Privacy online, così mettiamo a rischio i nostri dati senza rendercene conto
Quali sono le criticità che mettono a repentaglio i nostri dati e quindi la nostra privacy online quando navighiamo in rete? Probabilmente sono molte di più di quante immaginiamo, a cominciare dai rischi a cui noi stessi ci esponiamo semplicemente accettando senza leggerli i ‘Termini e Condizioni d’uso’ che sottoscriviamo quando andiamo ad adoperare un nuovo servizio.
Facciamo allora una panoramica dei rischi e delle vulnerabilità che minano la privacy online, che ci servirà per addentrarci poi, tra le ‘best practices’ e i programmi utili per difendere la nostra privacy, in concreto, nella vita di ogni giorno.
Cosa vuol dire privacy online? Il nostro Pc è come la nostra casa
Privacy online ha un significato ben preciso. Lascereste mai la porta di casa aperta, in balia di chiunque passi dalle vostre parti e voglia entrare a dare una sbirciatina? Ovviamente, anche se non avete nulla da nascondere, scommetto che vi darebbe non poco fastidio se, tornando a casa, vi trovaste davanti a gente sconosciuta, seduta in soggiorno, sul vostro divano, a guardare la TV e i filmini del compleanno di vostro figlio, o a sbirciare tra gli album di famiglia, fotografando qualche immagine di tanto in tanto, o ancora, vedere con quale disinvoltura un altro tipo stia ficcando il naso nei vostri faldoni dei documenti bancari scommetto.
WHITEPAPER Che 2022 sarebbe senza protezione? Sviluppa ora una strategia di SICUREZZA integrata Sicurezza Cybersecurity
Per analogia, dobbiamo considerare il nostro PC o il nostro smartphone come la nostra casa, proprio come ha fatto il legislatore che ha previsto, analogamente all’accesso abusivo in un appartamento, l’art. 615-ter del codice penale, il reato commesso da colui che “abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo”.
Quindi, come giustamente non terreste aperta la porta di casa per proteggere ciò che contiene al suo interno, allo stesso modo dovreste chiudere a chiave l’accesso ai vostri strumenti informatici e tenere lontano scocciatori, ficcanaso e hacker di qualsiasi tipo: purtroppo la cosa è molto più difficile di quanto sembri a prima vista! Ecco come è possibile migliorare la nostra privacy online.
Le difficoltà della protezione dei dati personali su internet
Come fare la protezione dei dati personali? Forse non lo sapete ma i nostri dati sono continuamente messi a rischio da una quantità davvero eccessiva di vulnerabilità critiche presenti nei sistemi informatici e, come se non bastasse, non ci sono solo i malintenzionati a cui dobbiamo prestare attenzione: ambiscono alle nostre informazioni anche quelli che consideriamo i “buoni“, cioè tutte le aziende che producono software e che sanno bene quanto sia remunerativo trarre profitto dai dati dei propri clienti.
A ben vedere, quello che avviene è che – anche a causa degli automatismi delle Intelligenze Artificiali utilizzate, in grado di elaborare milioni di informazioni in pochi istanti – pur credendo di essere “al sicuro” da sguardi indiscreti, in realtà siamo letteralmente trasparenti agli occhi di perfetti sconosciuti, con tutti i problemi che questo implica.
In questa prima parte, per definire l’importanza e l’ampiezza del problema, faremo il punto sui bug esistenti, le falle ancora aperte e sulle problematiche inerenti l’accettazione compulsiva dei vari “Termini e condizioni d’uso” che firmiamo senza leggere e quindi senza conoscerne il contenuto.
In un articolo successivo andremo invece a esaminare nel dettaglio come è possibile proteggerci mettendo in atto le giuste “best practices” e utilizzando gli strumenti, anche gratuiti, disponibili in rete, utili per difendere i dati personali e quindi a garantire la nostra privacy e il nostro sacrosanto diritto all’anonimato.
Vulnerabilità critiche che mettono in pericolo i nostri dati e privacy online
Per nostra sfortuna esistono tante (troppe) variabili a nostro sfavore: le falle di sicurezza presenti nei sistemi operativi che, soprattutto negli smartphone, ad un certo punto smettono di essere aggiornati dalle aziende.
Le falle nei protocolli di sicurezza, che mettono a rischio le trasmissioni dei dati, dai dispositivi ai server, e viceversa.
I bug hardware presenti nei chip elettronici, per non parlare delle backdoor realizzate dalle aziende stesse per accedere “in caso di problemi” (rare, ma esistenti): insomma, anche mettendoci di buona volontà, riuscire a tappare tutti i buchi da cui ci vengono a spiare è praticamente quasi impossibile e i malintenzionati lo sanno, per questo usano i numerosi malware esistenti come grimaldelli, per intrufolarsi senza, a volte, neanche lasciare traccia.
A complicare il quadro, dal 14 settembre è entrata in vigore la direttiva PSD2 (Payment Legislative Package) che in qualche modo costringe le banche ad attuare un controllo delle transazioni più stringente trasformando di fatto lo smartphone nella chiave di accesso ai nostri siti bancari.
Il guaio è che attraverso alcune vulnerabilità – per le quali non disponiamo ancora di una cura – oggi sottrarre queste chiavi di accesso per accedere in modo fraudolento ai nostri conti correnti, è quasi un gioco da ragazzi!
Elenco (parziale) delle vulnerabilità online per la sicurezza della privacy
Giusto per darvi un’idea della quantità di minacce da cui dobbiamo ogni giorno difenderci, ecco un elenco non esaustivo di alcune vulnerabilità critiche che espongono PC e smartphone e in particolare la privacy internet agli attacchi dei pirati informatici.
SIMJacker : scoperta a settembre 2019 dal gruppo degli esperti di sicurezza AdaptiveMobile Security, si tratta di una grave falla di sicurezza presente nei dispositivi che adoperano per il loro funzionamento delle SIM card, compresi quindi i nostri smartphone. Come avviene l’attacco? Semplicemente attraverso un SMS creato ad hoc, inviato da un malintenzionato alla sua vittima la quale, non accorgendosi di nulla (l’SMS non appare!), si ritrova con un telefono spia in tasca . Non solo, il telefono potrebbe essere utilizzato anche per scoprire i codici inviati durante le varie fase di login. Il guaio è che per effettuare l’attacco non è necessario nessun malware visto che il problema risiede in due sistemi presenti in quasi tutte le schede SIM: il SIM Application Toolkit e il S@t browser, progettati per rispondere in automatico ai comandi inviati dagli operatori. Capite quindi la portata? Miliardi di dispositivi a rischio !
: scoperta a settembre 2019 dal gruppo degli esperti di sicurezza AdaptiveMobile Security, si tratta di una grave falla di sicurezza presente nei dispositivi che adoperano per il loro funzionamento delle SIM card, compresi quindi i nostri smartphone. Come avviene l’attacco? Semplicemente . Non solo, il telefono potrebbe essere utilizzato anche per scoprire i codici inviati durante le varie fase di login. Il guaio è che per effettuare l’attacco non è necessario nessun malware visto che il problema risiede in due sistemi presenti in quasi tutte le schede SIM: il SIM Application Toolkit e il S@t browser, progettati per rispondere in automatico ai comandi inviati dagli operatori. Capite quindi la portata? ! WIBattack : come se non bastasse è già stata scoperta una variante della temibile SIMJacker, denominata appunto WIBattack, scoperta dai ricercatori di sicurezza dei Ginno Security Labs. Questo attacco sfrutta un’altra vulnerabilità presente nell’App Wireless Internet Browser (WIB) che consente la gestione remota dei dispositivi dei clienti e dei loro abbonamenti mobili. Anche in questo caso, trattandosi di una vulnerabilità nella SIM, l’attacco avviene attraverso un SMS di testo, invisibile all’utente , che consente all’attaccante di prendere possesso del telefono. La falla toolkit WIB potrebbe essere sfruttata per: Recuperare la posizione del dispositivo di destinazione e l’IMEI Inviare messaggi falsi per conto delle vittime Distribuire malware avviando il browser del telefono della vittima e facendo sì che sia visitata una pagina Web dannosa Comporre numeri a tariffa premium Chiamare il numero di telefono dell’attaccante per spiare l’ambiente circostante le vittime tramite il microfono del dispositivo Eseguire attacchi di denial of service disabilitando la scheda SIM Recuperare delle informazioni sul dispositivo di destinazione (eg. lingua, tipo di trasmissione radio, livello della batteria, ecc.)
: come se non bastasse è già stata scoperta una variante della temibile SIMJacker, denominata appunto WIBattack, scoperta dai ricercatori di sicurezza dei Ginno Security Labs. Questo attacco sfrutta un’altra che consente la gestione remota dei dispositivi dei clienti e dei loro abbonamenti mobili. Anche in questo caso, trattandosi di una vulnerabilità nella SIM, l’attacco avviene attraverso un , che consente all’attaccante di prendere possesso del telefono. La falla toolkit WIB potrebbe essere sfruttata per:
Meltdown e Spectre : sono i nomi dati da specialisti Google che li hanno scoperti. Si tratta di difetti di progettazione e di funzionamento presenti in buona parte dei processori fabbricati dal 1995 in poi da Intel e in alcuni di quelli AMD. Il pericolo è dovuto al fatto che possono compromettere la memoria del dispositivo, consentendo a malintenzionati di sottrarre dati personali sensibili : password, immagini, dettagli dei pagamenti, numeri di carte di credito, ecc. Il guaio anche in questo caso è che l’attacco può avvenire in maniera trasparente semplicemente navigando su Internet, senza che uno se ne accorga. La gravità è accentuata dal fatto che, trattandosi di un bug hardware, nonostante le diverse soluzioni software adottate sui sistemi operativi e nei browser, l’unico modo per essere davvero immuni è quello di acquistare nuovi processori . Anche in questo caso, si tratta di miliardi di dispositivi nel mondo, potenzialmente vulnerabili.
: sono i nomi dati da specialisti Google che li hanno scoperti. Si tratta di e in alcuni di quelli AMD. Il pericolo è dovuto al fatto che possono compromettere la memoria del dispositivo, consentendo a malintenzionati di : password, immagini, dettagli dei pagamenti, numeri di carte di credito, ecc. Il guaio anche in questo caso è che l’attacco può avvenire in maniera trasparente semplicemente navigando su Internet, senza che uno se ne accorga. La gravità è accentuata dal fatto che, trattandosi di un bug hardware, nonostante le diverse soluzioni software adottate sui sistemi operativi e nei browser, . Anche in questo caso, si tratta di miliardi di dispositivi nel mondo, potenzialmente vulnerabili. ZombieLoad : attraverso questa vulnerabilità, il processore viene “bombardato” da una grande quantità di dati da elaborare che non è in grado di comprendere, in modo da far intervenire in suo aiuto il microcodice (che controlla direttamente il processore) per evitare che vada in crash. Anche in questo caso si tratta di azioni legate all’esecuzione speculativa , una tecnica implementata da Intel nelle proprie CPU al fine di incrementarne le prestazioni ma che, come abbiamo visto, può essere sfruttata da malintenzionati per mettere mano a informazioni sensibili o credenziali di accesso delle vittime. Le CPU a rischio in questo caso sono quelle Intel dal 2011 in poi : quindi milioni di sistemi! A fine gennaio il chipmaker ha diramato la notizia che è in cantiere una terza patch, visto che il problema non si riesce ancora a risolvere.
: attraverso questa vulnerabilità, il processore viene “bombardato” da una grande quantità di dati da elaborare che non è in grado di comprendere, in modo da far intervenire in suo aiuto il microcodice (che controlla direttamente il processore) per evitare che vada in crash. Anche in questo caso si tratta di , una tecnica implementata da Intel nelle proprie CPU al fine di incrementarne le prestazioni ma che, come abbiamo visto, può essere sfruttata da malintenzionati per mettere mano a informazioni sensibili o credenziali di accesso delle vittime. : quindi milioni di sistemi! A fine gennaio il chipmaker ha diramato la notizia che è in cantiere una terza patch, visto che il problema non si riesce ancora a risolvere. BlueKeep : vulnerabilità che consente ai malintenzionati di sfruttare un worm autoreplicante in grado di innescare e far comparire la temibile schermata BSOD (Blue Screen Of Death) e sfruttare l’attacco come punto di ingresso in una rete locale per consentire al malware di propagarsi da un PC vulnerabile all’altro senza, e questo è il guaio, alcuna interazione da parte degli utenti. Il rischio è che un attaccante remoto potrebbe eseguire codice arbitrario sul sistema di destinazione. A quel punto potrebbe installare programmi per tracciare le attività degli utenti , cancellare dati e creare un account utente con privilegi elevati per prendere il controllo completo delle macchine colpite. Anche in questo caso il parco macchine “in pericolo” è enorme, e trattandosi per lo più di server, gli eventuali danni possono essere davvero ingenti.
: vulnerabilità che consente ai malintenzionati di sfruttare un worm autoreplicante in grado di innescare e far comparire la temibile schermata BSOD (Blue Screen Of Death) e sfruttare l’attacco come punto di ingresso in una rete locale per consentire al malware di senza, e questo è il guaio, alcuna interazione da parte degli utenti. Il rischio è che un attaccante remoto potrebbe eseguire codice arbitrario sul sistema di destinazione. A quel punto potrebbe , cancellare dati e creare un account utente con privilegi elevati per prendere il controllo completo delle macchine colpite. Anche in questo caso il parco macchine “in pericolo” è enorme, e trattandosi per lo più di server, gli eventuali danni possono essere davvero ingenti. Double-Free : le ultime notizie ci dicono che WhatsApp ha raggiunto la sbalorditiva cifra di 5 miliardi di installazioni. Ma proprio a causa della sua popolarità, e quindi della distribuzione nel mondo, è il target preferito dai malintenzionati che, a causa delle numerose vulnerabilità, tentano in ogni modo di trasformare l’App, nel cavallo di troia perfetto. Double-Free è proprio una delle ultime vulnerabilità, in ordine di tempo, presente in WhatsApp per Android, che consente agli hacker di accedere alla memoria del dispositivo per prendere il controllo completo dello smartphone, al fine di rubare file e messaggi di chat … semplicemente inviando una immagine GIF alla vittima! Perché l’attacco abbia successo, è necessario che l’attaccante invii, per email o in qualsiasi altro modo, un file GIF contenente al suo interno del codice malevolo. Quando l’utente apre la galleria di WhatsApp per condividere un contenuto con un amico, è in quel momento che viene innescata la vulnerabilità. Quindi, ancora una volta, una vulnerabilità critica che mette a repentaglio i dati di milioni di persone nel mondo.
: le ultime notizie ci dicono che WhatsApp ha raggiunto la sbalorditiva cifra di 5 miliardi di installazioni. Ma proprio a causa della sua popolarità, e quindi della distribuzione nel mondo, è il target preferito dai malintenzionati che, a causa delle numerose vulnerabilità, tentano in ogni modo di trasformare l’App, nel cavallo di troia perfetto. … semplicemente inviando una immagine GIF alla vittima! Perché l’attacco abbia successo, è necessario che l’attaccante invii, per email o in qualsiasi altro modo, un file GIF contenente al suo interno del codice malevolo. Quando l’utente apre la galleria di WhatsApp per condividere un contenuto con un amico, è in quel momento che viene innescata la vulnerabilità. Quindi, ancora una volta, una vulnerabilità critica che mette a repentaglio i dati di milioni di persone nel mondo. CVE-2019-2215 : Il Common Vulnerabilities and Exposures, o CVE (in italiano Vulnerabilità ed esposizioni comuni), è un dizionario di vulnerabilità e falle di sicurezza note pubblicamente. La vulnerabilità qui segnalata è particolarmente grave in quanto permette di controllare completamente uno smartphone infetto, garantendo la possibilità ai malintenzionati di ottenere l’accesso totale al device di turno. Come riportato da Trend Micro, a gennaio sono state trovate alcune App su Google Play che fanno uso di questo temibile exploit. L’attacco può avvenire sia dopo l’installazione di un’App malevola, sia visitando determinati siti web. Nel caso di attacco web però gli hacker, per poter ottenere l’accesso al dispositivo, devono sfruttare un’altra vulnerabilità presente in Chrome.
: Il Common Vulnerabilities and Exposures, o CVE (in italiano Vulnerabilità ed esposizioni comuni), è un dizionario di vulnerabilità e falle di sicurezza note pubblicamente. La vulnerabilità qui segnalata è particolarmente grave in quanto permette di controllare completamente uno smartphone infetto, garantendo la possibilità ai malintenzionati di ottenere l’accesso totale al device di turno. Come riportato da Trend Micro, a gennaio sono state trovate alcune App su Google Play che fanno uso di questo temibile exploit. L’attacco può avvenire sia dopo l’installazione di un’App malevola, sia visitando determinati siti web. Nel caso di attacco web però gli hacker, per poter ottenere l’accesso al dispositivo, devono sfruttare un’altra vulnerabilità presente in Chrome. Sniffing BLE Long-Lived : si tratta di una vulnerabilità che si basa sulle trasmissioni Bluetooth. Per funzionare sfrutta l’Ardvertising Channel, metodo di mobile marketing che utilizza la tecnologia Bluetooth per fornire contenuti come messaggi, informazioni o pubblicità su dispositivi mobili, non cifrato e accessibile pubblicamente. Scoperta da ricercatori della Boston University, tale vulnerabilità, affligge il protocollo BT, in particolare l’implementazione di BLE (Bluetooth Low Energy), specifica introdotta nel 2010 e integrata in tutti i moduli più recenti, studiata per fare in modo che durante la trasmissione dei dati venga consumata la minor quantità di energia. Gli utenti esposti al problema sono i possessori di uno smartphone o un tablet con sistema operativo iOS , oppure di un computer basato su Windows 10 o macOS . Non vengono risparmiati nemmeno gli smartwatch di Apple con tecnologia watchOS e gli indossabili come quelli del brand Fitbit. Stavolta si salva solo Android. L’attacco permette di spiare la vittima aggirando la protezione impiegata dai device, basata sulla generazione casuale di indirizzi MAC: nella stringa creata ogni volta, c’è un parametro ritenuto sufficiente per continuare ad identificare un dispositivo nonostante la modifica dell’indirizzo MAC. In questo modo è possibile effettuare il tracking di una persona, raccogliendo dettagli in riferimento alla sua localizzazione e altre informazioni potenzialmente sensibili.
: si tratta di una vulnerabilità che si basa sulle trasmissioni Bluetooth. Per funzionare sfrutta l’Ardvertising Channel, metodo di mobile marketing che utilizza la tecnologia Bluetooth per fornire contenuti come messaggi, informazioni o pubblicità su dispositivi mobili, non cifrato e accessibile pubblicamente. Scoperta da ricercatori della Boston University, tale vulnerabilità, affligge il protocollo BT, in particolare l’implementazione di BLE (Bluetooth Low Energy), specifica introdotta nel 2010 e integrata in tutti i moduli più recenti, studiata per fare in modo che durante la trasmissione dei dati venga consumata la minor quantità di energia. Gli utenti esposti al problema sono i possessori di uno , oppure di un computer basato su . Non vengono risparmiati nemmeno gli smartwatch di Apple con tecnologia watchOS e gli indossabili come quelli del brand Fitbit. Stavolta si salva solo Android. L’attacco permette di spiare la vittima aggirando la protezione impiegata dai device, basata sulla generazione casuale di indirizzi MAC: nella stringa creata ogni volta, c’è un parametro ritenuto sufficiente per continuare ad identificare un dispositivo nonostante la modifica dell’indirizzo MAC. In questo modo è possibile effettuare il tracking di una persona, raccogliendo dettagli in riferimento alla sua localizzazione e altre informazioni potenzialmente sensibili. Knob: anche questa vulnerabilità affligge il protocollo Bluetooth e risulta particolarmente grave visto che risiede in un difetto nello standard. Permette al pirata di forzare la riduzione della sicurezza delle chiavi crittografiche tra due dispositivi, rendendo molto facile l’intercettazione dei dati tramite brute force delle chiavi. Per fare un esempio, ogni volta che connettiamo il nostro smartphone alle cuffiette Bluetooth, entrambi i dispositivi negoziano una nuova chiave per cifrare le comunicazioni. Un malintenzionato può usare l’attacco Knob per decifrare le informazioni scambiate dai due dispositivi e accedere ai nostri dati , o ascoltare le nostre conversazioni. Purtroppo non c’è modo di intervenire a livello degli applicativi, l’unica soluzione è aggiornare i driver o il sistema operativo, cosa che, specialmente per i dispositivi più vecchi, non sempre è possibile.
anche questa vulnerabilità affligge il protocollo Bluetooth e risulta particolarmente grave visto che risiede in un difetto nello standard. Permette al pirata di forzare la riduzione della sicurezza delle chiavi crittografiche tra due dispositivi, rendendo molto facile l’intercettazione dei dati tramite brute force delle chiavi. Per fare un esempio, ogni volta che connettiamo il nostro smartphone alle cuffiette Bluetooth, entrambi i dispositivi negoziano una nuova chiave per cifrare le comunicazioni. , o ascoltare le nostre conversazioni. Purtroppo non c’è modo di intervenire a livello degli applicativi, l’unica soluzione è aggiornare i driver o il sistema operativo, cosa che, specialmente per i dispositivi più vecchi, non sempre è possibile. ToRPEDO & PIERCER : un gruppo di ricercatori della Purdue University e dell’University of Iowa hanno svelato che i protocolli di rete 4G e 5G soffrono di una serie di vulnerabilità che consentirebbero ad hacker l’accesso alle telefonate degli utenti e il tracciamento della loro posizione aggirando i protocolli di sicurezza delle reti. Il tutto viene reso possibile nel raggio di diverse centinaia di metri, potendo leggere messaggi e avendo accesso ai dati nella memoria del dispositivo stesso. Come avviene l’attacco? In vari modi: il primo è il più pericoloso, si chiama ToRPEDO (TRacking via Paging mEssage DistributiOn) e sfrutta una vulnerabilità nel protocollo di paging utilizzato dagli operatori di telefonia per segnalare l’arrivo di una telefonata o di un messaggio di testo. L’hacker in alcuni casi può arrivare a saturare l’attività dello smartphone tramite numerosi messaggi ID paging, fino a mandarlo in blocco. Tramite l’attacco ToRPEDO ci sono anche due tipi di sistemi per rubare i dati da dispositivi mobili : parliamo di PIERCER e dell’IMSI-Cracking. PIERCER (Persistent Information ExposuRe by the CorE netwoRk) consente all’aggressore di associare l’International Mobile Subscriber Identity univoco del dispositivo della vittima al suo numero di telefono. Con l’MSI deviato sul proprio device l’attaccante può sbirciare nella lista delle chiamate della vittima, registrarle, leggere gli SMS in arrivo o individuare gli spostamenti dello smartphone durante la giornata. Secondo gli stessi ricercatori è molto probabile che queste vulnerabilità siano troppo onerose da correggere (sia tecnicamente che economicamente), per cui l’unica soluzione sarà quella di attendere una radicale modifica del protocollo per una reale risoluzione del problema.
: un gruppo di ricercatori della Purdue University e dell’University of Iowa hanno svelato che e il tracciamento della loro posizione aggirando i protocolli di sicurezza delle reti. Il tutto viene reso possibile nel raggio di diverse centinaia di metri, potendo leggere messaggi e avendo accesso ai dati nella memoria del dispositivo stesso. Come avviene l’attacco? In vari modi: il primo è il più pericoloso, si chiama ToRPEDO (TRacking via Paging mEssage DistributiOn) e sfrutta una vulnerabilità nel protocollo di paging utilizzato dagli operatori di telefonia per segnalare l’arrivo di una telefonata o di un messaggio di testo. L’hacker in alcuni casi può arrivare a saturare l’attività dello smartphone tramite numerosi messaggi ID paging, fino a mandarlo in blocco. Tramite l’attacco ToRPEDO ci sono anche : parliamo di PIERCER e dell’IMSI-Cracking. PIERCER (Persistent Information ExposuRe by the CorE netwoRk) consente all’aggressore di associare l’International Mobile Subscriber Identity univoco del dispositivo della vittima al suo numero di telefono. Con l’MSI deviato sul proprio device l’attaccante può sbirciare nella lista delle chiamate della vittima, registrarle, leggere gli SMS in arrivo o individuare gli spostamenti dello smartphone durante la giornata. Secondo gli stessi ricercatori è molto probabile che queste (sia tecnicamente che economicamente), per cui l’unica soluzione sarà quella di attendere una radicale modifica del protocollo per una reale risoluzione del problema. CVE-2020-0674: a gennaio 2020, Microsoft ha rilasciato un avviso di sicurezza per una vulnerabilità 0-day in Internet Explorer, che può consentire l’esecuzione di codice arbitrario da remoto. Abbinato per esempio ad un attacco di phishing, un attaccante remoto può eseguire codice con i permessi dell’utente che sta usando Internet Explorer per collegarsi ad un sito contenente codice malevolo, appositamente predisposto per sfruttare un errore nella gestione degli oggetti in memoria da parte del linguaggio di scripting di Explorer. Non c’è ancora una patch per questa vulnerabilità, probabilmente rimandata al Microsoft Update di febbraio. Nei Riferimenti si trovano alcuni workaround suggeriti da Microsoft. Il problema è alquanto grave visto che in moltissime realtà, come nelle piccole e medie aziende o in molti uffici della Pubblica Amministrazione, ancora oggi, nonostante la fine degli aggiornamenti annunciata da Microsoft, si usa Windows 7 come Sistema Operativo abbinato proprio ad Internet Explorer per la navigazione web e l’uso degli applicativi aziendali.
Illuminante il fatto che da questi attacchi non riescano a difendersi neanche i colossi del web, visto che proprio di recente sono stati hackerati i due account ufficiali Twitter di Facebook.
Parlando di privacy violate, è utile, quindi, ricordare PRISM: è un nome in codice per un programma in base al quale la National Security Agency (NSA) degli Stati Uniti raccoglierebbe le comunicazioni via Internet da varie società Internet statunitensi. Il PRISM è stato rivelato pubblicamente quando i documenti classificati sul programma sono stati divulgati ai giornalisti di The Washington Post e The Guardian da Edward Snowden. I documenti trapelati hanno identificato diverse aziende tecnologiche come partecipanti al programma PRISM, tra cui Microsoft, Yahoo!, Google, Facebook, YouTube, AOL, Skype e Apple.
Privacy siti web e importanza di leggere sempre i termini e le condizioni d’uso
Fin qui abbiamo visto alcune delle tante minacce che affliggono i device, un elenco tanto ricco che dovrebbe averci aiutato a comprendere quanto siano a rischio non solo i nostri dati personali, ma anche quelli dei tanti data center militari, sanitari, della Pubblica Amministrazione, aziendali, e così via. Tutti sistemi che, se venissero attaccati e compromessi, andrebbero incontro a danni incalcolabili. Infatti la privacy siti web è altrettanto importante da tenere sotto controllo insieme alla protezione dei dati personali e alla privacy online in generale.
Per noi semplici utenti, il guaio è che, anche se risolvessimo queste questioni, ci troveremmo comunque ad affrontare un’altra tipologia di problemi, non più “tecnici” ma “burocratici”: come ad esempio quelli insiti nella sottoscrizione dei “Termini e condizioni d’uso” e le “Informative privacy”.
Alzi la mano chi, ogni volta che ha sottoscritto l’accesso ad un nuovo servizio online, ha effettivamente preso visione di tutti gli articoli, i commi e le clausole presenti: scommetto che anche chi, armato di pazienza e tanta buona volontà, pur provandoci, tra burocratese, termini sconosciuti e incomprensibili, lunghezze estenuanti, alla lunga non è riuscito ad arrivare neanche a metà, figuriamoci alla fine del testo!
Comunque, per rendersi conto della portata del problema, basta visitare il sito di Dima Yarovinsky, un artista che ha preso i “Termini e condizioni d’uso” delle App dei Social più rinomati, li ha stampati su fogli A4, li ha messi gli uni accanto agli altri, realizzando una particolarissima opera d’arte che ha poi divulgato sui Social con l’hashtag #IAgree. Questa installazione ci permette di vedere questi “contratti” con occhi diversi, mostrandoci molto bene l’assurdità dei termini di servizio delle App che usiamo, ma soprattutto mettendoci in guardia sull’utilità di leggerli bene prima di firmarli!
Per non parlare dei popup che si aprono ogni volta che visitiamo un nuovo sito: la loro comparsa è legata all’obbligo di Legge denominato “Cookie Law“, che in qualche modo, cerca di regolamentare le informazioni di navigazione che lasciamo inconsapevolmente, navigando tra un sito e l’altro.
Diciamo la verità, lato utente, tutta questa “burocrazia”, è una tale scocciatura che dopo una, due, tre volte, già dalla quarta volta in poi nessuno legge più cosa sta effettivamente autorizzando.
Cosa comporta questa accettazione compulsiva senza cognizione? Potenzialmente, lasciare la porta della nostra casa virtuale aperta, garantendo l’accesso ai nostri dati a sconosciuti: proprio quello che volevamo evitare!
Purtroppo per noi però, se non accettiamo i termini del contratto, non possiamo utilizzare i servizi che ci vengono offerti, e siamo quindi costretti a farlo.
Ma cosa rischiamo, concretamente, se non stiamo attenti a ciò che firmiamo senza leggere?
Un caso emblematico è quello dei programmi antivirus: per permettere all’applicativo di svolgere il suo lavoro, dobbiamo necessariamente dare l’assenso affinché possa scandagliare l’intero contenuto dei nostri dispositivi, dando il pieno accesso a tutte le nostre informazioni, comprese foto, video, e documenti, anche quelli più riservati.
Ovviamente una azienda seria non avrebbe motivo di “comportarsi male” nei nostri confronti, rischierebbe di chiudere i battenti appena la notizia diventasse di pubblico dominio.
Però è anche vero che nel caso succedesse, intanto dovremmo accorgercene (e come si fa?), poi, anche nel caso scoprissimo qualche azione fraudolenta, dovremmo comunque intentare una causa giudiziaria contro un colosso hi-tech, magari pure straniero. In quanti lo farebbero?
Proprio recentemente, da un’inchiesta condotta congiuntamente da Motherboard e PCMag è emerso come Avast (nota azienda di antivirus) operi, attraverso i suoi software e servizi di antivirus gratuiti, una minuziosa e dettagliata raccolta delle attività che l’utente compie online.
Dati poi rivenduti, tramite una sussidiaria, a terzi. Terzi che sarebbero poi realtà commerciali di grosso calibro: Microsoft, Google, Pepsi, Intuit, Condé Nast, McKinsey giusto per citarne alcune incluse nel resoconto delle due testate.
Ma può farlo? Il fatto è che quando si installa per la prima volta un antivirus Avast, all’utente viene mostrata una richiesta di autorizzazione sulla raccolta di informazioni: “Se ci permetti di farlo, forniremo alla nostra sussidiaria Jumpshot una serie di dati de-identificati derivati dalla cronologia del tuo browser allo scopo di consentire a Jumpshot di analizzare le tendenze di mercato e altri spunti di valore. I dati sono pienamente de-identificati e aggregati e non possono essere usati per identificarti personalmente. Jumpshot potrebbe condividere questi dati aggregati con i suoi clienti”.
Se si accetta, si acconsente alla raccolta dati: l’utente ha comunque la libertà di ripensarci in un momento successivo.
Poche settimane fa il Garante Privacy italiano ha inviato una lettera al Comitato europeo per la protezione dei dati personali (Edpb), che riunisce tutte le Autorità privacy dell’Unione, chiedendo di attivare una specifica “task force” nei riguardi di TikTok per accertare i rischi per i dati personali degli utenti, a causa della presenza di alcune vulnerabilità.
E da pochi giorni, è nuovamente Facebook ad essere (ri)entrata nel mirino dell’Autorità Antitrust che ha avviato un procedimento di inottemperanza nei confronti del colosso del web: Facebook infatti non avrebbe attuato quanto prescritto il 29 novembre 2018, a seguito dell’accertamento di due distinte, scorrette, pratiche commerciali.
La prima riguarda la fase di registrazione dell’utente sulla piattaforma (da sito web e App): in pratica, risultava un’informativa priva di immediatezza, chiarezza e completezza, in riferimento alle attività di raccolta e utilizzo, a fini commerciali, dei dati degli utenti.
La seconda riguarda la trasmissione dei dati degli utenti a siti web/App di terzi e viceversa: in sostanza mancava la preventiva richiesta di consenso espresso, per l’uso degli stessi a fini di profilazione e commerciali.
Tutti questi casi sulle pratiche messe in atto dai colossi digitali, dovrebbero farci riflettere sulla facilità con cui le aziende riescono a venire in possesso dei nostri dati e farci ciò che vogliono, sia che noi acconsentiamo o no…
Per fortuna che almeno il GDPR sta dimostrando di essere un valido strumento in difesa della privacy degli utenti, come dimostra anche la recente notizia del Garante Privacy che ha sanzionato per 27 milioni e 800 mila euro, Tim, proprio “per numerosi trattamenti illeciti di dati legati all’attività di marketing”.
Lotta all’illegalità vs privacy online
Ma attenzione: non è detto che acconsentire all’accesso ai nostri sistemi informatici significhi necessariamente che qualcuno entrerà per far danni, anzi!
Garantire la possibilità di accedere, permette agli applicativi di poter funzionare correttamente e svolgere al meglio il servizio per cui sono stati creati.
L’importante però è essere consapevoli che in alcuni casi le foto, i video i documenti, sono sottoposti a controlli preventivi da parte di Intelligenze Artificiali per “migliorare la qualità del servizio” o per scovare criminali.
Ad esempio Microsoft ha realizzato il “Project Artemis“: uno strumento per cercare segni di adescamento dei minori nei log delle chat (utilizzato per anni su XBOX, ora in procinto di essere applicato a Skype).
Qualcosa di simile accade anche in casa Apple. Poco tempo fa Jane Horvath, Senior Director Global Privacy di Apple, al CES 2020 ha affermato che anche loro prestano particolare attenzione alla privacy degli utenti, ma ha anche ribadito la volontà dell’azienda di lottare contro gli abusi e i maltrattamenti sui bambini, come si legge nella pagina dedicata “Our Commitment to Child Safety“:
“Apple is dedicated to protecting children throughout our ecosystem wherever our products are used, and we continue to support innovation in this space. We have developed robust protections at all levels of our software platform and throughout our supply chain. As part of this commitment, Apple uses image matching technology to help find and report child exploitation. Much like spam filters in email, our systems use electronic signatures to find suspected child exploitation. We validate each match with individual review. Accounts with child exploitation content violate our terms and conditions of service, and any accounts we find with this material will be disabled”.
Proprio per combattere questi crimini, Apple ha attivato un monitoraggio per scovare fotografie pedopornografiche o di maltrattamenti, eventualmente memorizzate su iCloud.
Conclusioni: come garantire la propria privacy online
Da quanto detto finora dovremmo finalmente aver compreso che, nonostante le password, i PIN, i segni di sblocco, il riconoscimento facciale, l’accesso attraverso le impronte digitali o quelle dell’iride e altro ancora, i lucchetti digitali servono a poco se poi esistono bug in grado di forzarli o se acconsentiamo noi stessi a far accedere chicchessia ai nostri dati.
Nel prossimo articolo scopriremo quindi quali sono le “best practices” e gli strumenti adatti per cercare di mettere al sicuro, per quanto possibile, le nostre informazioni e i dati digitali da sguardi indiscreti.
WHITEPAPER Gestione delle password dei propri clienti: 4 sfide per i MSP Sicurezza dei dati
@RIPRODUZIONE RISERVATA
Leave A Comment