Navigazione anonima dubbi tra privacy e sicurezza …
Quando si naviga in internet si lasciano una marea di tracce informatiche su tutti i siti che vengono visitati. Per ragioni di gestione e sicurezza infatti i web server mantengono tracce del nostro indirizzo IP che viene assegnato in modo univoco dal provider ad ogni connessione.
Abbinando indirizzo IP e data / ora si ha la certezza dell’utenza che e’ transitata per un determinato sito.
In caso di router condivisi tra piu’ utenti rintracciare esattamenete la persona che ha visitato un sito diventa difficile ma alle autorita’ basta avere comunque un referente (intestatario dell’utenza) per procedere con gli accertamenti giudiziari.
L’intestatario dell’utenza e’ quindi responsabile del traffico che viene generato da essa.
Facciamo il classico esempio del pedofilo che scarica materiale pornografico da casa, se alle prime armi e’ facilissimo da rintracciare.
Diversamente, se utilizza strumenti come Tor Browser sara’ improbabile che possa essere rintracciato in quanto Tor appunto sfrutta un sistema di nodi (altri utenti che utilizzano TOR) che trasformano in continuazione il proprio indirizzo IP rendendo la ricerca a ritroso pressoche’ impossibile.
In rete esistono una gran quantita’ di programmi estremamente semplici da installare che camuffano l’identita’ di un utente sfruttando le caratteristiche dei proxy.
L’argomento e’ decisamente complesso perche’ se da un lato abbiamo la nostra privacy da tutelare dall’altro non possiamo trascurare che uno strumento come Tor Browser o i vari proxy anonymizer sparsi in rete possano essere utilizzato per scopi illegali e immorali.
Personalmente, trovo affscinante la tecnica di occultamento del proprio IP facendo passare le proprie richieste di navigazione attraverso diversi proxy sparsi per il globo ma ci deve essere sempre un controllo ed una possibilita’ di rintracciare chi commette crimini.
Se non esistesse la patente e le targhe alle auto come potremmo rintracciare i pirati della strada (ed e’ gia’ molto dura anche in questo modo) … quindi se non c’e’ un controllo o quanto meno un tracciamento delle azioni online come possiamo pensare di avere un riscontro nel caso in cui siamo noi le vittime del sistema?
Mi farebbe molto piacere leggere il vostro pensiero in merito.
Sapevo dall’inizio che questo tema era molto scottanre, mi dispiace solo che sia solo tu per ora a sentire la problematica … fammi sapere quando lo hai pubblicato che magari sul tuo blog viene piu’ seguito.
Mi piacerebbe sentire altre campane …
Ok grazie della disponibilità e per il parere espresso, portero’ questa discussione anche sul mio blog per “allargarla” (linkandoti ovviamente). Comunque di hacking non so molto di piu’ di un “power user”… non faccio l’informatico nella vita! :P Ho solo voluto creare (con le mie poche conoscenze a disposizione) un sistema che permettesse a tutti di essere anonimi online (non ci vuole molto… con programmi come remastersys ormai quasi chiunque puo’ creare una derivata di ubuntu).
E’ interessante uno dei paragoni che hai citato ora (quello fra anonimato e arma da fuoco)… e’ un paragone che molti anni fa fu tirato fuori negli USA contro che ha diffuso al pubblico il software PGP (usato in crittografia). L’autore di tale atto fu accusato all’epoca per aver diffuso al pubblico un “arma strategica” (la crittografia prima era solamente di uso militare… e il suo valore strategico era pari a quello della boma atomica!). In molti paesi per queste ragioni crittografare dati e’ addirittura illecito! (oppure e’ consentito, ma solo usando protocolli deboli che i governi possano “bucare”. Ad esempio negli USA alcuni algoritmi di crittografia erano credo fino a poco tempo fa, se non tuttora, illegali!). Il punto che tu ribadisci e’ sempre la risposta a questa domanda: Conviene illegalizzare la crittografia e rendere tutto palese per una maggiore sicurezza a scapito della privacy oppure e’ meglio nascondere tutto e chi si e’ visto si e’ visto? Tu hai fatto degli esempi (armi, automobile cion patente, ecc…) e hai detto le soluzioni finora utilizzate. Ma ti sei chiesto perche’ quelle soluzioni sono “valide”? La patente per guidare un auto non dimostra che tu, moralmente, puoi guidare e nemmeno che sei un criminale… in realtà prova solo che tu conosci il codice della strada e sai guidare. Quindi non e’ un mezzo per impedire ai criminali di guidare (quelli guidano lo stesso comunque… anche se non ce l’hanno) ma serve solo a dire che, in caso di incidente, te sapevi cosa stavi facendo (e magari hai volontariamente ignorato delle norme che dovevi conoscere); lo stesso per il porto d’armi…ma per usare TOR serve una “formazione”… direi di no. Inoltre chi emetterebbe questi “permessi” siamo sicuro che non sia pilotato… non si puo’ dire! Ergo… un certificato per usare TOR e’ inutile! In compenaso questo software, oltre che dai tanto odiati pedofili e spacciatori, e’ usato anche ad esempio dalle aziende per rendere inrintracciabili le comunicazioni da tenere riservate! (ti piacerebbe se i tuoi concorrenti spiassero il tuo traffico perche’ e’ in chiaro con la scusa della protezione dai criminali? io direi di no…) Come ti dicevo prima… secondo me l’unico modo per scovare i criminali dentro TOR in modo etico e non invadendo la privacy e’ andarli a cercare sfruttando le loro debolezze… esattamente come si fa offline! (tanto se uno va sul silk road e compra bamba la bamba non viaggia coi bit!… prima o poi salta fuori!, analogamente per il traffico di bambini dei pedofili…) Detto in parole spicce la patente e il porto d’armi sono un buon compromesso rischio/beneficio nel loro campo… il grande fratello nelle telecomunicazioni NON lo e’! Un po’ di protezione in piu’ dai criminali SECONDO ME non vale il poter sapere ogni dettaglio della vita di una persona! Altrimenti perche’ non mettere una telecamera in ogni casa privata!? Ah già … con microchip sottocute, smarthphone ed elettrodomestici sempre online (tutti ovviamente con software rigorosamente closed e pieno zeppo di backdoor e trojan) ci hanno già pensato… ti dico solo che un mio conoscente ha parlato tempo fa con un developer Microsoft che lavorava su Skype… gli ha chiesto perche’ il loro software e’ cosi’ buggato: Risposta: Noi siamo PAGATI per introdurre bug…
Ti ripropongo i tuoi stessi esempi (sia “informatico” che non) per risponderti (poi ti chiedo anche se posso riportare questa discussione sul mio blog, citandoti ovviamente perche’ la questione che hai espresso e’ interessante e riguarda anche il mio progetto). Come ti ho detto prima, su internet con TOR non sei “invincibile”… cio’ signidfica che se fai stupidaggini prima o poi verrai beccato! Al contrario di quello che sembra a prima vista, internet e’ piu’ sorvegliato di un viale in centro pieno di banche e di telecemere di sorveglianza! L’indirizzo IP e’ solo uno dei tanti dati che possono identificarti (e neanche il piu’ efficace…). Altri dati molto piu’ “mirati” al vero user sono i cookie e i pixel di tracciamento (per fare qualche esempio). Ora, ammettiamo che io mi metta a scrivere offese sul tuo sito e tu voglia denunciarmi…se gli investigatori sono un minimo competenti la prima cosa che faranno sarà appunto cercare questi 2 dati (e altri simili). Se io, disgraziatamente, ho attivato uno di questi giochini e dopo aver visitato con TOR il tuo sito, sono andato da un’altra parte in chiaro… beh puoi immaginare come finisce! :D Analoga fine mi tocca se mi connetto con un mio profilo a facebook o a altri siti dove serva il login e mi sia prima loggato in chiaro. (questa indagine potresti farla anche tu stesso… senza nemmeno scomodare la polpost per sapere di chi e’ il mio ip! :D ) Il capo di Lulzsec e’ stato beccato dall’FBI, nonostante per navigare usasse I2P (un sistema simile TOR) perche’ nell’entusiasmo dopo aver attaccato HBGary ha scritto il suo nome reale in un suo sito “coperto”! Basta quindi un attimo di distrazione e…
Analogo ragionamento lo puoi fare ad esempio coi metadati di video e immagini… spessissimo li puoi trovare ad esempio il luogo dove sono stati fatti i filmati (se ti dimentichi di levarli)
Oppure, anche senza essere cosi’ “tecnologici” anche i fotogrammi stessi di un filmato possono aiutare. Se ad esempio io realizzo un video dove commetto un reato e riprendo per caso (anche in un solo fotogramma) qualcosa di tipico dell’ambiente dove mi trovo (un monumento, una strada,… un cartello, un programma TV … o la mia faccia) do un sacco di indizi agli investigatori!
Per non parlare poi dei bug dei software… windows ne e’ strapieno e molti permettono il totale controllo di un PC (ergo. se l’attaccante usa windows, la sua fine e’ senza dubbio segnata). e se usa Mac o linux… anche li ci sono un sacco di bug non fixati ogni dato momento (fatti un giro sul bugtracker di Canonical…). Analogo discorso lo si puo’ fare con i browser web: Per IE vale la stessa cosa di windows, per gli altri anche li e’ possibile sfruttare molte falle non fixate (ad esempio, basta creare un sito web trappola che sfrutta bug di javascript per identificare un attaccante ignaro che non lo blocca con NOscript….magari si puo’ anche indurre lo sblocco dello script con qualche trappolina sociale… :D )
E infine c0’e’ sempre la vecchia amata ingegneria sociale! Ad esempio potrei spedire un trojan all’ignaro attaccante spacciandoglielo per qualcosa di interessante, oppure insinuarmi in una darknet whitelisted convincendone i membri…Bisignani, di cui forse ricorderai qualcosa dal caso Ruby che ha coinvolto il nostro ex premier, e’ stato beccato cosi’! Lui usava Skype di norma per comunicare anonimamente (perche’ cripta tutto e rende impossibile sniffare cosa viene trasmesso) ma e’ bastato un trojan spedito via mail per fregarlo!
Nota come con tutti questi attacchi IO NON MI SONO MAI INTERESSATO AL TUO IP REALE!
E’ questa e’ solo una piccola parte delle contromisure utilizzabili… alla luce di quanto ti ho mostrato, com’e’ il rapporto rischio/beneficio ora? (tieni conto che netlog e’ pieno di pedofili in chiaro e nessuno fa niente… quindi perche’ preoccuparci proprio delle darknet cosi’ ossessivamente?)
Per quanto invece riguarda l’altra obiezione che hai fatto: “Nel caso dei pedofili pensi che sia giusto lasciare che un malato di questa natura possa usare anche TOR per i suoi scopi? Lasciamo nel rispetto della sua privacy che usi uno strumento del genere andando di fatto a compiere un’azione altamente immorale o dobbiamo in qualche modo garantire la sicurezza delle vittime facendo in modo che questo tizio non lo usi?”
La vera risposta da dare (parere personale, criticabile quanto vuoi) dovrebbe essere secondo me data dal punto di vista pratico e non “morale” : Spedire i fruitori di materiale pedo (non i pedofili stupratori … i releaser dei filmati nelle darknet ci sono da sempre) nelle darknet e’ stata una buona mossa per contrastare la pedofilia online? In tutta sincerità non credo e ti spiego subito il motivo: Prima i releaser nelle darknet avevano la possibilità di scambiare materiale tendenzialmente solo con altri releaser (perche’ i semplici fruitori, non essendo punibili dalla legge, non si andavano a complicare la vita accedendo a questi sistemi, sicuramente piu’ complicati di un normale sito web). Ora cos’e’ successo? Perseguendo tutti indistintamente abbiamo fatto in modo che “domanda e offerta” si incontrino forzatamente in un luogo di piu’ difficile esplorazione per gli investigatori! (ergo, da bravi furbi quali siamo ci siamo complicati la vita) e sopratutto adesso le autorità hanno una scusa piu’ forte per “criminalizzare” le darknet stesse (questo e’ il vero obiettivo di queste leggi liberticide sulla libertà di parola). e lo stesso discorso lo si puo’ fare con molti altri argomenti, anche nella vita reale (droga, anoressia, ecc….) e veramente cosi’ furbo dal punto di vista pratico censurare questi siti e favorire postacci come il Silk Road?
@abcbuntu
Certo che puoi usare questo articolo come spunto per altre discussioni. L’intenzione iniziale era proprio quella di creare una chiacchierata in merito alla sottile linea privacy / sicurezza.
Io sia ben chiaro (forse hai frainteso i miei interventi) NON criminalizzo a prescindere TOR e simili con NON criminalizzo indistintamente chi utilizza questi strumenti.
Io dico soltanto e’ giusto, in virtu’ della privacy lasciare senza un controllo diretto che tutti possano fare tutto senza essere tracciati?
Il fatto che poi esistano altri strumenti di indagine questo e’ un effetto indiretto appunto del NON controllo della rete.
Sicuramente ne sai piu’ di me di darknet, hacking & company … io mi pongo al di fuori della conoscenza informatica in questo momento e chiedo quanto sia giusto e se sia giusto lasciare un uso incontrollato della rete.
Che ci sia un controllo di base e’ naturale ed ovvio e spero che chi sta’ dall’altra parte faccia quotidianamente il suo lavoro perche’ da sempre le informazioni fanno vincere le guerre ed oggi lo strumento per eccellenza per diffondere le informazioni e’ internet.
Ripropongo temi reali, perche’ prendere la patente visto che la strada e la liberta’ di spostarsi e’ sacra? A che serve immatricolare un’auto se e’ mia e posso andarci e farci quel che mi pare? Perche’ devo prendere il porto d’armi per acquistare una pistola? Perche’ devo registrare al catasto una mia costruzione?
Per essere rintracciato … che ci piaccia o no e’ una cosa necessaria per il bene collettivo (di contro c’e’ che poi questo essere rintracciati puo’ essere strumentalizzato da pochi per scopi personali o diversi e’ una possibilita’)
Oggi sento molti professionisti che dicono “basta mi sono rotto le scatole dismetto la partita iva e mi metto in nero” … perche’?!? Perche’ per lo stato e’ piu’ facile rintracciare e tassare chi ha la partita iva che andare a scovare nel torbido gli evasori.
Mettiamo che tutti dismettano la p.iva che succede?
@abcbuntu
Innanzitutto ti ringrazio per l’intervento … la domanda che pongo appunto nell’articolo e’ sicuramente molto complessa e difficile da trattare perche’ vede diritti da ambo le parti.
Da un lato c’e’ l’uso di internet salvaguardando la propria privacy, dall’altro c’e’ la gestione della sicurezza per salvaguardare la propria persona … e’ purtroppo una bella gatta da pelare anche se ci si ragiona esternandosi completamente dal modo di fare abituale.
Uso giornalmente per lavoro strumenti informatici e tendenzialmente posso affermare che non esistono strumenti buoni o cattivi se non nell’utilizzo che ne viene fatto a parte quelli che volutamente sono creati per uno scopo (un virus informatico per intenderci e’ uno strumento creato appositamente per spiare, danneggiare dati etc.)
Una pistola fondamentalmente e’ inerte, se la prendi in mano e spari ad un muro con una serie di cerchi concentrici si puo’ chiamare sport, se spari ad un animale si puo’ chiamare caccia, se spari ad una persona si puo’ chiamare omicicio.
Nel caso di TOR ma comunque in genere per gli strumenti che “garantiscono la privacy” non hanno uno scopo di creazione dannoso. L’idea che sta’ alla base e’ quella di rendere non tracciabile un indirizzo IP per salvaguardare la privacy nella navigazione di quell’IP e quindi della persona che lo usa.
Facciamo qualche caso pratico.
Se “per esempio” vieni su questo blog ed offendi la mia persona, la mia famiglia e lasci un commento degno di denuncia e sei venuto qui utilizzando TOR o dei proxy anonymizer io non ho praticamente modo di rintracciarti anche denunciandoti. In questo caso tu hai leso me ed io non ho mezzi per difendermi e TOR e’ stato usato per uno scopo illecito!
Mi hai risposto alla domanda idiota “e per i pedofili online? Li lasciamo agire indisturbati nelle darknet? dicendo mi questo : Se io fossi un pedofilo e vorrei adescare bimbi da inchiappettare dove li vado a cercare? Sulle darknet o su Netlog? (oppure li prendo in casa mia? lo sai che la maggioranza delle violenze sessuali sono commesse da amici e familiari delle vittime?).
Sinceramente non so dove e come i pedofili vanno ad adescare i bimbi ma permettimi di dire che anche la darknet puo’ essere usata a tale scopo esattamente come tutti i canali informatici e non. Se il signor pinco palla ha un obiettivo (poco legale) trova i modi legali o illegali per arrivare a cio’ che si e’ prefissato.
Nel caso dei pedofili pensi che sia giusto lasciare che un malato di questa natura possa usare “anche” TOR per i suoi scopi? Lasciamo nel rispetto della sua privacy che usi uno strumento del genere andando di fatto a compiere un’azione altamente immorale o dobbiamo in qualche modo garantire la sicurezza delle vittime facendo in modo che questo tizio non lo usi?
Quindi, come fai a dire che usare TOR sia giusto o sbagliato se non sai cosa ci passa dentro? La liberta’ di espressione e navigazione si contrappone alla sicurezza c’e’ poco da fare.
Che sia informatica la problematicha o reale esiste il fatto che c’e’ una sottile linea che divide il diritto alla privacy ed il diritto alla sicurezza ed entrambe devono essere tutelate per il bene comune.
Facciamo un esempio NON informatico simile a quello dell’auto che ho citato nell’articolo.
La liberta’ di manifestazione e’ sacrosanta, durante la manifestazione alcuni elementi camuffati e non riconoscibili bruciano auto, spaccano vetrine, feriscono altre persone. Come fai a separare adesso chi ha manifestato per un diritto reale dalle “persone” che invece usando la scusa della manifestazione per provocato danni a cose e persone visto che erano mascherati?
Ripeto, non sono un fan di uno strumento specifico e ci tengo sia alla privacy che alla sicurezza … quale potrebbe essere un giusto compromesso che garantisce privacy e sicurezza?
Ecco cosa ne penso (da fan di TOR e similia)… E’ tutta una questione di fare un rapporto rischio/beneficio. Al giorno d’oggi in Italia (non parliamo di Cina… li credo sia ovvio cosa sia meno rischioso per un internauta…) e’ piu’ conveniente avere una sorta di “Big Brother” che controlla tutti e becca i criminali prima che commettano crimini (stile “minority report”) oppure e’ piu’ giusto tutelare la liberta di parola da ogni oppressore? Ma tu mi dirai… “in Italia non ci sono oppressori! Questo e’ un paese LIBERO!!! N”
Scusa il doppione..problemi di tastiera! :D
Ecco cosa ne penso (in quanto fan di TOR e similia) E’ tutta una questione di fare un rapporto rischio/beneficio. Al
giorno d’oggi in Italia (non parliamo di Cina li credo sia ovvio cosa sia meno rischioso per un internauta) e’ piu’
conveniente avere una sorta di Big Brother che controlla tutti e becca i criminali prima che commettano crimini (stile
minority report) oppure e’ piu’ giusto tutelare la liberta di parola da ogni oppressore?
Ma tu mi dirai in Italia non ci sono oppressori! Questo e’ un paese LIBERO!!! Non c’e’ bisogno di nascondersi! Se lo fai lo fai solo per violare la legge!”
…beh… anche Hitler diceva “chi non ha nulla da nascondere non ha nulla da temere”… poi sappiamo com’e’ finita! Ti faccio un esempio pratico, forse preso anche dalla tua vita di tutti i giorni per farti capire meglio.
Tu sei un povero operaio/impiegato sottopagato; sai che il tuo datore di lavoro non rispetta i tuoi diritti, minaccia magari ogni giorno la vita tua e dei tuoi colleghi, oltre a inquinare a tutto spiano mettendo in pericolo anche la tua famiglia che abita poco distante dalla fabbrica. Vorresti parlare e denunciare al mondo queste atrocità per chiedere aiuto… ma sai che se lo fai come minimo perdi il posto di lavoro e finisci in mezzo a una strada oppure vieni denunciato per “diffamazione”. Allora cosa fai? Rimani omertoso o ti esponi a morte sociale certa? E’in queste occasioni che servono i servizi di TOR!
Ma ora dirai… “e per i pedofili online? Li lasciamo agire indisturbati nelle darknet?” Scusa se mi permetto… ma a domanda idiota si risponde con una risposta idiota! Se io fossi un pedofilo e vorrei adescare bimbi da inchiappettare … dove li vado a cercare? Sulle darknet o su Netlog? (oppure li prendo in casa mia? lo sai che la maggioranza delle violenze sessuali sono commesse da amici e familiari delle vittime?) Se mi dici darknet credo che meriti solo un bello schiaffone!
:D Indi… controllare le darknet coi pedofili adescatori e’ inutile! (non sono il loro “terreno di caccia”) Ma tu mi dirai ancora… “e il business enorme della pedopornografia? se becchiamo chi diffonde i file li troviamo i pedofili!” Vero… ma tu, guardando in rete solo chi condivide quel tipo di materiale, riusciresti a discriminare fra il violentatore e il semplice deficiente che va a curiosare dove non dovrebbe? (non so come ragionano i pedofili… ma obiettivamente non
credo che tutti quelli che guardano un film con cicciolina costretta inculata a sangue da 3 negroni siano automaticamente anche dei violentatori nella realtà ! Saremmo messi male se fosse davvero cosi’! :D)
Non e’ forse piu’ furbo (e ovvio, anche senza considerare questo fattore) far studiare il video da esperti per trovare indizi su dove e’ stato girato, su chi e’ la
vittima? Ti sembrerà strano… ma e’ con questo sistema che la polizia scova davvero i pedofili online! (oppure, se gli piace vincere facile, gli basta andare su netlog a caccia di “nonnetti” con centinaia di “amici” dodici-tredicenni! … sono cosi’ rari? …Vai e controlla tu stesso!)
Detto questo… chiediti perche’ tanto accanimento dei media contro le darknet, chiediti perche’, secondo loro, e’ cosa furba chiudere questi luoghi virtuali e incatenare internet… chiediti se il cercare i pedofili-esibizionisti (perche’ devono essere doppiamente dementi, sia pedofili sia esibizionisti,non basta essere solo pedofili per commettere questi reati, filmarsi e mettersi online alla merce’ del mondo…), chiediti quanti possano essere rispetto al numero totale di pedofili quelli di questa categoria particolare e, sapendo che TOR ti nasconde ma NON TI RENDE “INVINCIBILE” (Anonymous poco tempo fa ha chiuso il piu’ grande sito pedo al mondo su TOR e svelato gli ip dei frequentatori) fai il rapporto richio/beneficio che ti ho citato all’inizio … poi rispondimi.