rappresentano il lato debole dei sistemi di sicurezza. Questo ecosistema dovrebbe garantire il pieno controllo all’utente, almeno dalle specifiche presentate da Howard Schmidt, capo della cyber-sicurezza nominato da Barack Obama. Ognuno sarà in grado di avere un maggior controllo delle informazioni private usate nei processi di autenticazione e scegliere cosa rivelare e cosa tenere privato.
La proposta è senza ombra di dubbio innovativa, eliminerebbe la necessità di ricordare liste di password o utilizzare token per l’autenticazione, ma è certo che bisognerà prevedere di sicuro dei meccanismi di contro autenticazione per evitare che una smartcard smarrita possa , in breve, tempo ridurre al lastrico il malcapitato utente.
Vedremo cosa ci riserverà il futuro ma ad ogni modo stiamo osservando una crescita di interesse sulla sicurezza informatica e la privacy dei singoli.
1.xxx Nuovo suffisso per siti porno?
L’ICANN , l’ente internazionale non-profit che gestisce l ‘assegnazione degli indirizzi IP e il sistema dei nomi a domini generici di primo livello, sta riconsiderando l’introduzione di un dominio di primo livello pensato esclusivamente per siti a contenuti adulti.
Il suffisso .xxx potrebbe rimanere ancora solo un’ipotesi dopo la disputa avvenuta con la ICM Registry , la compagnia che, nel 2001 ha proposto l’introduzione della tripla X come estensione per i domini dei siti a contenuti pornografici ed erotici. La storia è travagliata e si passa dalle approvazioni avvenute nel 2005 alle proteste degli attivisti anti-porno statunitensi.
Organizzazioni come CP80.org si battono da anni per abbattere e confinare i siti pornografici in rete e si può essere certi che non resteranno a guardare se i trattati tra la ICM Registry e la ICANN dovessero riprendere.
In ogni caso, con o senza introduzione del dominio a tripla X, il porno continua a produrre ingenti quantià di guadagni. Basti pensare che il dominio sex.com qualche hanno fa fu pagato 14 milioni di dollari e andrà nuovamente in vendita a causa del fallimento della società che ne deteneva i diritti. Prezzo base per partecipare all’asta? assegno da 1 milione di dollari. !
0Google Street View. Ti catturo anche le password!
Il procuratore generale dello stato del Connecticut, Richard Blumenthal, ha annunciato un’indagine multi statale nei confronti di Google, per la raccolta non autorizzata di dati personali. Infatti le precedenti investigazioni dell’ente per la protezione dei dati francese CNIL avrebbero confermato che fra i dati ottenuti da Google nella sua mappatura delle reti WiFi vi sarebbero pure informazioni protette dalla legge, tra cui password e frammenti di email.
CNIL, come altre istituzioni europee, aveva chiesto a Google i dati raccolti con le automobili di Google Street, per decidere se avviare o meno un’inchiesta per la violazione di privacy. In data 4 giugno ha ottenuto i dati e da un esame preliminare, sembra già potersi confermare la presenza di informazioni normalmente protette dai regolamenti bancari e sulla privacy medica. Nei dati raccolti vi sarebbero pure password e stralci di conversazione email.
Google aveva sempre affermato di aver raccolto solo frammentarie informazioni di navigazioni personali, senza averne intenzione e senza provocare danno. Il colosso dei motori di ricerca ha consegnato i dati con l’intenzione di collaborare con le autorità europee, e si è dichiarato disponibile a cancellare qualsiasi dato.
Il caso si sta allargando a macchia d’olio, tanto che anche la Polizia Metropolitana di Londra ha deciso di aprire un’indagine per verificare la natura dei dati raccolti.
Cercando su google, (ancora libero ) mi sono imbattuto in questo blog che raccoglie alcune immagini raccolte dalla Google Car.
Vero che le immagini contenenti targhe e visi vengono offuscate, ma prima di tale processo cosa succede? Un intero database di domande sta popolando la mia mente. Targhe di automobili, scena di vita privata fotografate in un istante e conservate per sempre in chissà quale archivio segreto.
Un servizio apparentemente utile come Street View, è invece utilizzato per entrare in possesso di dati personali e immagini private?
Dite la vostra nei commenti.
0Lotta contro la pedopornografia comprometterà la privacy?
371 Membri del Parlamento Europeo hanno apposto la propria firma sulla Dichiarazione numero 29, un’iniziativa lanciata dalle autorità di Bruxelles per fermare abusi e violenze sui minori che dovrebbe comportare un innesto nella direttiva 24/2006 sulla data retention, una norma per la conservazione dei dati anche nei motori di ricerca. Tutte le ricerche degli utenti verrebbero dunque monitorate alla ricerca di potenziali soggetti da denunciare alle autorità. Ovviamente arginare il fenomeno della pedo-pornografia è certamente una priorità, ma l’iniziativa è stata già ampiamente criticata dal piratpartiet svedese, definita illegittima, annunciando pure una campagna di protesta.
Il pericolo è che una volta che le autorità avranno la capacità di archiviare e monitorare le ricerche dei cittadini europei nessuno può garantirci che non possa essere sfruttata con intenzioni del tutto diverse da quelle iniziali.
Le paure sono ben fondate, e onestamente anche io temo che una iniziativa con nobili propositi possa facilmente diventare una trappola e limitare la libertà di utilizzo dei motori di ricerca.
Tante riflessioni……
0Privacy e Sicurezza dei Dati
Compuware Corporation ha annunciato i risultati di uno studio condotto da Ponemon Institute© , nel quale sono state identificate sei aree di vulnerabilità per la privacy e la sicurezza dei dati nel settore dei servizi finanziari:
• rischio di violazione dei dati
• riduzione della fedeltà e fiducia dei clienti
• attacchi interni dolosi o per negligenza
• rischio di outsourcing di dati riservati a terze parti
• mancanza di conformità alle normative
• gestione inefficiente di informazioni e privacy
Dai risultati della ricerca emergono aree di vulnerabilità o mancata conformità per l’83% delle società di servizi finanziari intervistate, che utilizzano dati reali per le attività di sviluppo e test delle applicazioni. La maggior parte di queste realtà non adotta misure appropriate per proteggere tali dati riservati e sensibili.
Inoltre, lo studio di Ponemon mette in evidenza ulteriori aree di rischio per la sicurezza dei dati, solitamente trascurate, fra cui:
• Solo il 56% delle società intervistate adotta procedure per la conformità delle identità
• Il 47% degli intervistati utilizza sistemi di rilevamento intrusioni
• Solamente il 41% del campione impiega una tecnologia di DLP, Data Loss Prevention
• L’88% degli intervistati dichiara di utilizzare codici di previdenza sociale come principale identificativo
“Anche una sola intrusione che possa compromettere la riservatezza di dati quali numeri di carte di credito, codici di previdenza sociale o altri dati finanziari, può provocare un danno enorme alla reputazione di un’azienda, senza contare le possibili azioni legali e le ammende per mancato rispetto delle normative che possono avere un impatto a lungo termine”, ha dichiarato Noel Yuhanna nel rapporto di Forrester Research di settembre 2009: Your Enterprise Database Security Strategy 2010. “La sicurezza del database rappresenta l’ultima linea di difesa, pertanto è necessario che i professionisti IT vi dedichino maggiore attenzione di quanto abbiano fatto in passato per la protezione dei dati privati da attacchi interni ed esterni”.
Nel report viene inoltre sottolineato che mentre il 60% delle organizzazioni dispone di un Chief Privacy Officer, e il 50% di esse segnala un’insufficiente disponibilità di risorse per raggiungere i propri scopi e obiettivi. La mancata protezione dei dati consumer negli ambienti di sviluppo e test, e altri fattori di rischio, mettono a repentaglio le informazioni private dei consumatori e la reputazione aziendale.
Le soluzioni Data Privacy di Compuware forniscono funzionalità di sicurezza sia per gli ambienti di test che di produzione. Compuware offre una soluzione completa per la riservatezza dei dati che aiuta le aziende a proteggere le informazioni sensibili e riservate mediante funzioni di crittografia, codifica, conversione, generazione, aging, analisi e convalida dei dati di test. La soluzione consente inoltre di registrare in modo efficiente l’attività interna autorizzata tra utenti e applicazione, proteggendo i dati da attacchi interni.
“La salvaguardia dei dati dei clienti è il miglior approccio che le società di servizi finanziari e altre organizzazioni possano adottare per fidelizzare clienti preziosi, proteggere la reputazione aziendale ed evitare ripercussioni negative a livello normativo”, ha affermato Massimo Zompetta, Regional Director South Emea di Compuware Italia. “Le soluzioni Data Privacy di Compuware consentono alle più importanti istituzioni finanziarie del mondo di assicurare che i team IT possano testare efficacemente le principali applicazioni aziendali senza compromettere la fiducia che i clienti ripongono nel loro business”.
1. Lo studio, Privacy & Data Protection Practices: a Benchmark Study of the Financial Services Industry , è stato compilato sulla base di una serie di interviste con Chief Information Security Officer, Chief Security Officer, Chief Privacy Officer o dirigenti con responsabilità equivalenti di 80 organizzazioni di servizi finanziari multinazionali (con più di 500 dipendenti). Le società rappresentate sono soprattutto grandi organizzazioni finanziarie multinazionali con sede in Nord America, tra cui società bancarie, ipotecarie, di investimento, brokeraggio, assicurazioni ed emissione carte di credito.
La survey è basata su un progetto durato tre mesi e concluso nell’ottobre 2009. Lo strumento per l’analisi di benchmark è stato progettato per raccogliere informazioni descrittive sulle prassi di protezione dei dati e della privacy adottate dalle società di servizi finanziari.
0AT&T: Fuga di dati privati degli utenti Ipad3G
L’operatore telefonico AT&T. colosso USA esclusivista per Ipad, è stato vittima di una grossa falla di sicurezza che ha coinvolta la stessa Apple. Sono stati infatti sottratte le email dei numerosi utenti di Ipad3G.
Il gruppo Goatse Security, responsabile dell’azione, ha usato uno script di AT&T disponibile liberamente in rete, per farsi rivelare gli indirizzi email collegati agli ICC-ID, ovvero gli Integrated Circuit Card Identifier, numeri di identificazione univoca dei circuiti integrati, dei dispositivi.
Si stima che gli indirizzi sottratti siano circa 114.067, appartenente tutti a una lunga lista di primi utenti di Ipad, e che l’attacco siano avvenuto nei primi giorni del mese di Aprile 2010.
Ovviamente quando si trafugano dati sensibili, fuoriesce sempre una lunga lista di nomi celebri che vanno da noti esponenti dell’editoria, politica e difesa nazionale. Spiccano i nomi della direttrice del New York Times Janet Robinson, di Ann Moore direttrice di Times, Les Hinton CEO di Down Jones, William Eldredge comandante del maggior gruppo operativo di B-1 della U.S. Air Force e tanti altri.
La compagnia telefonica AT&T si difende sostenendo che gli hacker non si sono messi in contatto con loro mentre il gruppo Goatse smentisce categoricamente questa ipotesi.
Le vittime dell’attacco hanno ricevuto uan email di scuse e AT&T è stata costretta a rimuovere lo script incriminato. Si assicura che nessun altro dato è stato sottratto, ma chi può averne realmente la certezza?
Lo stesso CEO di AT&T Randall Stephenson, pochi giorni prima del triste avvenimento, aveva presenziato una conferenza in una sede IBM proprio sul tema “Privacy e Sicurezza Informatica”, affermando che “se perdere la fiducia dei clienti sulla privacy, sarà dura riacquistarla“.
Sicuramente un finale ironico, ma senza dubbio mi trova concorde.
Violazione della privacy a scuola
LANrev è un software per la gestione remota del software utilizzato dagli amministratori di sistemi per le operazioni di manutenzione. Una delle caratteristiche del software è l’opzione Theft Track, sviluppata per permettere agli amministratori di entrare in possesso di immagini scattate attraverso la webcam dei laptop ed utilizzata dall’amministrazione della Lower Merion school in Pennsylvania per prevenire i furti dei computer forniti agli studenti.
E’ diventato famoso per essere stato installato ed utilizzato nei laptop degli studenti nella Lower Merion school in Pennsylvania già al centro di polemiche per il programma Theft Track, che in linea teorica doveva essere utilizzato per prevenire i furti dei laptop forniti agli studenti. Secondo le accuse invece, veniva utilizzato per spiare i giovani ignari di tutto ed è ancora in corso un indagine ufficiale dell’FBI.
Ad aggravare ancora di più la violazione del diritto alla privacy degli studenti appare una falla di sicurezza individuata dal ricercatore del Leviathan Security Group.
Da quanto riportato, la vulnerabilità permetterebbe a chiunque utilizzi la stessa rete di uno degli studenti di installare malware per il controllo remoto. La falla sarebbe relativa a tutti i computer, e non solo nei laptop dotati del sistema Theft Track, e sarebbe causata da una cattiva gestione del sistema di autenticazione a chiave simmetrica utilizzata dal software LANrev.
t
0Facebook e il “cerca segreti”
Openbook è un sito web ideato da tre programmatori di San Francisco che hanno deciso di mostrare al mondo intero le debolezze relative alla privacy del nostro caro Facebook.
Sia ben chiaro che i socialnetwork possono essere utilizzati in sfariati modi, nessuno ci obbliga ad inserire i nostri veri dati e tanto meno a pubblicare ogni foto relativa alla nostra vita o ancora pubblicare ogni minima azione che compiano durante il giorno.
Ma è noto che la maggior parte degli utenti utilizza il sopracitato Facebook per rendere pubblica la propria vita privata.
Numerosi sono i casi in cui utenti condividono le loro informazioni riservate con migliaia di “amici”, molti dei quali sono solo dei puri conoscenti nella vita privata.
Spesso le informazioni in bacheca sembrano scritte apposta per essere divulgate al massimo, altre volte si ha l’impressione che gli utenti non sian perfettamente consapevoli del destino finale delle proprie conversazioni in rete e gestiscano le proprie comunicazioni in modo non molto diverso rispetto all’email. Districarsi tra le norme della privacy di Facebook non è affatto impresa semplice.
Sono diversi i siti che invitano a chiudere il proprio account, ma a quanto pare la maggior parte dei 400 milioni di utenti registrati sembra non avere nessuna intenzione di lasciare la comunity.
Nota interessante riguarda la prossima apparizione, nel settembre del 2010, di un nuovo social-network dal nome Diaspora, ideato da quattro ragazzi Americani e che si propone come l’antiFacebook proprio perchè si impone di garantire agli utenti il pieno controllo dei propri dati personali.
Boom, dopo questo mio personale pensiero, torniamo a questa geniale trovata di questi amici programmatori americani.
Se andate a visitare il sito web http://youropenbook.org/ e digitate un termine, ad esempio “ho tradito mio marito”, vi uscità una lista di tutti gli status che contento il termine da voi digitato. Interessante vero? 
Magari nessuno sarà così stupido da scrivere in bacheca l’avvenuto tradimento, ma chi lo sa !! Provare per credere 
Openbook permette di visualizzare i contenuti perchè utilizza delle API ( Application Programming Interface ) rese pubbliche dagli stessi sviluppatori di Facebook in data 21 Aprile 2010
Special Partners
Segui EndlessLab.org
Apple News
- Siamo aperti: Apple Store, Porta di Roma 21 aprile 2012
- Inaugurazione dell’Apple Store, Porta di Roma 17 aprile 2012
- Nuova linea di software FileMaker 12 ora disponibile 13 aprile 2012
- L’App Store sta per raggiungere i 25 miliardi di download 22 febbraio 2012
- Se Botticelli avesse un iPad: la primavera di Londra secondo David Hockney 17 febbraio 2012
- Scarica l’applicazione ufficiale “12 giorni di regali” 21 dicembre 2011
- Apple presenta iPhone 4S, iOS 5 e iCloud. 4 ottobre 2011
- iCloud disponibile per Mac, PC e dispositivi iOS. 4 ottobre 2011
- Nuove funzioni e nuovi prezzi per iPod touch e iPod nano. 4 ottobre 2011
- Siamo aperti: Apple Store, Centro Sicilia 23 settembre 2011
Segnalato da:
