PRIVACY: UNA
NE TROVI CENTO NE LASCI...
Ripreso
dall’articolo di
Elliot Zaret e Scholle Sawyer
Il
mondo online, lo sappiamo, ha i suoi vantaggi, ma così come è facile
per voi trovare un' informazione on-line, altrettanto lo è per gli
altri trovare informazioni su di voi.
Se
siete connessi alla Rete, vi serve protezione
.
Mondo
delle transazioni online. Nel giro di poche ore avete comperato in Rete
i biglietti aerei per le vostre, vacanze a Ibiza, una guida turistica in
una libreria online e avete cercato informazioni sui newsgroups.
Tutti
contenti, controllate la vostra casella email e ne escono 45 messaggi
che vi promettono "XXX BRIVIDI BAGNATI A IBIZA", nonché,
naturalmente, la possibilità di guadagnare centomila dollari al giorno
spedendo due email. Trovate anche due messaggi di due tizi, sconosciuti
e non rassicuranti, che hanno letto la vostra richiesta sul newsgroup,
da lì sono andati alla vostra home page ed hanno trovato il vostro
indirizzo.
Il
mondo online, lo sappiamo, ha i suoi vantaggi, ma così come è facile
per voi trovare informazione online, altrettanto lo è per gli altri
trovare informazioni su di voi.
C'è,
lì fuori, un mondo pieno di persone che vogliono rubarvi il numero
della carta di credito, in cui subdoli pubblicitari desiderano
ricostruire i vostri movimenti in rete e le vostre abitudini di consumo.
Sull'internet
possono trovarsi informazioni d'ogni tipo su di voi: ed è alla portata
di quasi chiunque l'unire quei punti sparsi sulla Rete fino a delineare
un vostro ritratto perfettamente somigliante.
Se
siete connessi alla Rete, vi serve protezione.
IP
ovvero Internet Protocol
Navigare
su internet, ovvero fare il cosiddetto “Web-surfing” sembra, a prima
vista, un'esperienza piacevolmente anonima. Nessun curioso insomma a
vedere che biancheria acquistate o che libri vi piacciono...
La
realtà è molto diversa.
Non
appena vi connettete all'internet, stabilite difatti una relazione di
dare e avere.
Ogni
volta che scaricate una pagina Web, il vostro browser invia al server:
-
un'informazione
sul tipo di browser e sul sistema operativo che usate
-
un’informazione
sull’ indirizzo della pagina da cui siete arrivati a quel sito
-
il
vostro indirizzo IP (internet protocol) ovvero un numero che
identifica il vostro computer (ogni computer ha un suo IP)
Quest'informazione
è per solito conservata in un "log", un file che tiene
esatto conto di ogni pagina richiesta a un server Web, e che rintraccia
gli indirizzi IP che richiedono la pagina.
Dei
programmi sofisticati sono in grado di elaborare i file log e di mettere
così assieme un profilo della vostra visita: quali pagine avete
visitato, quanto a lungo vi siete soffermati su ognuna delle pagine e
perfino dove vi siete diretti quando avete abbandonato quel sito (nel
caso abbiate fatto clic su un link ivi contenuto).
Una
volta in possesso del vostro IP, chiunque può ricavare la vostra
provenienza.
Per
esempio, con la funzione Lookup Domain del noto shareware Anarchie 3.7
di Stairways Domain (www.stairways.com) è possibile inserire un
indirizzo IP e trovare senza difficoltà il nome di dominio di un utente.
COOKIES
Un
cookie è un pezzetto d'informazione che il sito vuole conservare sul
vostro hard disk in modo da riconocervi e conoscervi. Si veda in
proposito l’articolo “Spunti
su come tutelare la propria privacy” e “Cookies:
se li conosci li eviti” .
Il
vostro computer conserva tutti questi pezzetti d’informazione in un
"cookie file".
I
siti possono ricostruire facilmente quello che avete fatto nel corso di
una visita, ma la cosa è più complicata quando si lascia il sito e si
ritorna più tardi.
È
qui che entrano in scena i cookies.
I cookies permettono ai siti di tener traccia della vostra identità
anche se siete stati lontani dal sito per un pò.
E
in questa maniera che Amazon.com vi riconosce e vi raccomanda dei libri
ogni volta che tornate al sito, senza nemmeno richiedervi un login.
È
nella stessa maniera che la pagina personalizzata www.excite.it si apre
sulle notizie di vostro maggiore interesse, o il sito del New York Times
ricorda il vostro ID. Se mai avete effettuato la registrazione a un sito,
esso potrebbe aver associato tutte queste altre informazioni al vostro
nome, cognome indirizzo di casa ed email.
A
chi interessano i nostri cookies?
Di
per sé i cookies non sono un male, rendono più comoda la navigazione.
Quando
però i cookies vengono messi nel vostro computer ed usati per seguire
il vostro peregrinare di sito in sito, le agenzie di pubblicità online
(dette "profiler")
possono costruire un profilo abbastanza completo delle vostre abitudini
ed usarlo per porre delle reclame mirate.
I
profiler sostengono che la loro attività non sia di danno a nessuno e
di non sapere veramente l'identità dei destinatari dei loro cookie.
D'altra
parte essi sostengono di rendere un servizio all'utente, fornendogli
pubblicità su misura.
Ma
prendete l'esempio della compagnia DoubleClick, un popolarissimo
profiler usato da molte aziende. È diventata oggetto di un'azione
legale per invasione della privacy, dopo aver acquistato, lo scorso
anno, un database di direct-mail di nome Abacus Direct.
L'acquisto
di Abacus diede a DoubleClick la possibilità di portare i "profili"
più lontano.
Il
database Abacus contiene quasi tre miliardi di transazioni operate in
negozi quali Bloomingdalès, tutte con i nomi e gli indirizzi dei
clienti.
Con
quelle informazioni, DoubleClick era in grado di ricostruire le
abitudini di navigazione e di associarle a nomi e a indirizzi e numeri
di telefono, nonché ai vostri consumi tradizionali. In breve, portata
in giudizio, DoubleClick ha dovuto promettere di non collegare i due
database. Per il momento, almeno.
Proteggere
la navigazione
Vi
stanno venendo i brividi? Potete prendere subito delle misure protettive:
quasi tutte implicano la rinuncia ad un pò di comodità in cambio della
privacy.
SURFING
ANONIMO
Un
modo di impedire che le vostre navigazioni vengano monitorate è
nasconderle.
A
questo scopo, recatevi a questo sito di nome Anonymizer (www.anonymizer.com)
e usate il suo servizio di anonimizzazione. Inserite un indirizzo Web
che volete visitare e il servizio usa il suo server per mascherare la
vostra identità mentre navigate. Il surfing anonimo è assolutamente
l'unico sistema per sospendere la trasmissione del vostro IP ogni
qualvolta visitate un sito.
Potete
usare il servizio gratuitamente, sopportando un lieve ritardo
nell'apertura dei link, o pagare per prestazioni più brillanti. Il sito
medita di offrire anche, ai membri paganti, un servizio per bloccare
applet Java e JavaScript. Anonymizer fornisce anche email anonima e ISP
anonimo.
ATTENTI
AI COOKIE
Se
quest'ultima vi pare una soluzione estrema, avete la scelta di accettare
che i siti conoscano il vostro indirizzo IP e quindi di farvi furbi
rispetto ai cookies (nelle connessioni dinamiche, tuttavia, avrete un IP
diverso ad ogni connessione).
I
siti più seri offrono l'opzione di non accettare i cookie. Di solito
questa possibilità è illustrata in una pagina che contiene la policy
del sito.
Il
Web del CDT, Center for Democracy and Technology (http://opt-out.cdt.org/online/),
vi conduce nel processo in molti dei principali portali, siti di
e-commerce, profiler. Questa scelta vuole però un pò di tempo e di
sforzo e potrebbe non funzionare, dal momento che è lasciata
all'iniziativa delle aziende.
Le
versioni correnti di Internet Explorer e di Netscape Communicator hanno
funzioni di sicurezza che impediscono ai siti di ottenere il vostro
indirizzo email o di accedere ai vostri file senza permesso, ed entrambi
i browser offrono la possibilità di disabilitare in modo semplice la
ricezione dei cookie.
Disabilitare
i cookies sembra la trovata definitiva, detta così: la pratica è però
ben diversa.
In
primo luogo, alcuni siti di e-commerce richiedono tassativamente i
cookies per tener traccia di quello che avete acquistato. Quando
disabilitate i cookie, i browser faranno apparire una finestra di
dialogo si/no ed emetteranno un beep per avvertirvi ogni volta che il
server stia cercando di inviarvi un cookie: e potrebbe essere una decina
di volte per ogni pagina Web. Si capisce come la navigazione diventi, in
queste condizioni, impossibile.
L'ultima
versione di Internet Explorer, la 5, presenta qui un miglioramento
significativo, permettendovi di bloccare i cookie senza tutti i beep e
le finestrelle.
Se
volete sapere quali cookie abbiate raccolto con Explorer,
aprite Preferenze e, dal pannello sulla sinistra, scegliete Cookie dalla
sezione Ricezione archivi. Apparirà la lista dei cookie. Selezionate
quelli che non volete e cancellateli.
SOFTWARE
ANTI-COOKIE
Per
chi usa Netscape o versioni vecchie di Explorer, esistono alcuni
programmi che se la vedono con i cookies, e alcuni hanno funzioni che ne
rendono l'uso consigliabile anche con Explorer 5.
MacWasher
di Webroot (www.ebroot.com/macwasher.htm), shareware, è il più
completo del gruppo. Quest'utility ripulisce il file cookie a intervalli
regolari configurabili o nel corso dell'avvio o della chiusura.
MacWasher vi permette di selezionare dei cookie e dei file che non
volete cancellare, in modo da poter ancora accedere in tutta comodità
ai siti preferiti.
Se
non volete spendere, ecco due freeware: No Cooki 2.0 di 1.0
Technologies (www.one-pointoh.com/products/NoCookie/) e MagicCookie
Monster di Dr. Jon's Software (http://download.at/drjsoftware). No
Cookie vi permette di vedere che cosa ci sia nel file coockie, di
cancellarne i contenuti e di disabilitare il file così che non possa
salvare nuovi cookie ma induca il browser a non fare beep. L'unico
problema di No Cookie è l'approccio "tutto o niente" mentre
invece, come si è detto, certi cookie voi potreste volere o aver
bisogno di conservarli.
No
Cookie usa il machete, MagicCookie Monster il bisturi. Con quest'utility
si può modificare il file cookie, cancellando con criterio i cookie
indesiderati. Non si può disabilitare il file cookie, e dunque i cookie
ritorneranno a farsi vivi.
Un'altra
soluzione è usare i due software in tandem. Usate MagicCookie Monster
per cancellare i cookies che non volete; quindi eseguite No Cookie per
disabilitare il file cookie e tener fuori quelli nuovi. Ciò vi permette
di mantenere le registrazioni automatiche ai siti di vostra scelta.
Un'altra
soluzione contro la pubblicità aggressiva: Lightspeed Surfer di
Override Software (www.overridesoft.com/lightspeed/), shareware, che non
blocca solo i cookie ma anche le pubblicità. Infatti, con quest'utility
attiva, al posto dei banner, spesso ingombranti, vedrete un box con un
link.
Ma
Lightspeed Surfer non limita a questo le sue prerogative: blocca anche
applet Java, JavaScript e plug-in, tutte cose che possono comportare
problemi di sicurezza, anche se soprattutto su sistemi Windows.
Naturalmente si paga un prezzo: si perdono le potenti funzioni provviste
da alcuni applet Java, quali le quotazioni di borsa in streaming e la
chat in tempo reale. Inoltre i browser già possono escludere Java e
JavaScript, dunque quest'applicazione potrebbe essere ridondante.
Il
vostro peggior nemico
Il
vostro peggior nemico, quando si venga alla sicurezza in rete, siete
voi. Qualunque dato che affidiate a un modulo online, e specialmente i
dati personali, è selvaggina per i pubblicitari o per gli hacker.
La
maggior parte delle informazioni, si tratti di email, di una foto o di
dati in un modulo, viaggia sulla Rete in pacchetti. Essi rimbalzano da
un server all'altro fino al computer di destinazione. Gli hacker hanno
dei programmi che possono risiedere su un server e leggere abusivamente
tutti i pacchetti che vi transitano, così che il suo proprietario possa
intercettare informazioni che vi riguardano quando e come vuole.
PROTEGGETE
LE PASSWORD
Si
possono lasciar trapelare informazioni delicate senza nemmeno
accorgersene. Le tre password della vostra carta di credito e dei conti
correnti di solito sono cose tipo il nome da ragazza di vostra mamma, la
vostra data di nascita, il numero della patente. Non le direste a
nessuno, no? Pensateci bene.
Se
siete appassionati di genealogia, potreste aver postato il nome della
mamma sulla vostra home page o su un sito o newsgroup di genealogia. Lo
stesso dicasi per la data di nascita. Se sospettate che qualcuno si sia
impadronito di vostri dati personali, non dovete indugiare e agite in
fretta.
SOLO
SITI SICURI
In
alcuni casi, tuttavia, vi toccherà dare delle informazioni in cambio di
altre informazioni utili. In questo caso, seguite queste semplici
precauzioni. Richiedete un sito sicuro ogni volta che date
un'informazione del genere. Potete controllarlo in due modi: il
lucchetto nell'angolo inferiore sinistro della finestra del browser
dovrebbe risultare chiuso, e l'URL dovrebbe iniziare con
"https://" anziché "http://" (dove la "s"
sta per "secure").
Il
puzzle
Abbiamo
detto dei diversi modi in cui delle persone a vario titolo
malintenzionate possono impadronirsi di informazioni delicate sul Web,
ma il vero pericolo è la facilità con cui queste informazioni possono
venire ricomposte per giungere a comporre un profilo online attendibile
del loro titolare.
Un
esempio: un certo TrippaSprint" manda un'email a un certo sito,
chiamandone il creatore "babbeo". Costui fa una ricerca Web,
diciamo con AltaVista, dell'indirizzo hotmail di TrippaSprint (per
sapere come si effettua una ricerca efficace in AltaVista, vi rimandiamo
al servizio "Camera con AltaVista" contenuto in TuttoMacintosh
2000, che potete ancora trovare in edicola) TrippaSprint ha messo
quell'indirizzo sulla sua home page, insieme con il suo curriculum,
informazioni sulla sua famiglia e le sue attività nella parrocchia. Il
vendicativo creatore del sito, a quel punto, non deve fare altro che una
ricerca sui newsgroup di Usenet per scoprire messaggi di TrippaSprint su
vari gruppi, magari quel genere di gruppi che uno non ama far sapere in
giro di frequentare. Trovato quindi il numero di telefono del suo
ufficio e della sua parrocchia, l'offeso ha tutti gli elementi per
ricattare il povero TrippaSprint. Il prezzo? Egli dovrà mettere sul suo
sito un banner che dice "sono un babbeo". È una storia vera,
vi state forse domandando? Mettiamola così: potrebbe benissimo esserlo.
I
GRUPPI DI DISCUSSIONE NON SONO PRIVATI
È
bene mettersi il cuore in pace e imparare dalla triste vicenda di
TrippaSprint. Se partecipate a un gruppo di discussione, sappiate che i
vostri messaggi vengono archiviati e che chiunque potrà ricercare i
vostri interventi inserendo il vostro nome o indirizzo in un sito
chiamato Deja.com (già Deja News). Vedi in proposito l'articolo Google,
650
milioni di messaggi privati, ma non proprio pensavate che le
vostre chiacchere rimanessero vostre?
Deja.com
è un sito che archivia, in un database pubblicamente consultabile,
tutti i messaggi a tutti i newsgroup di Usenet (Macwold Italia ne ha
parlato abbondantemente nella rubrica Pianeta Internet di luglio/agosto
1999). Non è difficile immaginare i molti utilizzi commerciali di
questo genere di servizio: per esempio, ricercare i pareri degli utenti
a proposito di un software che vi interessa e fare così a meno delle
guide all'acquisto di Macworld Italia... Ma oltre a questo esistono usi
molto più subdoli: potreste aver diffamato qualcuno su un gruppo, o
aver pubblicato materiale osceno o altrimenti illegale, o trafficato
droghe o armi. Ce ne sarebbe abbastanza per rendervi la vita molto
infelice. Insomma: tutto quanto risieda sul WWW non è privato per
niente.
EMAIL:
ATTENTI A DOVE LA LASCIATE
C'è
un'ultima ragione di cautela quando si venga ai newsgroup: gli
"spammer", cioè gli autori dei bombardamenti di posta
pubblicitaria, usano dei programmi che dragano i newsgroup e raccolgono
tutti gli indirizzi email. È proprio grazie a queste tecniche che vi
ritrovate la casella di posta intasata delle pubblicità più assurde,
inutili o addirittura imbarazzanti.
Per
evitare lo spamming, o più genericamente per tener celato il vostro
indirizzo email, usate un account anonimo basato su Web, come Yahoo Mail
o Hotmail o Eudora Mail o Netscape Mail... ce ne sono tantissimi tra cui
scegliere, e sono utili anche per le registrazioni online ai siti,
un'altra potenziale sorgente di spamming.
Per
confondere davvero le vostre tracce, è necessario che vi procuriate
almeno due diversi indirizzi email, per essere in grado di alternarli
efficacemente. Nessuno, infatti, potrà in questo modo tracciare un
vostro indesiderato profilo. Se la cosa vi sembra troppo laboriosa,
usate un portale d'informazioni personali sicuro e gratuito come Yodlee
(www.yodlee.com) per controllare in una volta sola tutti i vostri
account email.
Ecco
poi un modo per consentirvi di divulgare il vostro indirizzo eludendo
gli spammer: inserite nel campo dell'indirizzo di risposta del
programma di email un indirizzo falso o distorto (per esempio,
macworld@idg.it potrebbe diventare macworldNOSPAM@idg. it) e mettete nel
corpo del messaggio delle istruzioni perché i vostri corrispondenti
possano ricostruire l'indirizzo genuino.
L'ultima
parola
Le
precauzioni che deciderete di prendere dipenderanno alla fine dal grado
di riservatezza che riterrete vi sia necessario. Va pur riconosciuto che
è molto probabile che si possa postare e navigare, acquistare e
chattare senza alcuna precauzione per una vita intera, senza mai subirne
nessuna conseguenza negativa. Ma, a questo punto, l'interrogativo
dovrebbe essere: perché correre rischi, quando basta così poco per
essere (relativamente) sicuri?
Mac
a prova di hacker
Quando
vi trovate connessi all'internet perpetuamente, perché avete una
connessione DSL o altre tecnologie di connessione ad alta velocità,
l'internet è costantemente connesso con voi. Milioni di persone possono
sondare il vostro Mac, 24 ore su 24, sette giorni alla settimana. Vi
fidate di tutti? Di sicuro no.
Usando
un Macintosh, vi trovate a essere immuni da molti problemi che funestano
il mondo Windows. Nella sua configurazione attuale, il Mac OS non è
vulnerabile agli spammer o ad altri screanzati. Per esempio, nessuno può
dirottare il vostro Mac per trasformarlo in uno "zombie
attacker", com'è avvenuto con molti PC durante il recente attacco
"a rifiuto del servizio" contro Yahoo e altri grandi siti. È
tuttavia importante prendere delle misure di sicurezza. Se eseguite sul
Mac un server Web o email dovreste proteggere i dati meglio che potete.
Una prima soluzione è senz'altro il firewall.
PORTE
DI CHIAMATA
I
programmi internet comunicano tramite porte. Non sono come le porte
fisiche sul computer, ma prese software, identificate da numeri, sulla
vostra connessione internet. Molti numeri di porte sono standardizzati:
la porta 25 per l'invio della posta; la porta 80 per il server Web. I
server e alcuni programmi per l'internet "ascoltano" porte
specifiche e rispondono alle connessioni in arrivo: quando abilitate la
Condivisione Web, essa, per default, risponde alle connessioni sulla
porta 80. I firewall possono abilitare o bloccare connessioni su certe
porte o, spesso, da indirizzi internet specificati. Immaginiamo che
vogliate usare Condivisione Web (o la condivisione file con funzioni
internet di Mac OS 9) per accedere, dal posto di lavoro, a file
residenti sul computer di casa. Oltre a proteggere il vostro Mac con una
password, potreste configurare un firewall in maniera che permetta
accesso solo alla porta 80 (Condivisione Web) o 548 (Condivisione File)
dal vostro computer al lavoro. In questo modo, potreste accedere ai file
dal lavoro, ma il firewall rifiuterebbe ogni tentativo di connessione al
vostro Mac da parte di altri computer.
OPZIONI
La
vostra connessione perpetua potrebbe usare un semplice router hardware,
soprattutto se avete più di un indirizzo IP statico. Se è così, quel
router potrebbe offrire delle funzioni di firewall di base, ma potrebbe
toccarvi di configurarlo attraverso un client Telnet: e probabilmente
non avrà funzioni di logging. Open Door networks (www.opendoor.com)
offre DoorStop Personal Edition, un semplice firewall progettato per
proteggere il Macintosh su cui sia installato. L'interfaccia di DoorStop
è piuttosto confusa, ma la configurazione è semplice. Il software
funziona con servizi comuni come la Condivisione Web, Condivisione File,
Timbuktu, Retrospect e FileMaker. Una versione Server ($ 300) offre
opzioni di configurazione più flessibili per i Mac usati come server.
NetBarrier di Intego (www.intego.com), 150 dollari, protegge il computer
su cui viene installato ma offre un'elaborata interfaccia con strumenti
di misurazione del traffico e opzioni di configurazione. A differenza di
DoorStop, NetBarrier può filtrare la posta in entrata e in uscita.
NetBarrier protegge contro alcuni attacchi a rifiuto del servizio e
individua gli scanning delle porte, che indicano di solito un
malintenzionato in cerca di un servizio da usare. Questo programma
rimedia anche a un punto debole di Open Transport mescolando le sequenze
TCP così che diventi difficile dirottare una sessione internet.
NetBarrier 6 è fin troppo per la maggior parte degli utenti, ma ha
funzioni uniche. Se dovete connettere numerosi computer all'internet,
dei router software come SoftRouter di Vicomsoft (100 dollari)
IPNetRouter di Sustainable Softwork (90 dollari) aggiungono funzioni di
firewall a una rete intera. Tuttavia, entrambi i prodotti richiedono
notevole perizia tecnica.
STRATEGIE
DI SICUREZZA
Due
sono gli approcci di base al firewall: si possono abilitare
selettivamente le connessioni oppure negarle selettivamente. Il primo
approccio è più conservativo: il firewall blocca tutte le connessioni
eccezion fatta per quelle specificamente abilitate. Il secondo approccio
è meno sicuro, ma anche più pratico. Non dovrete ricordarvi di usare
FTP Passivo (impostazioni avanzate del pannello di controllo Internet) o
di riconfigurare il firewall quando installate qualcosa.
TIRARE
IL FIATO
Un
firewall non protegge da tutte le possibli minacce che viaggiano
sull'internet: non può nulla contro un cavallo di Troia o un documento
di email infettato da virus, e i siti Web continueranno a pedinarvi, ma
certo ne può sventare parecchie.
(articolo
del 2000)
RITORNA
ALLA SEZIONE COMPUTER E SICUREZZA