15 Luglio 2026
Home Blog Pagina 156

Whatsapp: i problemi di privacy e l’acquisto di Facebook – Recensione

WhatsApp รจ sicuramente lโ€™applicazione di messaggistica istantanea piรน nota e diffusa, con i suoi 450 milioni di utenti attivi al mese. Lโ€™interesse suscitato da questa app รจ dovuto alla semplicitร  e immediatezza con cui permette di condividere messaggi di testo, immagini, video e audio senza i costi di SMS ed MMS, oltre al fatto di avere un prezzo irrisorio e nessun messaggio pubblicitario.ย Ma lโ€™alto indice di gradimento di questโ€™applicazione mobile va di pari passi con le preoccupazioni per la propria privacy.ย Analizziamo i permessi piรน equivoci che lโ€™app ci richiede nel momento in cui la installiamo e i problemi di privacy, dalla lettura della nostra rubrica, all’invasivitร  di Facebook.

I permessi richiesti da Whatsapp

 permessi richiesti da whatsapp
Alcuni permessi richiesti da WhatsApp

POSIZIONE –ย WhatsApp richiede lโ€™accesso alla nostra posizione approssimativa, basata sulla rete, e allaย posizione precisa, basata su rete e GPS. La richiesta รจ giustificata dalla possibilitร  di condividere volontariamente la nostra posizione con i contatti in rubrica, nello stesso modo in cui condividiamo un video o una foto.

Nella privacy policy del servizio, possiamo leggere una precisazione relativa alla funzione di geolocalizzazione : โ€œNon raccogliamo dati relativi alla posizione, ma gli utenti possono condividerla liberamente con altri utentiโ€. Se ne deduce che i dati di posizione non dovrebbero essere conservati nei server dellโ€™app.

MESSAGGI –ย La richiesta di accesso a ricezione e invio di messaggi di testo รจ giustificata dalle funzioni dellโ€™app. Da un lato, infatti, WhatsApp necessita di inviare e ricevere un messaggio sul nostro numero per essere attivata, dallโ€™altro dร  la possibilitร  di lanciare lโ€™invio di SMS dallโ€™applicazione, anche se poi questi verranno inviati attraverso il nostro operatore. Tra i permessi richiesti, non rientra quello di poter leggere i nostri SMS.

TELEFONATE –ย WhatsApp richiede il permesso di chiamare direttamente un numero di telefono. La richiesta รจ giustificata, perchรฉ dallโ€™applicazione si puรฒ inoltrare una chiamata ai propri contatti, appoggiandosi perรฒ al proprio gestore telefonico, cosรฌ come per gli SMS. Lโ€™app serve in pratica per lanciare la chiamata, che poi passerร  attraverso canali tradizionali.

Oltre a questa autorizzazione, l’app richiede la lettura dellโ€™identitร  del telefono: questa รจ invece una richiesta sempre discutibile, perchรฉ significa entrare in possesso dei codici identificativi del nostro device e poterlo tracciare qualsiasi operazione compia. Il permesso di leggere il nostro ID รจ sempre richiesto a scopi di marketing, per conoscere le nostre abitudini, e non รจ giustificato da una funzione specifica dellโ€™applicazione. Da notare che nella versione per Apple le app non sono autorizzate a tracciare il codice identificativo dei device iOS, pena lโ€™esclusione dallo store. Questa opzione รจ invece ancora accettata da Google Play.

ACCESSO A FOTOCAMERA E MICROFONO –ย Queste autorizzazioni sono richieste per il normale funzionamento dellโ€™app, che dร  la possibilitร  agli utenti di condividere, oltre a messaggi di testo, anche file multimediali. WhatsApp permette di allegare contenuti presi dalla gallery o dallโ€™archivio del telefono, cosรฌ come di registrare un file audio o scattare foto direttamente dallโ€™applicazione.

Altri permessi richiesti:

  • Accesso agli account, per poter configurare il proprio profilo sul dispositivo
  • Accesso alle comunicazioni di rete, per poter connettersi a internet (come per tutte la altre app, l’accesso richiesto alla rete รจ completo, mentre sarebbe auspicabile poter dare solo un accesso limitato alle effettive esigenze di ogni singola app)
  • Accesso agli archivi e agli strumenti di sistema (alcune impostazioni, batteria, sincronizzazione…), per poter condividere file e svolgere alcune attivitร  come disattivare lo stand by del telefono quando arriva un messaggio su WhatsApp
la chat whatsapp
La chat di WhatsApp

La gestione della Privacy

Oltre ai permessi esplicitamente richiesti quando scarichiamo lโ€™applicazione, รจ interessante approfondire alcuni aspetti descritti nella Privacy Policy di WhatsApp e che altrimenti non emergerebbero.

Un passo relativo al trattamento dei messaggi che scambiamo utilizzando lโ€™app sottolinea che tutti i nostri contenuti sono conservati sui server dellโ€™applicazione per qualche giorno, fino a un massimo di un mese. Dopo questo lasso di tempo, vengono cancellati (anche nel caso non fossero stati ricevuti dal destinatario) e compaiono solo piรน sui dispositivi degli utenti che si sono messi in contatto. Lโ€™applicazione puรฒ perรฒ conservare, se non il messaggio preciso, altre informazioni relative al messaggio, come i numeri coinvolti nella conversazione, la data e lโ€™ora, tenendo quindi traccia di chi contattiamo, quanto e quando.

Nella privacy policy รจ segnalato inoltre che sono conservati dati anonimi, non associabili quindi a un particolare account. Si tratta di dati come tipo di browser, IP address, informazioni di navigazione, utilizzati per poter analizzare e tracciare le abitudini e le preferenze degli utenti, con fini di marketing e per migliorare l’app.

Il caso: Whatsapp legge la rubrica, anche troppo

Ma il primo vero problema che ha coinvolto la privacy e la sicurezza dell’applicazione risale al gennaio del 2013, quando lโ€™ Office of the Privacy Commissioner del Canada and la Dutch Data Protection Authority contestรฒ la modalitร  con cui i dati vengono gestiti: lโ€™applicazione richiederebbe come requisito necessario al funzionamento della tecnologia, il completo accesso alla rubrica telefonica.

Mentre i contatti che nellโ€™elenco risultano giร  iscritti a WhatsApp vengono utilizzati per entrarvi immediatamente in contatto tramite lโ€™applicazione, i nominativi che non fanno parte del circuito WhatsApp anzichรจ essere ignorati o cancellati verrebbero registrati e immagazzinati nei database clienti della compagnia californiana che produce il software, sebbene criptati con lโ€™algoritmo hash.ย  In questo modo, notano le due agenzie di privacy, i dati degli utenti vengono inviati ad unโ€™azienda esterna senza il loro consenso.

Ad oggi, sulla Privacy Policy di WhatsApp, si possono leggere alcune informazioni utili per diramare la questione: lโ€™applicazione afferma di non raccogliere nomi, email, indirizzi o altre informazioni relative ai nostri contatti, ma esclusivamente i numeri di telefono, per poterli associare ad eventuali account WhatsApp.

Per quanto riguarda un’eventuale memorizzazione sui server, la questione รฉ spiegata cosรฌ: โ€œPer poter prevenire messaggi di spam, e migliorare l’esperienza di utilizzo della app, WhatsApp usa i numeri telefonici della tua rubrica. ย Non memorizza le tue informazioni in un altro sistema. WhatsApp guarda i numeri telefonici nella tua rubrica e controlla quali di questi numeri corrispondono ad utenti registrati in WhatsApp. Questo ci consente di mostrare gli utenti di WhatsApp come contatti nei tuoi Preferiti/Seleziona contatti e Chatโ€. Da queste affermazioni pare dedursi che WhatsApp, ad oggi, legga tutti i numeri telefonici presenti in rubrica, senza perรฒ memorizzarli.

Facebook: le paure e i messaggi intercettabili

Lโ€™acquisizione di WhatsApp da parte di Facebook non ha fatto che amplificare queste preoccupazioni sulla privacy. Facebook รจ spesso nellโ€™occhio del ciclone per problemi di privacy relativi alla sua piattaforma web e alle sue applicazioni mobile, dovute a bug o a impostazioni configurate in modo molto invasivo per la nostra privacy. Inoltre, il social sta creando il suo impero economico proprio grazie alla raccolta delle nostre abitudini e preferenze, non solo di navigazione, ma relative a ogni ambito della nostra vita. Impossibile non pensare che lโ€™acquisizione dellโ€™app sia strettamente legata alla possibilitร  di accedere ad ulteriori informazioni, soprattutto perchรฉ il social network sta perdendo la sua utenza piรน giovane.

In questo senso un rassicurazione giungeย direttamente dal CEO del social, Mark Zuckerberg, che ha spiegato come “la privacy non cambierร ” e dagli sviluppatori dell’app, capaci di rifiutare una prima proposta di acquisto da parte di Facebook per 3 miliardi di dollari, che affermano di aver ceduto la loro creatura solo in cambio di alcune garanzie e sottolineano che WhatsApp e Facebook resteranno due entitร  distinte e nulla cambierร .

Altra preoccupazione fondamentale degli utenti รจ anche laย privacy dei messaggi scambiati in chat.ย Le nostreย comunicazioni possono essere intercettate pubblicamente, in quanto il sistema non prevede un meccanismo efficace per garantirne la sicurezza. Gli stessi sviluppatori precisano che ogni informazione condivisa sull’app diventa pubblica e, pur facendo il possibile per permettere uno scambio sicuro, non garantiscono che i nostri dati siano preservati dall’essere letti, alterati, distrutti o rivelati da terzi. Facebook dovrร  quindi prendersi carico di un significativo miglioramento dell’applicazione, inclusa la protezione dei dati scambiati, al fine di tranquillizzare gli utenti.

Il fastidio di “visto alle”…

Le ultime lamentele o feedback negativi relativi a WhatsApp riguardano alcuni dettagli relativi al fatto che la versione pro puรฒ essere pagata solo tramite carta di credito, oltre ad un ingente utilizzo della memoria su smartphone e della impossibilitร  di registrare i dati su scheda SD.

Infine, molti utilizzatori dell’app non sono felici del fatto che su Android sia impossibileย nascondere quando siamo onlineย agli altri utenti WhatsApp. ย Le richieste di poter togliere la notifica โ€œvisto alleโ€, che segnala lโ€™ultimo momento in cui abbiamo usato lโ€™applicazione e permette di sapere quando siamo online in tempo reale, sono davvero tante. Ma una soluzione a questo problema esiste. WhatsApp ha rilasciato una versione dell’app aggiornata, al momento scaricabile dal suo sito, che permette di decidere a chi far vedere la foto profilo e quando siamo online. Andando in Impostazioni – Account – Privacy sarร  possibile scegliere il pubblico tra: TuttiI miei contattiNessuno.

Come proteggere uno smartphone iOS/Android dallo spionaggio

Alla luce dello scandalo NSA, la privacy dei dispositivi di comunicazione รจ diventata una necessitร  primaria da parte di molte aziende produttrici e di utenti preoccupati nel vedersi monitorare telefonate, messaggi e-mail, cronologia internet, scatti fotografici e addirittura i propri spostamenti fisici attraverso il segnale Gps. Perchรฉ in mani sbagliate, il nostro fedele telefonino di ultima rischia di trasformarsi in una potente miniera di dati personali e in un autentica “cimice” per intercettazioni ambientali 24 ore su 24.

Ogni smartphone, indipendentemente dal produttore o dal modello, รจ in costante collegamento con il mondo attraverso la rete telefonica, dati, Bluetooth o Wi-Fi. Attraverso questi canali, in linea teorica, chiunque possegga le adeguate competenze รจ in grado di introdursi all’interno del nostro dispositivo da qualsiasi luogo del pianeta, spiandoci o addirittura prendendo il controllo dell’apparecchio.

10 passi contro lo spionaggio

Se pensate che qualcuno possa essere interessato a curiosare nelle vostre vite e nel vostro telefonino, esistono una serie di precauzioni che potrebbero metterlo al riparo da occhi indiscreti. Sia chiaro: il caso NSA ha chiaramente dimostrato che nulla nel vasto mondo digitale puรฒ essere considerato privato e sicuro al 100%, a meno di non scollegare telefonini e tablet da qualsiasi rete rendendoli completamente “offline”. Cosa che, fra l’altro, li renderebbe completamente inutilizzabili e del tutto inutili. Le misure che seguono, permettono tuttavia di ridurre il numeri di dati esposti, e di complicare di molto la vita a qualsiasi spione.

Il PIN

Si tratta della precauzione base per antonomasia, disponibile di default su qualsiasi dispositivo. Protegge poco o nulla da attacchi spionistici “seri”, ma fornisce una prima barriera protettiva contro gli spioni improvvisati.

Oltre ad attivare la funzione base, per ottimizzare questa prima fondamentale forma di difesa, esistono applicazioni come TimePIN per Androidย che si occupa di modificare ogni minuto il codice di sbloccoย dello schermo. Per il mondo Apple potete aumentare di molto la sicurezza, rinunciando ad utilizzare le scorciatoie che funzionano anche con il display bloccato, spesso vittime di vulnerabilitร  sfruttate da hacker.

La crittografia

Crittografare un telefono equivale a mascherare ogni suo contenuto, rendendolo illeggibile agli occhi di chi non รจ in possesso della “chiave” di decrittazione. Solo previo inserimento della chiave รจ possibile decodificare e rendere visibile i contenuti e la memoria dello smartphone.

Ogni dispositivo Android a partire dalla versione 2.3.4 Gingerbread integra di default un servizio di crittografia dedicata all’intera memoria del dispositivo o ai soli dati salvati, dando facoltร  all’utente di scegliere il grado di protezione desiderato. Oltre a questo, il Play Store di Google dedica ai sistemi Android un’ampia gamma di applicazioni similari, (Redphoneย per le chiamate,ย ย Crypt My Smsย per i messaggi,ย Droid Cryptย per i dati, oย SSE โ€“ Universal Encryption App) studiate per cifrare ogni tipologia di dato sensibile immagazzinabile su uno smartphone.

I sistemi iOs, pur non disponendo di una simile funzione built-in, permettono di eseguire un backup attraverso iCloudย e di impostare una password per lo sblocco dei dati, fra le opzioni. A questo si aggiunge una lunga serie di App disponibili sullo store Apple dedicate alla cifratura selettiva delle telefonate, (il servizioย Ostel assieme all’app Groundwire), degli sms (BlackSMS) , dei servizi di instant messaging, (ChatSecure) e client mail (iPGMail) o tutte queste funzioni insieme e quant’altro si possa desiderare per mettersi al sicuro da occhiate indiscrete.

La gestione password

Fra i dati che non vorremmo mai veder cadere in mani sbagliate, figurano le nostre password. Client mail, social, registrazione a siti vari, credenziali bancarie: Android e iOs offrono attraverso i loro store App dedicate, piรน o meno complesse, progettate con il solo scopo di occultare tutte le nostre chiavi di accesso. Offrendo, in alcuni casi, tecnologie crittografiche all’avanguardia mutuate dall’ambiente militare. Ne sono un esempio Keeper Password per Android e Safe Password per iOs.

Le reti VPN

Per mischiare un po’le carte e rendere complicata un’eventuale attivitร  di spionaggio a nostro danno, รจ sempre possibile ricorrere a una rete privata VPN. Una volta creata, la Virtual Private Network andrร  a crittografare tutto il traffico dati da e verso il nostro smartphone attraverso l’impiego di un server o provider VPN. Intercettare dati scambiati in questo modo risulta comunque possibile ma molto piรน complesso rispetto a una rete standard. Applicazioni utili a questo scopo come Hotspot Shield e VPN Express sono disponibili sui principali store di App.

Navigare anonimi

Browser web come TOR, Orbot o Onion Browser garantiscono l’assoluto anonimato nella navigazione portando il collegamento dell’utente attraverso una serie di nodi protetti da crittografia. Un sistema che di fatto rende impossibile a eventuali spie risalire all’identitร  del cybernauta.

Via le connessioni inutili

Spegnete Wi-Fi, Gps, bluetooth e connessione dati quando non serve: ogni connessione attiva rappresenta un canale bidirezionale: da un lato ci consentirร  di rimanere in contatto con il mondo, dall’altro permetterร  agli aspiranti “spioni” di entrare nel nostro smartphone a curiosare. Attivare le connessioni soltanto al momento del bisogno e scollegarle subito dopo rappresenta sotto questo punto di vista un’efficace protezione.

Mai reti pubbliche

Preferite per quanto possibile le reti Wi-Fi conosciute e protette da password.

Usate la modalitร  aereo con i videogiochi

Spesso e volentieri i giochi free non richiedono un collegamento internet per funzionare, ma gli annunci sponsorizzati che popolano queste app (gestiti da terze parti) attingono a piene mani dai nostri dati personali e da quanto riescono a reperire dai nostri smartphone. Attivare la modalitร  aereo durante le esperienze di gioco eviterร  intrusioni sgradite e velocizzerร  le nostre partite.

Disattivate microfono e videocamera se non vi servono

Il caso Datagate ha dimostrato come ogni smartphone sia teoricamente sfruttabile come “cimice” per riprendere immagini e fornire intercettazioni ambientali a distanza attraverso il microfono integrato. Sugli store sono disponibili svariate applicazioni per proteggere i nostri device da questo rischio, attivando soltanto all’occorrenza gli “occhi” e le “orecchie” del nostro telefono. Per Android consigliamo Mic Block, o Camera Disable, mentre per iOS raggiungiamo le Impostazioni – Privacy – Microfono e selezioniamo le specifiche app che possono accedere a questa opzione, disabilitandone il piรน possibile. Per la camera, possiamo navigare fino a Restrizioni – Camera – e impostare una password per poterla attivare o disattivare.

Solo i dati essenziali

A volte, le note, i dati sensibili, gli indirizzi di persone conosciute come amici o parenti, potrebbero essere registrate altrove, in luoghi sicuri e inaccessibili.

Per quanti accorgimenti possiate adottare, niente e nessuno sarร  in grado di garantirvi al 100% una protezione totale contro intrusioni non autorizzate sul vostro smartphone. A meno, ovviamente, di non venderlo e rimpiazzarlo con un vecchio cellulare “old style” di quelli capaci soltanto di telefonare e “messaggiare”, magari su una vecchia rete Gsm. A patto che il vostro operatore la supporti e vi troviate in un punto del pianeta dove esista ancora questo tipo di linea. A quel punto sarร  sufficiente stare attenti soltanto a quanto si dice e scrive, ricordandosi di appuntare qualunque tipo di dato sui cari, vecchi post-it.

Sicurezza dei Bitcoin. 7 consigli per prevenire i furti

Del Bitcoin come si usa si sente parlare sempre piรน spesso, nel bene e nel male. Se da un lato sono in aumento le persone interessate a questa criptomoneta e le realtร  che la accettano in pagamento, dallโ€™altro รจ in crescita anche il numero di furti che la riguardano. La minaccia puรฒ arrivare da hacker che bucano sistemi poco sicuri o li infettano con virus, cosรฌ come da persone che creano servizi online fallaci. Chi ha un proprio wallet, un portafogli necessario per conservare i bitcoin ed effettuare le transazioni online, deve tenerlo il piรน possibile al sicuro. Danneggiare o perdere lโ€™accesso al proprio portafogli significa infatti perdere i propri bitcoin senza possibilitร  di recupero.ย Vediamo alcuni consigli per aumentare la sicurezza del bitcoin wallet.

electrum - bitcoin wallet
Interfaccia del software wallet Electrum

USARE UN PORTAFOGLI SOFTWARE

Per conservare ed effettuare operazioni con i propri bitcoin, รจ possibile utilizzare un portafogli web o smartphone, appoggiandosi ad appositi servizi, oppure un portafogli software, da installare sul proprio computer.
La prima cosa di cui tenere conto รจ che conservare i propri dati offline รจ sempre piรน sicuro che conservarli online, in quanto non li si espone a eventuali intrusioni provenitenti dalla rete.

La scelta migliore, in questo caso, รจ quindi quella di usare un portafogli software: in questo modo non si lasciano i propri bitcoin continuamente online, su un sistema che sfugge al nostro controllo e che puรฒ avere delle vulnerabilitร  facile preda di hacker, nรฉ si corre il rischio di affidarsi a servizi truffaldini o che per qualsiasi motivo chiudano da un giorno allโ€™altro.

Cโ€™รจ chi perรฒ, per praticitร , decide comunque di affidarsi a un portafogli online. Se non si รจ certi di saper garantire la giusta sicurezza al proprio computer in modo autonomo, diventa piรน semplice appoggiarsi a un servizio esterno, che, come una banca, dovrebbe fare le nostre veci nel garantire sicurezza al denaro virtuale. Sapendo che i web wallet non sono, ad oggi, sicuri come una banca, chi vi si affida deve quantomeno rispettare due condizioni imprescindibili:

  • Controllare le credenziali del servizio online che utilizza ed eventuali notizie di attacchi e vulnerabilitร  che lo riguardano
  • Utilizzare lโ€™autenticazione a due fattori

CIFRARE IL WALLET

Proteggi il tuo portafogli utilizzando una password. Scegli una password complessa, di almeno 16 caratteri, che non contenga solo termini conosciuti e sia costituita da lettere, numeri, punteggiatura. Importante รจ non scordare questa password: senza di essa, non รจ piรน possibile accedere al proprio wallet e non cโ€™รจ altro modo di recuperare nรฉ la password dimenticata nรฉ i propri bitcoin.

hardware wallet per bitcoin - trezor
Gli innovativi hardware wallet di Trezor, per una maggiore sicurezza del proprio wallet

CONSERVARE I BITCOIN IN UN COLD WALLET

Conserva sul wallet che utilizzi quotidianamente per la transazioni solo una piccola somma di bitcoin, cosรฌ come nella vita di tutti i giorni teniamo nel portafogli solo alcuni euro e non tutti quelli che abbiamo sul conto. Il resto dei bitcoin รจ meglio conservarlo in un portafogli offline, chiamato cold wallet, un luogo sicuro e disconnesso dalla rete.

Ci sono diversi approcci per creare un cold wallet.ย Alcuni portafogli software, come Electrum, permettono la creazione di un portafogli offline su un computer separato. In questo caso, l’intero portafogli รจ diviso tra il wallet online e quello offline e solo questโ€™ultimo permette di ultimare le transazioni con la firma. Il portafogli online รจ solo un wallet di osservazione, la cui vulnerabilitร  non comporta quindi grossi rischi. Per utilizzare i bitcoin, รจ necessario creare una transazione nel portafogli online, salvarla su chiavetta USB, trasferirla sul wallet offline per la firma e riportarla online sempre tramite pennetta.

Questo sistema, non proprio immediato e che comporta alcuni rischi legati a possibili vulnerabilitร  della pennetta, oggi potrebbe essere superato da alcuni strumenti di cold wallet innovativi.ย Appena lanciati gli hardware wallet di Trezor e BitcoinCard, dei wallet portatili su dispositivi sicuri, che funzionano come portafogli elettronici senza perรฒ avere un sistema operativo, vulnerabile, o la possibilitร  di scaricare software dannoso.ย Unโ€™altra innovativa possibilitร  di cold wallet รจ offerta dai paper wallet, come i Piper: si tratta di veri e propri portafogli che รจ possibile stampare su carta, lontano quindi dai pericoli del web. Come tutti i beni fisici, chiaramente un paper wallet corre il rischio di essere perso o rovinato e va conservato in un luogo sicuro.

AGGIORNARE IL SOFTWARE DEL WALLET

Tieni sempre sotto controllo il software del tuo wallet, in modo da scaricare immediatamente gli ultimi aggiornamenti di sicurezza. Senza aggiornamenti, la protezione del tuo portafogli puรฒ diventare presto obsoleta e, una volta danneggiato il wallet, i tuoi bitcoin possono essere persi per sempre.

CREARE PIU’ BACK UP DEL WALLET

Anche se teniamo un computer al sicuro, protetto in ogni modo dagli attacchi informatici, puรฒ succedere che venga rubato, subisca un danno o non funzioni piรน. Se lโ€™unica copia del tuo wallet รจ sul quel computer, hai perso per sempre le monete digitali acquisite. Fondamentale, quindi, fare dei backup e conservarli in luoghi diversi e sicuri,ย come altri hard disk offline, penne USB, CD. Eโ€™ importante anche criptare ogni backup, cosรฌ come si fa per il wallet principale. Spesso si tende a considerare i backup come copie di secondaria importanza e le si cura di meno, ma costituiscono un rischio esattamente come il portafogli “ufficiale” e vanno protette con la stessa attenzione.

CONSERVARE LA CHIAVE PRIVATA OFFLINE

Per compiere una transazione in bitcoin, servono una chiave pubblica e una privata. Conserva la tua chiave privata in un luogo sicuro. Anche in questo caso, non cโ€™รจ nulla di piรน sicuro di una location che non abbia accesso alla rete. Il grado di sicurezza ideale รจ raggiungibile se utilizzi un hardware dedicato esclusivamente al tuo portafogli, in modo da evitare il piรน possibile intrusioni da parte di virus e altre minacce in grado di creare vulnerabilitร .

SE SI UTILIZZA UN PORTAFOGLI CONDIVISO, FRAMMENTARE GLI ACCESSI

Puรฒ succedere di utilizzare un portafogli condiviso con altri account, magari allโ€™interno di unโ€™azienda. Vista lโ€™anonimitร  delle transazioni, sarebbe semplice fare trasferimenti di denaro dal portafogli aziendale su un proprio portafogli personale senza essere poi intercettati. Per garantire la sicurezza del wallet condiviso, รจ bene suddividerlo in tanti sotto-wallet quante sono le persone che vi accedono, in modo che ogni persona possa utilizzare esclusivamente un singolo portafoglio.

Come un hacker truffa Apple e Amazon per furto d’identitร . Storia vera

“Subire un furto di identitร  virtuale“. Sono 36 caratteri, che letti cosรฌ come sono, in una frase di sei parole, si traducono in un concetto. Quando lo si vive personalmente, diventano stupore, sgomento, ore passate al telefono, fastidi e perdita di cose care, davvero care. E’ quanto accaduto al giornalista di Wired,ย Mat Honan: il pezzo che segue descrive un reale furto di identitร  da parte di un hacker, tramite l’uso di Amazon ed Apple. Il racconto รจ stato possibile grazie alla paradossale disponibilitร  dello stesso pirata informatico, che ha accettato di spiegare alla sua vittima le modalitร  con cui รจ riuscito a prendere il controllo dei principali account sparsi per il web di Honan.

La vittima di Phobia. Mat Honan
La vittima di Phobia. Mat Honan

Tutto parte su Twitter

Il pirata informatico รจ innanzitutto un ragazzino di 19 anni, cresciuto in mezzo ai computer e dedito alla programmazione, che si fa chiamare Phobia. E’ un bel giorno quando Phobia naviga su Internet e incontra un profilo Twitter. Il nome del proprietario gli sta simpatico, crea nella sua mente un’assonanza piacevole, o le parole gli ricordano qualcosa: insomma, l’hacker sceglie, per puro caso, di attaccare il signor Mat Honan. Il fatto che questo sia un giornalista di Wired lascia immaginare che l’obiettivo sia meno casuale di quanto si voglia raccontare, ma facciamo finta di credere al giovane criminale.

Phobia non ha nulla di personale contro Honan, si tratta di una sfida con se stesso, e la sua azione inizia da una scrupolosa analisi del profilo di Twitter del giornalista, che gli permette di farsi una prima idea di chi sia Mat. Nei pochi caratteri che su Twitter ha a disposizione l’utente medio, Mat ha aggiunto alla sua descrizione il link al sito personale, cosa che permette di raccogliere ancora piรน dati nell’arco di poco tempo. La fase di studio รจ abbastanza breve, e Phobia si dirige rapido alla pagina dei contatti dove ha la possibilitร  di leggere l’indirizzo Gmail della sua vittima.

E’ qui il primo grimaldello: il prossimo passo รจ infatti quello di collegarsi al client di posta di Google, e seguire il percorso dedicato a chi dimentica la password. Phobia attiva la funzione di recupero della parola chiave, e il risultato consiste nella visualizzazione di un indirizzo mail alternativo, a cui Mat aveva deciso di spedire una password temporanea in caso di problemi. La mail non รจ visibile interamente: solo la prima lettera, poi una serie di asterischi, e infine il nome del dominio che รจ @me.com. Phobia non ci mette molto a capire che la mail รจ [email protected] e da qui capisce che la piattaforma che dovrร  attaccare รจ quella della Apple, che distribuisce tutte le caselle che terminano con @me.com.

L’involontario aiuto di Amazon

Phobia sa cosa serve ad Apple per riconoscere un utente: il nome, la mail e due informazioni fondamentali: l’indirizzo e le ultime quattro cifre di una carta di credito. Il primo dato si recupera facilmente, eseguendo una ricerca Whois su internet: consultando il registro pubblico dei proprietari dei vari siti internet, ย l’indirizzo di Mat รจ disponibile in chiaro e le prima informazione รจ recuperata nell’arco di 2 minuti. Le ultime 4 cifre della carta di credito sono qualcosa di decisamente piรน complesso, ma in questo caso Phobia pensa bene di rivolgersi ad un insospettabile alleato: Amazon.

amazon_customer_service

Il celebre e-commerce รจ al servizio dei suoi clienti, giusto? per questo Phobia chiama il centro di assistenza, impersonando Mat e spiegando di voler aggiungere il numero di una carta di credito. Amazon non esegue alcun controllo, cosรฌ che Phobia non ha bisogno di ripetere un reale numero di carta, e grazie a servizi online che permettono di calcolarne uno piuttosto verosimile, ci sarebbe riuscito comunque.ย Questa richiesta, corredata dal nome, dalla mail, e dall’indirizzo, non suscita il benchรฉ minimo sospetto nell’operatore di Amazon, che acconsente alla richiesta.

Il pirata informatico ora chiude la telefonata, aspetta qualche minuto e poi richiama: questa volta finge di non poter piรน accedere al proprio profilo, e chiede il supporto del servizio. Con un pรฒ di convinzione e aggiungendo ai dati che conosceva, il numero della carta di credito appena comunicata al ย servizio clienti, Amazon non si accorge di essere al telefono con un perfetto sconosciuto e accetta di aggiungere un indirizzo mail al profilo. Il pirata fornisce un indirizzo di sua personale proprietร , riaggancia, raggiunge il sistema di recupero password di Amazon e si spedisce una parola chiave temporanea.

E’ cosรฌ che il pirata ottiene il completo accesso al profilo Amazon della sua vittima.ย Navigando fra la cronologia degli acquisti e fra le impostazioni, Phobia trova tutti i numeri di carte di credito che sono state inserite nel corso del tempo: gli asterischi coprono i dati, ma le ultime 4 cifre sono visibili in chiaro… ed ecco trovata l’informazione che mancava.

All’attacco di Apple

Nel giro di 20 minuti, Phobia ha a disposizione tutto il necessario per andare all’attacco di Apple: a questo punto รจ la casa di Cupertino a ricevere una telefonata e l’interlocutore si dimostra piuttosto informato: fornisce il nome di Mat, ย l’indirizzo, la propria mail a dominio @me.com e finalmente le ultime 4 cifre della carta di credito. Apple ha confermato che queste informazioni sono veramente tutto quello che serve per poter ย verificare la propria identitร  al servizio clienti.

E dire che l’operatore fa qualche domanda di sicurezza che era ย stata impostata al momento della registrazione da Mat, quello vero, alle quali il pirata non รจ in grado di rispondere, ma con tutte le informazioni circostanziate che sono giร  state fornite, gli operatori accettano di fornire una password temporanea per sbloccare la casella @me.com, di fronte all’ennesima finta di aver perso il controllo del proprio profilo.

applecare-650x245

E’ cosรฌ che alle 4 e 50 di un venerdรฌ, il pirata informatico ottiene il controllo della mail della sua vittima, registrata sul server della Apple. A questo punto si verifica una valanga di violazioni tanto facili quanto terribili: grazie all’indirizzo mail, Phobia esegue un reset del Apple ID. ย Sono le 4.52 quando, raggiungendo il profilo di Gmail e avendo ormai il controllo della mail alternativa alla quale viene spedita la password, anche il client di posta di Google cede all’inganno.

L’attacco รจ compiuto

Sono le 5 del pomeriggio e il pirata si accorge che la sua vittima ha attivato la funzione Find My Mac, che permette in caso di furto, di rintracciare e di cancellare il contenuto a distanza di ogni dispositivo Apple. E’ cosรฌ che l’iPhone di Mat viene bloccato, mentre alle 5.02 tocca all’iPad e al Mac Book Air. Capitola anche il profilo Twitter, che viene conquistato con un messaggio di rivendicazione.

Proprio mentre avviene tutto questo, Mat sta giocando con la sua piccola bambina, e non si accorge di nulla, se non del suo iPhone che improvvisamente vibra in tasca: Mat vede che รจ bloccato e si accinge, senza ancora sospettare di nulla, alla riattivazione del sistema operativo. Per questo collega il suo smartphone all’account iCloud e prova ad eseguire un ripristino, che tuttavia non funziona. Infastidito, ma non ancora spaventato, utilizza il cavetto per connettere lo smartphone con il suo Mac e questa volta un messaggio di iCal lo avvisa che la sua password di Gmail รจ stata modificata. La cosa si fa veramente strana, e quando sullo schermo del suo notebook compare la richiesta di digitare un PIN di 4 cifre, di cui lui non conosce nemmeno l’esistenza, capisce di aver perso il controllo della sua identitร  virtuale.

honantwitter

I momenti successivi sono dominati dalla preoccupazione per i dati che sono completamente nelle mani di uno sconosciuto: Mat stacca il modem e il router, pensando cosรฌ di fermare l’attacco, e alle 5.30 chiama il servizio clienti della Apple. Nella concitazione del momento, il centralinista non comprende esattamente il suo nome, e credendo di stare parlando con il signor Herman inizia a fare domande di sicurezza alle quali Mat non รจ ovviamente in grado di rispondere.

All’hacker hanno creduto, a Mat no. Vengono chiesti dei dati che il giornalista non conosce minimamente, e l’operatore fatica a riconoscere l’identitร  di Mat. Passa un’ora e mezza fino che all’interlocutore non sfugge un “Signor Herman”. Mat lo ferma chiedendogli: “Scusi come mi ha chiamato?”, “Herman”, Risposta: “Io sono Honan”.ย 90 minuti persi per una incomprensione, e solo dietro a specifica richiesta di Mat, che ormai sospetta qualcosa, l‘Apple Care conferma come quella sia giร  la seconda chiamata del giorno: qualcuno aveva precedentemente contattato il servizio clienti per chiedere un reset della password.

Mat รจ sconfortato: ha perso le informazioni piรน care come i dati del suo lavoro, le foto private della sua bambina raccolte in due anni di momenti personali, esperienze e giorni felici.ย L’unica cosa che riesce a fare รจ aprire un nuovo profilo Twitter, spiegare la sua esperienza su Tumblr, quando viene improvvisamente contattato dal pirata informatico. Dopo essersi scambiati un following, ย i due iniziano uno schietto discorso dove Phobia spiega a Mat come รจ riuscito ad ottenere il controllo: con un pรฒ di preparazione e di astuzia. Il discorso verte sulle sue foto cancellate e non piรน recuperabili: il pirata informatico si dichiara dispiaciuto, immaginando che se questa cosa accadesse ai suoi genitori, questi ne sarebbero rattristati, ma non c’รจ piรน nulla da fare.

Il senno di poi

Mat รจ cosรฌ costretto a ricostruire la sua identitร  dalla prima volta: ora si รจ reso conto di quanto, nel corso del tempo, ognuno di noi dissemini informazioni personali e quanto poco siamo preparati a gestire situazioni del genere. Cosa ha imparato Mat? Che innanzitutto una parte della colpa non รจ sua:ย una parte del problema รจ attribuibile alle aziende come Amazon, che hanno ampiamente dimostrato di non controllare le informazioni che vengono fornite.

credit-cardGiร  nel 2012 era stata diffusa la notizia che il servizio clienti Amazon non fosse solito controllare il CVV delle carte di credito e questo permetteva di comunicare impunemente anche numeri di carte rubate o clonate, senza nessun problema. Ma anche Apple ha dimostrato impreparazione, nel momento in cui Phobia non ha risposto a domande di sicurezza preimpostate, e se l’รจ cavata con le ultime 4 cifre della carta di credito. Per equitร , l’azienda ha confermato che le politiche di sicurezza verranno riviste.

Ma l’ultimo colpevole รจ purtroppo la stessa vittima: se Mat, o come lui quasi la totalitร  degli utenti che non si cura della sicurezza, avesse utilizzato l‘autenticazione a due fattori, che prevede l’invio di una password su qualcosa che l’utente possiede come il cellulare, l’avventura di Phobia si sarebbe fermata all’inizio, perchรจ Gmail non avrebbe mostrato l’indirizzo alternativo all’hacker, provvedendo invece a spedire un codice alfanumerico direttamente a Mat.

Altro gravissimo errore, quello di utilizzare lo stesso modo di creare mail su tutte le diverse piattaforme: a Mat sarebbe bastato diversificarle anche solo leggermente (un numero casuale fra nome e cognome) per impedire al pirata di capire in meno di un minuto quale poteva essere l’indirizzo registrato sulla piattaforma Apple. Non ultimo quello di non aver eseguito un backup, o di averlo fatto, ma conservato esclusivamente online.

Mat ha provato che la nostra vita virtuale รจ solo una propaggine di noi stessi. E di questi tempi forse la propaggine piรน importante. Ogni cosa che facciamo in rete, รจ legata alla nostra vita, e la stessa facilitร  con cui internet ci permette di fare le cose, quella stessa semplicitร  ci consente di subire le cose. E le conseguenze, quando arrivano, sono molto meno virtuali di quello che immaginavamo.

Facebook App. Privacy in dubbio per (troppi) permessi ed SMS

Chi non conosce la app di Facebook? Sicuramente una delle applicazioni piรน note e scaricate, che ci permette di restare collegati al social network anche in mobilitร . Dopo averla installata sullo smartphone o sul tablet, possiamo accedere agli aggiornamenti della sezione notizie, pubblicare contenuti sul nostro profilo, ricevere notifiche in tempo reale, interagire con pagine e bacheche altrui, chattare con i nostri contatti. Funzioni molto complesse, che per funzionare richiedono permessi esosi e non sempre legittimi, soprattutto su piattaforma Android.

I permessi dell’App Facebook. Tanti, forse troppi

Lโ€™elenco dei permessi richiesti dallโ€™app Facebook su Google Play, lo store di app per Android, รจ lungo. Alcuni di questi permessi suonano incoerenti rispetto alle funzioni dellโ€™app. Altri, sono coerenti, ma eccessivi. E, anche quando perfettamente coerenti, lโ€™utente deve essere consapevole di quante informazioni personali unโ€™applicazione simile richieda per poter funzionare.ย Analizziamo le richieste di autorizzazione che permettono lโ€™accesso ai nostri dati piรน sensibili.

Geolocalizzazione
Il social network chiede di poter rilevare la nostra posizione approssimativa, basata sul browser, e quella precisa, rilevabile solo a GPS acceso. La richiesta di questa autorizzazione รจ coerente con la funzione dellโ€™app che permette di mostrare pubblicamente il luogo da cui stiamo inviando un messaggio o un aggiornamento di stato sul nostro profilo. Da sapere che la localizzazione รจ un dato estremamente utile per inviare pubblicitร  mirata.

facebook-permessi-android
Quando scarichiamo l’app di Facebook da Google Play, possiamo visionare tutte le autorizzazioni richieste.

Lettura dei messaggi di testo personali
Questo permesso serve a confermare il numero di telefono che associamo al nostro account, permettendo a Facebook di rilevare automaticamente il codice di conferma che ci invia tramite sms. Una funzione che consente di fatto al social network di leggere i nostri messaggi, il che ha sollevato dubbi sulla privacy, specie in quanto esistono altri metodi meno invasivi per eseguire la stessa operazione.

Comunicazioni di rete
La visualizzazione delle connessioni di rete e Wi-Fi รจ chiaramente necessaria per poter collegarsi a Internet e far funzionare lโ€™applicazione. Resta esosa la richiesta di avere accesso completo alla rete, quando dovrebbe essere sufficiente richiedere lโ€™accesso solo a determinati server, specifici per ogni app.ย Tra le richieste di questa sezione si trova anche un ambiguo: โ€œDownload file senza notificaโ€: Facebook ci spiega che la funzione serve per precaricare la sezione Notizie, in modo da ottimizzarne la consultazione.

Dati personali
In questa sezione, Facebook richiede lโ€™accesso a dati estremamente sensibili. Innazitutto, la lettura e modifica del calendario presente sul nostro device, la lettura di informazioni riservate e lโ€™invio di e-mail agli ospiti di un evento Facebook allโ€™insaputa del proprietario. Il social network chiarisce che in questo modo รจ possibile integrare gli eventi Facebook nel calendario del proprio dispositivo mobile. Inoltre, leggere i dati del nostro calendario personale, quando visualizziamo un evento sullโ€™app, permette a Facebook di ricordarci se siamo disponibili o meno. Resta comunque non spiegato chiaramente il perchรฉ dellโ€™invio automatico delle email agli invitati, senza previo permesso esplicito.

Eโ€™ inoltre richiesta la lettura delle schede dei contatti personali, funzione utile per la sincronizzazione dei propri contatti sul telefono con quelli di Facebook. Innegabile che cedere la propria rubrica a una qualsiasi applicazione lascia sempre aperte domande sullโ€™utilizzo che verrร  effettivamente fatto di quei dati.

streaming-fb

Telefonate e informazioni sociali
Facebook richiede il permesso di chiamare direttamente un numero di telefono, il permesso di lettura e scrittura del registro chiamate e la lettura e modifica dei contatti personali. Queste autorizzazioni sono molto delicate, in quanto danno pieno accesso alla propria rubrica e a tutto il nostro registro chiamate, ma sono utili per poter chiamare i propri contatti, funzione raggiungibile dal sistema di messaggistica di Facebook.

In questa sezione lโ€™app chiede inoltre un permesso sempre incriminato, in quanto non funzionale in genere allโ€™utilizzo di unโ€™applicazione: la lettura dello stato e dellโ€™identitร  del telefono, ossia del suo numero di serie, che permette di identificare il nostro device in modo univoco e tracciarlo in qualsiasi momento. Queste informazioni sono normalmente utilizzate per motivi statistici e per studiare i nostri comportamenti a scopi promozionali.

Il caso. La lettura degli SMS

Una lamentela che si puรฒ definire corale, riguarda lโ€™autorizzazione a leggere i nostri messaggi personali, novitร  arrivata con gli ultimi aggiornamenti dellโ€™applicazione. Kaspersky ha segnalatoย che molti utenti trovano questa funzione eccessivamente invasiva della propria privacy e senza una chiara e reale motivazione.

Il social network risponde che il permesso รจ necessario per confermare il numero di telefono associato allโ€™account e per chi richiede di verificare la propria identitร  tramite l’invio di un messaggio sul proprio cellulare, aggiungendo che, sebbene basterebbe richiedere il permesso specifico per leggere solo determinati messaggi, lโ€™app store di Android non permette di essere cosรฌ selettivi nella richiesta di autorizzazioni e questo comporta la necessitร  di richiedere permessi piรน generici e invasivi. Kaspersky perรฒ non ha ancora ritirato il suo alert, sostenendo che possono esserci altre vie per far autenticare lโ€™utente (ad esempio, lโ€™inserimento del codice a mano e non tramite rilevamento automatico da un sms).

Altre lamentele riguardano lโ€™accesso totale al registro delle chiamate e ai contatti. La questione non riguarda solo lโ€™invasivitร  dei permessi richiesti, ma la poca chiarezza e trasparenza con cui si giustificano queste richieste. Preoccupazioni che trovano fondamento anche in alcuni bachi โ€œstoriciโ€ dellโ€™app, che le hanno involontariamente permesso di ottenere e archiviare i nostri numeri senza che nemmeno aprissimo Facebook o di pubblicare oltre sei milioni di indirizzi mail e numeri di telefono.

Lamentele piรน generiche, non strettamente legate alla sicurezza, riguardano la pesantezza dellโ€™applicazione. Diversi utenti lamentano unโ€™eccessiva occupazione della memoria, lentezza nel caricare i contenuti, grande incidenza sulla carica della batteria, periodici crash. Inoltre, rilevati da piรน utenti alcuni bug, come la misteriosa scomparsa di “Mi piace” messi precedentemente.

Verificare se la mail o la password รจ stata rubata. I tool online

Il furto di dati รจ uno dei rischi piรน gravi che corriamo online, eppure molto spesso continuiamo a utilizzare la stessa password per accedere a servizi diversi, come la posta elettronica, il sito della banca, i social network, o a non curarci di mettere in sicurezza le nostre informazioni importanti.

Probabilmente, la possibilitร  di essere vittime di un furto di dati ci sembra lontana o siamo poco consapevoli delle conseguenze. Eppure questi fenomeni si verificano spesso. Se siamo stati vittime di attacco, possiamo correre ai ripari e restare indenni, anche semplicemente cambiando una password. Il primo passo รจ verificare se la mail o la password รจ stata rubata. Sicuri, ad esempio, che il vostro account non sia stato vittima di uno dei furti piรน noti che si sono verificati negli ultimi mesi?

Furti di dati, da LinkedIN ad Adobe

Uno dei furti di dati tristemente piรน celebri รจ quello che, nellโ€™estate 2013, ha colpito Adobe: ufficialmente, sono stati compromessi oltre 38 milioni di account.ย Tra le informazioni rubate, nomi utente, password e numeri di carta di credito. Oltre ai dati personali degli utenti, gli hacker hanno intercettato i codici segreti di alcuni prodotti Adobe, che permettono lโ€™accesso ai software e la possibilitร  di rubare ulteriori informazioni. Un furto a cui rispondere immediatamente con il cambio di password e con il download degli aggiornamenti dei prodotti acquistati.

stealing-dataMa il caso Adobe non รจ per nulla isolato. Nel 2012 un attacco a LinkedIn ha messo a rischio i dati di 6,5 milioni di utenti. Le loro password, comunque cifrate, sono state rubate e pubblicate su un social network russo. LinkedIn รจ subito corso ai ripari sospendendo gli account compromessi e forzando il cambio di password, ma ha assicurato che il furto non ha avuto conseguenze, in quanto nessun account รจ stato violato.

Tra gli attacchi piรน recenti, ricordiamo quelli diretti a Snapchat, Yahoo e Gmail.ย Snapchat รจ unโ€™app che permette di inviare foto e video che si autodistruggono dopo la visualizzazione. A gennaio, รจ stata vittima di un attacco che ha permesso di rubare 4,6 milioni di numeri telefonici di utilizzatori dell’app, assieme al corrispettivo username. Gli hacker autori dellโ€™attacco affermano di aver commesso la violazione a scopo dimostrativo, per invitare gli sviluppatori a porre piรน attenzione alla privacy degli utenti.

Yahoo รจ stato vittima diverse volte di attacchi informatici, che hanno fruttato fino a 400 milioni di indirizzi mail e password rubate. In seguito a questi episodi, la compagnia si รจ scusata ufficialmente e si รจ impegnata a rafforzare i propri sistemi di sicurezza. Ma purtroppo pochi giorni fa si รจ verificato un nuovo attacco. Questa volta perรฒ – come Yahoo tende chiaramente a sottolineare – lโ€™attacco non ha colpito direttamente i suoi sistemi, ma quelli di un database esterno, i cui dati trafugati corrispondono ad un numero ancora imprecisato di nomi utente e password di Yahoo Mail.

zQO3opIAIl furto di dati puรฒ avvenire in modi differenti dallโ€™attacco diretto ai sistemi di una compagnia, che fa breccia nei suoi punti deboli. Uno di questi modi รจ il phishing, di cui un esempio attualissimo รจ quello che che sta colpendo Gmail:ย chi utilizza questo servizio potrebbe ricevere una mail, ย in tutto e per tutto simile a una mail inviata proprio da Google, in cui viene avvisato che รจ a rischio di furto dati (oltre al danno, la beffa). La mail contiene la raccomandazione di modificare i propri dati di accesso e il link diretto alla pagina per farlo. Ma questa pagina รจ ovviamente una pagina creata ad hoc dagli hacker per rubare i dati degli utenti.

Un altro furto di dati che non deriva da un attacco diretto ai sistemi dei servizi online, ma ai nostri computer personali si รจ verificato a novembre 2013. La scoperta รจ dellโ€™azienda di cybersecurity Trastwave, che ha individuato un server, sito in Olanda, in cui gli hacker hanno immagazzinato una gran quantitร  di dati rubati alle piattaforme che tutti noi usiamo quotidianamente: Facebook, Twitter, Yahoo, Google, Linkedin. Si tratta di oltre due milioni di username e password, intercettati utilizzando un malware. Gli hacker hanno installato un virus nel computer degli utenti, riuscendo a rubare i loro dati quando effettuavano i login nei propri account.

Gli attacchi alle nostre informazioni personali possono quindi arrivare da piรน fronti. Come sapere se siamo stati vittime di un attacco prima di subire danni concreti?

Gli strumenti per verificare il furto di dati

Quando unโ€™azienda si accorge di essere stata sottoposta a un furto di dati, modifica in automatico le password dei clienti, avvisandoli, o li avverte sulle operazioni da compiere per rimettere in sicurezza il proprio account. Ma esistono anche dei servizi che ci permettono di sapere in modo autonomo se qualche nostro account รจ stato violato. Il loro utilizzo รจ semplice e immediato. Vediamo alcuni di questi strumenti.

haveibeenpowned - screenshot

Have I been pwned?

Il servizio Have i been pwnedย prende il suo nome dal verbo โ€œto ownโ€, nel suo significato di โ€œappropriarsi, conquistare, compromettere o controllareโ€. Offre la possibilitร  di sapere se il proprio indirizzo mail รจ stato compromesso e su quale piattaforma, in modo da offrire con precisione i dati necessari per intervenire subito.ย Il suo funzionamento รจ semplice: la piattaforma unisce in un unico databaseย tutti gli elenchi di account attaccati pubblicati dalle stesse compagnie hackerate.

Se il tuo account รจ stato attaccato, ricevi subito un messaggio di allerta.
Se il tuo account รจ stato attaccato, ricevi subito un messaggio di allerta.

Basta inserire il proprio indirizzo mail nellโ€™apposito campo per sapere se รจ stato oggetto di furto. Inoltre, รจ possibile richiedere il โ€œwatchdogโ€ gratuito, ossia una funzione che tiene traccia della nostra mail e ci avvisa automaticamente se sarร  vittima di attacchi futuri. Oltre a queste funzioni, I have been pwned permette di analizzare eventuali compromissioni degli indirizzi mail appartenenti a un proprio dominio.

 

ShouldIChangeMyPassword - screenshot

Should I Change My Password

Should I Change My Password รจ un servizio molto simile al primo, ma che a livello gratuito permette solo di verificare se la propria mail risulta essere in uno dei database di account compromessi. Non specifica quale dei nostri account รจ a rischio, ma segnala la data in cui รจ avvenuto il furto dei nostri dati. Gli altri servizi offerti sono a pagamento e comprendono il monitoraggio di futuri furti di dati e la verifica di possibili attacchi a domini personali, aspetto interessante per le attivitร  di business.

Oltre a queste, i pacchetti a pagamento integrano funzioni premium.ย Come la precedente, anche la piattaformaย Should I Chenge My Password fornisce un elenco delle compagnie colpite e aggiorna il suo database ogni volta che viene pubblicata una nuova lista di password rubate. Questo servizio garantisce di non memorizzare alcun indirizzo, se non richiesto dallโ€™utente stesso per usufruire di un pacchetto a pagamento.

lastpass-tool

LastPass

Oltre a questi database molto completi, esistono strumenti che si focalizzano su una particolare compagnia vittima di attacco. Eโ€™ il caso degli strumenti messi a disposizione da LastPass, una piattaforma di gestione di password, il cui obiettivo principale รจ aiutarci ad usare password sicure e diversificate durante la nostra navigazione, lasciando perรฒ alla nostra memoria il compito di ricordarne soltanto una.

Questi strumenti, come i precedenti, richiedono lโ€™inserimento del nostro indirizzo mail e ci dicono immediatamente se i nostri dati sono al sicuro o meno. Inoltre, troviamo le indicazioni per intervenire in caso di attacco. ย Ecco alcuni tool messi a disposizione gratuitamente da LastPass:

Il consiglio รจ quello di verificare subito, utilizzando uno di questi strumenti, se tutti i vostri account sono al sicuro. In caso contrario, niente panico: potete correre subito ai ripari cambiando la password o seguendo le indicazioni specifiche per il servizio oggetto di attacco.

Come nascondere e rendere invisibile il profilo Facebook

Ammettiamolo: sospinti dal gioco, dalla curiositร  o per esigenze lavorative, tutti noi possediamo un account Facebook registrato a nostro nome.ย Che sia stato realizzato per diletto o per ragioni professionali, ogni profilo del Social piรน diffuso al mondo porta con sรฉ brandelli di informazioni legati alla persona che lo ha aperto. E potremmo decidere diย nascondere e rendere invisibile il profilo Facebook

Facebook rappresenta una autentica miniera di informazioni sensibili, spesso messe in bella mostra dagli utenti sottovalutando la portata effettiva dei loro profili personali e dei contenuti che quotidianamente postano sul proprio diario. Fotografie sconvenienti, frasi non proprio generose sul conto del proprio capo, post geolocalizzati che rivelano al mondo il luogo dal quale scriviamo.ย Proprio per questo chiunque potrebbe avere un buon motivo per voler rendere “invisibile” o quanto meno il piรน riservato possibile il proprio profilo Facebook.

Nascondiamo (o selezioniamo) profilo e post

Sono oltre 60 le impostazioni che Facebook mette a disposizione dell’utente per scegliere cosa, della propria identitร  social, debba essere rivelato al mondo e cosa debba rimanere condiviso tra pochi, selezionati utenti.

Da questa schermata รจ possibile non solo rivedere le nostre informazioni personali visibili su Facebook, ma anche scegliere per ogni singola voce il grado di visibilitร : pubblica, visibile solo agli amici o soltanto a noi stessi. In ogni caso, attraverso le impostazioni personalizzate, sarร  possibile scegliere selettivamente quali amici potranno avere accesso alle nostre informazioni e quali invece non visualizzeranno nulla all’interno di determinati campi.

Per accedere a questo menรน รจ sufficiente selezionare l’ingranaggio posto sull’estremitร  superiore destra dello schermo, selezionare “Impostazioni” e successivamente la voce “Privacy” all’interno della colonna laterale. Attraverso le voci che seguiranno, รจ possibile scegliere se il nostro profilo e i nostri contenuti avranno una natura pubblica (condivisi con tutti gli utenti di Facebook), privata (visibili solo e soltanto a noi stessi) o visibili esclusivamente a contatti selezionati (amici e/o liste personalizzate di utenti).ย Impostazioni consigliate per rendere “nascosto” il proprio profilo: “Solo io” (icona con lucchetto) o, in mancanza di questa, “Amici”. Eventuali amici poco graditi possono comunque essere bloccati dal menรน Privacy – Blocco ed inserendoli in una “Lista limitata”.

Chi puรฒ vedere le mie cose?

  • Post futuri. Il primo sottomenรน indica chi puรฒ vedere i nostri post futuri. Questi potranno essere pubblici, riservati ad amici, soltanto a noi stessi o a condivisione personalizzata (visibili a contatti singoli o a determinate liste di amici). รˆ possibile, inoltre, estendere o limitare la visibilitร  dei contenuti che ci riguardano agli “amici delle persone taggate”.
  • Restringi il pubblico dei vecchi post. Ci sono cose che non vorreste mai aver scritto o pubblicato sul vostro diario? Nessun problema: con questa voce รจ possibile modificare selettivamente il pubblico della nostra storia “social” recente, limitandolo ai soli amici e ai contatti piรน fidati. Una funzione utile ad evitare figuracce con quelle persone che mai si sarebbe pensato potessero entrare in contatto con il nostro profilo Facebook.
  • Registro attivitร . Evidenzia tutte le foto, le notizie e contenuti dove siamo stati taggati indicandoli uno per uno. Per ogni voce รจ indicata la natura del tag (pubblico, solo amici di quella persona, ecc..) e consente l’eliminazione selettiva.
  • Limitare il pubblico dei post condivisi. In caso di attivazione, i contenuti pubblicati sul diario che sono stati condivisi con amici o utenti pubblici diventano visualizzabili solo agli amici.ย Nota: anche le persone taggate e i loro amici potranno vedere questi post. Per limitare la visibilitร  dei tag, รจ possibile fare riferimento alla sezione “Diario e aggiunta di tag” nella colonna posta a sinistra dello schermo.
  • Chi puรฒ contattarmi? Con pochi click รจ possibile selezionare chi puรฒ inviare le richieste di amicizia (tutti o solo amici di amici).
  • Filtri posta in arrivo. Per scremare i messaggi di posta indesiderati, Facebook mette a disposizione due tipologie di filtro. Quello di base (permette i messaggi degli amici e delle persone che potresti conoscere) e quello restrittivo (visualizza solo i messaggi degli amici, incasellando i restanti nella cartella “Altri”).
  • Chi puรฒ cercarmi? Per chi non desidera ricevere spam attraverso i recapiti forniti a Facebook all’atto dell’iscrizione, รจ possibile specificare chi puรฒ cercare il proprio profilo attraverso l’indirizzo mail o il numero di cellulare (selezionando “amici”, il sistema presume che un amico reale risulti giร  in possesso di tali recapiti).
  • Particolarmente utile รจ l’opzione legata ai motori di ricerca. Se attivata, i contenuti del diario potranno apparire tra i risultati dei motori di ricerca. Deselezionandola, tutto quello che comparirร  all’interno del nostro profilo non lascerร  tracce sulla Rete.

Nascondiamo il diario e gestiamo i tag

fb3Questa sezione regola gli accessi pubblici e degli amici al nostro diario personale e ai relativi contenuti pubblicati.ย Impostazioni consigliate per rendere “nascosto” il proprio profilo: “Solo io” (icona con lucchetto)

  • Chi puรฒ scrivere sul mio diario? Selezionando “Solo io” รจ possibile creare un diario personale, inutilizzabile dagli altri utenti.
  • Controllo tag. Un amico vi ha taggato in una foto sconveniente o imbarazzante? Attivando questa opzione รจ possibile controllare tutti i post in cui si viene taggati dagli amici, prima che questi vengano visualizzati sul diario. Per autorizzare il tag รจ sufficiente cliccare sulla voce “Controllo del diario” a sinistra del Registro attivitร .
  • Chi puรฒ vedere il mio diario? Consente di selezionare chi puรฒ vedere i post in cui veniamo taggati e i post scritti da altri sul nostro diario.
  • Come faccio a gestire i tag? Permette di controllare i tag aggiunti da persone ai nostri post prima che questi diventino visibili, oppure disattivare i suggerimenti di “tag automatico” per fotografie che assomigliano alla nostra immagine profilo.

Scremiamo amici e liste di utenti

Sezione piรน che mai utile se si vogliono escludere una o piรน persone dal nostro profilo e dai relativi contenuti.

  • Lista limitata. Dovete pubblicare un contenuto e non volete che venga visto da uno dei vostri “amici”? Potete sempre aggiungere il nome del vostro amico “scomodo” all’interno di una di queste liste. Tutti i nominativi degli amici inseriti nelle “liste con restrizioni” vengono automaticamente esclusi dai nostri aggiornamenti rivolti agli amici. Gli unici contenuti visualizzabili da questi utenti saranno quelli pubblicati con attributo “pubblico”, visibili quindi da qualsiasi utente di Facebook. Da “modifica lista” รจ possibile gestire gli appartenenti alle singole liste con restrizioni.
  • Blocco di utenti. Un utente ha iniziato a molestarvi o a commentare i vostri post in maniera insistente? Bloccandolo, non potrร  piรน vedere i contenuti del vostro diario, taggarvi, invitarvi agli eventi o ai gruppi, avviare una conversazione o aggiungervi agli amici.
  • Blocco inviti delle applicazioni. Spesso si viene sommersi da richieste di utilizzo di giochi e applicazioni, inviate in serie da persone desiderose di ampliare la propria rete di contatti su Facebook. Attraverso questa opzione รจ possibile inserire il nominativo della persona indesiderata e bloccare automaticamente tutte le sue richieste di applicazioni che verranno inviate in futuro.
  • Blocco inviti ad eventi. Come la voce precedente consente di bloccare gli inviti ad eventi organizzati attraverso Facebook.

Come recuperare dati cancellati da smartphone Android

Quante volte accade accidentalmente di cancellare una foto, cestinare un sms importante o eliminare per errore un documento salvato sul proprio smartphone Android?ย Niente paura: nel 90% dei casi un file eliminato da uno smartphone Android puรฒ essere comunque recuperato, previo l’utilizzo di appositi programmi o addirittura di strumenti informatici avanzati come quelli correntemente impiegati nelle analisi forensi.

Per i dispositivi Android il market Google Play offre innumerevoli soluzioni, anche gratuite, ideate per soccorrere gli utenti distratti e aiutarli nel recupero dei dati andati perduti.ย Va detto perรฒ che non sempre le App di tipo “commerciale” riescono a ripristinare i contenuti erroneamente eliminati. Dove questi strumenti non possono arrivare, Internet corre in soccorso degli utenti fornendo programmi avanzati capaci di estrarre, da qualsiasi device, l’intera memoria del dispositivo in modo da poterla scompattare e ricavare, singolarmente, tutti i file precedentemente registrati.

Google Play Store – le principali App per Android

Hexamob Recovery Undelete (versione Lite gratuita – Pro 2,12 โ‚ฌ): definita dal produttore “l’unica applicazione Play Store in grado di recuperare i file cancellati memorizzati in memorie interne – e si suppone che sia praticamente impossibile recuperare i file cancellati memorizzati in questo tipo di filesystem”, Recovery Lite conta al suo attivo circa un milione di download dallo store e una lunga serie di commenti positivi rilasciati dagli utenti, particolarmente grati per l’essersi visiti ripristinare numerosi contenuti andati cancellati.

Una volta installata l’applicazione ed ottenuti i permessi di root sul proprio device (con procedure diverse a seconda del tipo di smartphone), Hexamob Recovery mostra all’utente un menu estremamente essenziale che consente di scegliere un “Totale recovery” (disponibile solo nella versione “Pro” della App, al costo di 2,12 โ‚ฌ) o un “Selective recovery”. In entrambi i casi, verrร  chiesto all’utente di selezionare il percorso all’interno del quale cercare i dati andati perduti (telefono o memory card) e un secondo percorso dove salvare le informazioni raccolte (come ad esempio una scheda SD). Una volta terminata la scansione, il programma mostra tutti i file recuperati suddivisi per tipologia (immagini, audio, video, sms, documenti, note, files generici) e consente di memorizzarli nuovamente all’interno del percorso precedentemente selezionato.

recovery3Wondershare Dr. Fone per Android (versione trial – versione full 39,60 โ‚ฌ): analogamente ad Hexamob, Dr. Fone permette di recuperare informazioni andate perdute sul proprio smartphone ma soltanto attraverso un collegamento con un computer fisso, sia esso Windows o Mac.

Una volta scaricato e installato il programma (che nella versione di prova consente soltanto di visualizzare i contenuti recuperabili, ma non di recuperarli effettivamente se non prima dell’acquisto della versione “full” del programma), sarร  sufficiente collegare al computer con un cavo USB il proprio smartphone o tablet per consentire al software di analizzarne la memoria.

Dr. Fone oltre al recupero di ย foto, video, audio, documenti ed sms consente anche di ricostruire i contatti della rubrica andati erroneamente cancellati, il tutto attraverso un’interfaccia grafica semplice e intuitiva adatta anche agli utenti meno esperti.

L’unica richiesta che viene avanzata nei confronti dell’utente รจ quella di assicurarsi che il dispositivo da analizzare abbia un livello minimo di batteria pari al 20%, onde evitare spegnimenti indesiderati durante il processo di lettura e recupero dati.ย Una volta terminata la scansione della memoria i risultati vengono mostrati in un menรน grafico organizzato per categorie, dando modo all’utente di scegliere con precisione quali contenuti ripristinare e quali invece rifiutare.

recovery5Wondershare Data Recovery for Android (versione trial – versione full 15,81 โ‚ฌ): avete cancellato accidentalmente dei contenuti da vostro telefonino Android? La scheda SD del dispositivo si รจ rovinata e risulta illeggibile?

Data Recovery potrebbe rappresentare un valido alleato per cercare di salvare i vostri contenuti.ย Anche in questo caso il software (scaricabile direttamente dal sito web del produttore) richiede l’installazione su un computer fisso e risulta compatibile unicamente con i sistemi Windows. Una volta installato il programma e collegato il device Android mediante cavo Usb, viene eseguita una scansione completa sulle memorie dello smartphone o del tablet in questione.

In soli tre click, assicura il produttore, Data Recovery รจ in grado di ripristinare musica, documenti, archivi, immagini, video e molto altro ancora “riportando alla vita la tua vita digitale”.ย Il software dispone inoltre di un’efficiente finestra di preview dalla quale รจ possibile visualizzare, ascoltare ed analizzare ogni tipo di documento prima di procedere al recupero vero e proprio.

Deft: recupero dati avanzato con un software forense

Avete cancellato un file particolarmente importante, e nessuno dei programmi fin qui elencati รจ riuscito a recuperarlo?
A questo punto non vi resta che una sola strada praticabile: utilizzare un software professionale.ย DEFT Linux รจ una distribuzione di software open source basata su Ubuntu, sviluppata per usi legati all’informatica forense.

La distribuzione, nata verso la metร  degli anni 2000 per esigenze didattiche interne alla pratica forense, รจ stata affinata negli anni grazie alla collaborazione con l’International Information Systems Forensics Association (IISFA) e viene correntemente impiegata dagli organi di polizia italiana (DIA, polizia postale), tedesca, statunitense e coreana nel corso delle proprie indagini.ย DEFT รจ costituito da un vero e proprio sistema operativo che sfrutta la RAM del computer sul quale viene avviato, senza quindi interferire con i dispositivi sui quali viene condotta la scansione della memoria.

Una volta lanciata la versione “Live” del software (disponibile su CD o chiavetta USB) e collegato il proprio smartphone (o tablet) al computer, attraverso il prompt dei comandi รจ possibile avviare l’interfaccia grafica di DEFT per consentire un utilizzo agevole anche ai non addetti alla pratica forense.
Nel ricco e variegato menรน a disposizione dell’utente, attraverso la voce DEFT -> Mobile Forensics -> BitPim รจ possibile accedere al pannello informazioni riguardante lo smartphone, tramite l’apposito tasto “Find Phone”.

Dopo aver opportunamente configurato produttore e modello del device, DEFT lancerร  la scansione approfondita della memoria evidenziando contatti della rubrica, calendari, note, wallpaper, suonerie, memo, sms, mms, cronologia chiamate, contenuto completo della memoria e quant’altro il vostro fedele telefono contiene al suo interno, inclusi i file erroneamente cancellati. Da un apposito menรน sarร  possibile scegliere quali voci andare a ripristinare e quali salvare separatamente sul proprio computer. A questo punto sarร  sufficiente armarsi di pazienza e attendere i risultati della scansione: se nemmeno in questo modo riuscirete a trovare i vostri files dispersi, difficilmente con altri mezzi riuscirete ad avere successo.

Cancellare i file in modo definitivo e “irreversibile”

Se da un lato i programmi sopra descritti possono servire a recuperare contenuti cancellati per errore, dall’altro รจ pur vero che gli stessi potrebbero essere utilizzati da terzi per impossessarsi delle nostre informazioni personali. Anche in caso di vendita, un dispositivo opportunamente formattato presenta ancora un gran numero di dati recuperabili che potrebbero finire davanti a occhi indesiderati.

Proprio per questo sul mercato esistono diversi applicativi in grado di cancellare in maniera irreversibile i nostri contenuti, impedendone un eventuale ripristino.ย Lo stessoย Hexamob Recovery presenta tra le sue funzioni un utile tool di rimozione sicura chiamato Secure Erase (disponibile anche in versione stand-alone su Play Store), capace di cancellare in maniera “sicura” file confidenziali rendendoli illeggibili agli altri software di recupero dati.

In caso di vendita del device o qualora si voglia realmente – e definitivamente – cancellare ogni traccia di dati rendendoli irrecuperabili, nemmeno la formattazione ai parametri di fabbrica potrebbe risultare sufficiente a salvaguardare la vostra privacy. Per avere la certezza non lasciare nessun frammento di informazione, potrebbe essere opportuno procedere a quello che in gergo viene definito “flash” del firmware Android, sovrascrivendolo con la versione piรน recente rilasciata per il dispositivo in uso. Quale misura precauzionale puรฒ essere utile sovrascrivere e cancellare diverse volte l’intero spazio di memoria disponibile con file non privati, in modo da rendere irrecuperabili i dati “vecchi” e personali.

Cifrare file, cartelle e documenti. Consigli utili

Crittografare un file significa tradurlo in un codice che puรฒ essere decodificato soltanto da chi ha la chiave di cifratura. Eโ€™ un metodo sempre piรน utilizzato per proteggere i nostri dati sensibili, come quelli bancari o altre informazioni riservate, ed oggi รจ alla portata di tutti grazie a software e applicazioni di semplice utilizzo. Alcuni consigli utili per cifrare i nostri dati e trasmetterli in modo sicuro.

lucchetto

SCEGLIETE LA CIFRATURA ASIMMETRICA

Nella ricerca di un software per crittografare i vostri documenti, potreste trovarvi a scegliere tra due tipi di cifratura:

  • Cifratura simmetrica: la chiave per codificare e decodificare il messaggio รจ la stessa. Se inviamo un messaggio cifrato in questo modo, dovremo fare avere la chiave per decifrare il documento al nostro destinatario.
  • Cifratura asimmetrica: la chiave per codificare il messaggio รจ diversa da quella necessaria per decodificarlo. Questo tipo di codifica, chiamata crittografia con coppia di chiavi, si basa sul possesso da parte di mittente e destinatario di una chiave pubblica, che viene resa nota, e di una chiave privata. Il mittente codifica il file utilizzando la chiave pubblica del destinatario, che sarร  in grado di decifrarlo solo unendo a questa la sua chiave privata.

Tra queste due opzioni, scegliete la cifratura asimmetrica. Elude il problema di dover fare avere la chiave al destinatario, con il rischio di utilizzare un metodo non sufficientemente protetto ed รจ considerata un metodo piรน sicuro.

UTILIZZATE L’ALGORITMO AES

La scelta del metodo di cifratura potrebbe esservi posta anche in questi termini:

  • Cifratura con algoritmo DES
  • Cifratura conย algoritmo AES

Tra i due algoritmi di cifratura, meglio l’AES. Il DES รจ stato utilizzato per anni, ma oggi รจ superato dallโ€™AES, che utilizza chiavi di cifratura piรน lunghe e quindi piรน complesse da decifrare. Il DES usa infatti chiavi a 56 bit, lโ€™AES a 128 e 256 bit.ย Tradotto in termini pratici, la sicurezza di una chiave di cifratura si misura nel tempo necessario da parte di un computer per riuscire a trovare la chiave e quindi decodificare il documento. Ad esempio, se oggi si usasse una chiave a 48 bit, che per diversi anni รจ stato il limite massimo accettato dagli standard americani, i calcoli per trovare la chiave durerebbero solo poche ore. Una chiave a 128 bit dovrebbe proteggere i nostri dati almeno per i prossimi vent’anni.

NON USATE PER FORZA IL LIVELLO DI CIFRATURA PIU’ ALTO

Abbiamo appena detto che piรน รจ lunga la chiave di cifratura, piรน รจ difficile poterla decifrare. Ma non รจ sempre necessario utilizzare un metodo di cifratura con la chiave piรน lunga possibile. Decifrare un documento crittografato richiede tempo e risorse da parte di un computer e si puรฒ scegliere la chiave in base al tempo per cui i nostri dati hanno bisogno di essere protetti.

cifrare-documenti

PROTEGGETE LE CHIAVI DI CIFRATURA

Il punto debole di un file criptato spesso non รจ nel metodo di cifratura scelto, ma nella facilitร  di trovare la chiave. Eโ€™ quindi importante tenere al sicuro eventuali chiavi di cifratura (ad esempio, in partizioni protette del proprio hard disk o su un supporto esterno) e, se necessario inviarle a qualcun altro, farlo in modo sicuro: di persona, utilizzando una connessione protetta o attraverso messaggi a prova di hacker.

CIFRATE OGNI LIVELLO POSSIBILE
In caso di dati particolarmente sensibili, se lo strumento che utilizzate vi propone piรน livelli di cifratura (un file, la cartella che lo contiene e poi una partizione del disco; oppure un campo all’interno di un database, l’intera tabella che lo contiene e ancora lโ€™intero DB), utilizzateli tutti. Anche in questo caso, perรฒ, vale il consiglio di scegliere la complessitร  del grado di cifratura in base alla vostre reali esigenze. Cifrare un messaggio personale puรฒ essere per voi meno vitale che cifrare un documento riservato per motivi di lavoro.

NON SCORDATEVI I BACKUP

Una leggerezza che si compie spesso รจ quella di dare importanza solo alle copie attive di un documento, quelle su cui lavoriamo in un determinato momento, e non ai suoi eventuali backup, che vengono salvati in chiaro. Questa leggerezza potrebbe portare seri problemi di sicurezza. Ricordatevi di trattare il backup con la stessa attenzione del documento attivo: crittografatelo e tenetelo in un posto sicuro.

PROTEGGETE I DOCUMENTI IN MOVIMENTO

Se dovete portare un documento crittografato fuori casa o ufficio su un supporto esterno, come una penna USB, non fate una copia in chiaro, ma controllate che sia cifrata. Questo eviterร  di correre inutili rischi nel caso smarriste la penna USB. In commercio, esistono anche periferiche di archiviazione che offrono funzioni native di crittografia. Considerate come documenti in movimento da proteggere anche tutti quelli che scambiate via mail o archiviate in un servizio di cloud storage.

NON AFFIDATEVI A SERVIZI ONLINE

Per cifrare i vostri documenti o per conservare le chiavi di cifratura, affidatevi il meno possibile a servizi online che potrebbero avere accesso alle vostre informazioni. Se, ad esempio, usate un servizio cloud, meglio cifrare i documenti in modo autonomo sul vostro computer, piuttosto che affidarsi solo ai loro metodi crittografici. Questo farร  sรฌ che siate davvero soltanto voi ad avere le chiavi di cifratura dei vostri documenti e nessun altro possa accedervi, neanche volendo.

Gmail, Google Plus e Maps: tutti i problemi di privacy

Tutte le vostre mail vengono scansionate, analizzate e utilizzate da terzi per elaborare un profilo personale delle vostre abitudini.ย Un giorno, per caso, potreste trovare una vostra foto a fare da testimonial per un prodotto pubblicitario.ย I vostri account, o la password della vostra rete wi-fi sono stati raccolti e registrati in un mega archivio per non meglio precisate attivitร .

Sono solo alcune delle accuse di privacy che sono state mosse nei confronti di Google nel corso degli ultimi anni,ย con cause milionarie pagate profumatamente per placare le ire dei tribunali e dei cittadini di mezzo mondo.ย Ma quanto della nostra vita puรฒ finire negli archivi dell’azienda di Mountain View? E soprattutto, quali usi fa Google dei dati raccolti dai nostri profili e dai nostri computer?

Gmail: le scansioni dei messaggi

Un dato, su tutti: oltre 450 milioni di utenti attivi nel mondo posseggono un indirizzo di posta Gmail. In poche parole, si tratta del piรน grande servizio di posta elettronica mai esistito con miliardi di mail scambiate quotidianamente.

A destare la preoccupazione degli utenti sono tuttavia i criteri in base ai quali viene amministrata la privacy di questa impressionante mole di messaggi. Nel 2013 Google รจ comparsa davanti alla Corte Costituzionale della California a seguito di un contenzioso promosso da una class action di cittadini. Accusa: il colosso di Mountain View scansiona ogni giorno tutte le mail scambiate dagli utenti non soltanto per identificare virus o distribuirle all’interno delle sotto-caselle mail (spam, promozioni, comunicazioni social, eccโ€ฆ), ma anche per collezionare le parole chiavi piรน utilizzate da ogni cliente al fine di offrirgli pubblicitร  su misura targettizzate sugli interessi personali.

Se per esempio si ricevono da altri contatti mail inerenti gli sport di montagna, gli annunci pubblicitari della pagina offriranno in brevissimo tempo attrezzature da sci, abbigliamento invernale e quant’altro risulti affine ai gusti dell’utente. Pratiche legittime, secondo i legali di Google, in quanto ogni singolo utente di Gmail accetta queste pratiche all’interno delle condizioni contrattuali del servizio, acconsentendo implicitamente la scansione dei contenuti e-mail.

Nelle memorie legali, inoltre, gli avvocati dell’azienda hanno affermato che nel caso risulti presente un intermediario (la piattaforma Gmail, in questo caso), non puรฒ sussistere alcuna pretesa alla segretezza dei messaggi scambiati, paragonando i servizi di scansione offerti a una “segretaria” che vaglia la corrispondenza per conto del proprio capo.
Non solo per offrire agli utenti contenuti pubblicitari in linea con i propri interessi, ma anche e soprattutto per offrire servizi migliori ai suoi 450 milioni di utenti nel mondo.ย Note legali che tuttavia non cambiano, anzi ribadiscono la linea sostenuta dal quartier generale di Mountain View: chi usa Gmail non puรฒ pretendere il rispetto della privacy per i propri messaggi.

Gmail: i cookie conservati

A destare preoccupazione per molti utenti sono inoltre le pratiche di salvataggio e archiviazione dei cookie. Una volta eseguito il login con la propria casella Gmail o il profilo Google Plus personale i cookie di navigazione vengono registrati e inviati ai server di Google, che ne ricava una profilazione approfondita delle abitudini e dei comportamenti web di ogni singolo utente. Recentemente, a seguito dell’interessamento di alcuni organismi no profit, la permanenza massima di questi cookie all’interno dei sistemi Google รจ stata limitata a un arco temporale di 2 anni. Un’inezia rispetto ai 32 inizialmente previsti da Big G.

Sempre parlando di cookie, non รจ un mistero che Google abbia per lungo tempo fatto uso di cookie traccianti nei confronti dei propri utenti, arrivando ad eludere le barriere naturali che i sistemi operativi iOS hanno eretto nei confronti dei cookie provenienti da terze parti, come in questo caso. Tra il 2012 e il 2013 l’azienda di Mountain View รจ stata protagonista di una serie di azioni legali intraprese da cittadini ed enti no profit sul medesimo tema: i cookie traccianti di Google hanno dribblato le difese di diversi browser, come Safari, consentendo una raccolta illecita dei dati dei clienti e delle loro abitudini sul web.

Pur non avendo mai confermato le proprie responsabilitร  in merito, affermando vagamente per mezzo dei legali che in alcun modo Google si รจ mai impossessata di dati personali o sensibili, l’azienda ha optato per un pagamento record di 39,5 milioni di dollari per poter chiudere le cause legali in essere in 37 Stati americani.

Google Plus: l’integrazione invasiva

Per spingere il proprio social dalla ampia concorrenza – data anche l’ingombrante presenza del rivale Facebook – Google Plus ha recentemente introdotto il servizio di integrazione con Gmail.ย Con il risultato che tutti gli utenti della piattaforma social “made in Google” possono agevolmente identificare il profilo e scambiare messaggi con qualsiasi utente di Gmail, pur non conoscendone l’indirizzo di posta elettronica. Una mossa decisamente azzardata che potrebbe provocare alcuni grattacapi agli utenti, specialmente a quelli piรน famosi che si vedranno quindi sommergere da ondate di messaggi presumibilmente poco graditi.

Va detto a onor del vero che il sistema non consente agli utenti di visualizzare gli indirizzi mail di Gmail (visibili dal mittente solo se si sceglie di rispondere), ma soltanto il nome del profilo al quale inoltrare il messaggio.

Una volta ricevuto, questo viene automaticamente indirizzato dal sistema nella cartella “Social” al fine di ridurre l’impatto di questa nuova introduzione nella vita quotidiana degli utenti e non mischiare tali comunicazioni con quelle della posta in arrivo.ย Di default le impostazioni di Gmail permettono di essere contattati da chiunque, ma attraverso le impostazioni personalizzate รจ possibile spuntare la voce “nessuno” nel caso in cui non si vogliano ricevere mail da parte degli iscritti a Google Plus.

Google Plus: i nostri volti nelle pubblicitร 

Potrebbe inoltre capitare, durante la normale navigazione, di imbattersi nella pubblicitร  di un negozio, un locale o un determinato prodotto corredato dalla propria foto profilo a titolo di testimonial, il tutto magari condito da una piccola recensione positiva.

Si tratta in questo caso di un discusso metodo di incrocio dei dati da parte di Mountain View, solita collezionare le recensioni positive rilasciate dagli utenti su Google Plus per poi integrarle negli annunci pubblicitari che riguardano le aziende sponsorizzate.
Per quanti non desiderassero prestare il proprio volto a finalitร  commerciali, รจ possibile disattivare l’uso delle immagini personali aprendo le impostazioni dell’endorsement e rifiutando questa tipologia di impiego del profilo.

Google Maps ingordo di immagini

Le auto di Google, quelle munite di telecamera e impiegate per mappare fotograficamente le strade di tutto il mondo, si sono rese protagoniste negli ultimi anni di pesanti violazioni della privacy degli utenti.

Oltre alla pura e semplice raccolta fotografica, i sistemi informatici montati sulle autovetture hanno provveduto a scansionare ogni singola strada alla ricerca di reti wi-fi non protette per geolocalizzarle all’interno delle proprie mappe. La raccolta, perรฒ, non si รจ limitata alla memorizzazione dei soli identificativi della rete (SSID e MAC address) ma anche alla memorizzazione dei flussi di dati in passaggio sulle reti.

Una svista clamorosa catalogata come un “errore” da parte di Google, nonostante l’attivitร  di raccolta possa aver incidentalmente coinvolto anche il traffico di mail, documenti, password e quant’altro fosse a disposizione attraverso le reti pubbliche ma anche quelle domestiche, relativamente a quelle ancora non protette da password e quindi a libero accesso da parte di chiunque. Informazioni mantenute nell’archivio Google senza alcuna autorizzazione.ย Riguardo la semplice questione fotografica, il problema piรน evidente dei servizi Google Maps รจ legato alla possibilitร  di poter essere immortalati dagli obiettivi delle “Google car” in qualsiasi momento, in ogni angolo del mondo.

Se รจ pur vero che i software di Google provvedono in automatico a mascherare volti, citofoni, numeri di targa e altri dati sensibili che potrebbero portare all’identificazione di una persona, dall’altro รจ pur vero che in rari casi questi sistemi mancano l’obiettivo lasciando in chiaro uno o piรน di questi elementi.

Oppure, potrebbero ritrarre segni distintivi molto particolari (come una macchina o un vestito di colore insolito) che senza ombra di dubbio possono attestare la presenza di un individuo (o di un bene) in un dato posto, al momento dello scatto fotografico. In poche parole, una sorta di geolocalizzazione temporale che non tutti potrebbero gradire.ย Geolocalizzazione che puรฒ invece diventare precisa e continua nel caso in cui si scelga di installare l’applicazione Google Maps su un dispositivo mobile.

Di default le impostazioni prevedono la condivisione della propria posizione e la trasmissione di questa ai server di Google che, potenzialmente, possono memorizzare e gestire le informazioni relative agli spostamenti di milioni di persone nel mondo.

Android: tutti i dati in mano a Google

Piรน grave sotto l’aspetto della privacy degli utenti รจ il rapporto tra i dispositivi Android e Google. Se si usa uno smartphone o un tablet con questo sistema operativo รจ bene sapere che di default a partire dalla versione Android 2.2, Google immagazzina tutti i dati personali sui propri server, incluse le password di accesso alle reti wifi personali.

Si tratta in questo caso di una funzione di backup che oltre alle password immagazzina i siti preferiti, la lista delle App installate e le impostazioni personali del device, evitando cosรฌ all’utente di dover reinserire i dati tutte le volte e associandoli in automatico ad ogni nuovo accesso.

La funzione risulta particolarmente utile in caso di cambio del telefono o del tablet, poichรฉ in questa eventualitร  รจ sufficiente effettuare il log in con il proprio profilo Google e ripristinare tutte le impostazioni, ma al prezzo di un’enorme interferenza nella privacy dell’utente che di fatto consegna a terzi l’accesso ai propri account (Gmail, Youtube, Google Plus) e alle proprie password (inclusa quella wifi).ย Interferenze nella privacy degli utenti che perรฒ compaiono nero su bianco all’interno delle condizioni di utilizzo della piattaforma Google, spesso e volentieri accettate dagli utenti in modo frettoloso e senza la dovuta attenzione.