Come rendersi invisibili in rete? Una puntata su Current tv
Sono stato intervistato da Ilaria Nicosia e Giacomo Canelli per il programma tv Geek Files dedicato alla privacy ed alla sorveglianza su Internet. La puntata è andata in onda giovedì 23 e viene ripetuta nel ciclo di riprogrammazione su Current, canale Sky 130. Ringrazio Ilaria e Giacomo per l’invito – Jan
Tra gli interventi della puntata:
Privacy in Rete: cos’è Tor?
Jan Reister ci illustra cos’è Tor e come può aiutarci a proteggere il nostro anonimato in Rete. Per chi fosse interessato: il progetto Tor; per scaricare il software: pagina di download Tor.
L’anonimato è un diritto tutelato dalla Costituzione
Marco Calamari, responsabile del Progetto Winston Smith, ci parla dell’anonimato e di come esso vada tutelato. Anche nel Web.
Intercettazione e Data Retention nel Web
Luca Lupària, docente di Diritto Penale presso l’Università di Teramo, ci parla di intercettazione e data retention.
L’intelligence nell’epoca di Internet
Alessandro Zanasi, docente di Knowledge Management e Data Mining presso l’Università di Bologna, ci illustra come sono cambiate le strategie dell’intelligence con la Rete e quali sono le tecniche per poter analizzare i dati raccolti.
La privacy e il controllo dei dati online
Giovanni Ziccardi, docente di Informatica Giuridica presso l’Università Statale di Milano, ci parla di diritto all’anonimato e delle strategie di controllo attuate dai governi per controllare informazioni personali.
Questa assenza di commmenti è inquietante….tutti affetti da sindrome orwelliana?
Io Tor l’ho scaricato da tempo….:-)
Affrettatevi a farlo, siore e siori, che si sa: su queste cose si è sempre tragicamente in ritardo…
Io l’ho scaricato, e adesso ho l’icona sullo schermo, ma non ho capito se è sufficiente così o se devo fare altro. Sono un’analfabeta informatica, ma visto che sono anche un’autodidatta distratta e senza memoria, Jan, dimmi se basta fare quello che ho fatto o se l’icona è lì solo per ridermi in faccia sbertucciando la mia ingenuità.
La documentazione è qui:
https://www.torproject.org/torbrowser/index.html.it
:-) non è così automatico e semplice come puoi pensare tu, comunque grazie, ci dedicherò la prima giornata libera
Scusa Alcor, sono stato telegrafico. Se scarichi il pacchetto per Windows, lo installi come spiegato qui:
https://www.torproject.org/torbrowser/index.html.it#Extraction
Per usarlo, fai come descritto qui:
https://www.torproject.org/torbrowser/index.html.it#Usage
In pratica, hai un browser Firefox che usa Tor per i collegamenti. Noterai che è lento (1 ordine di grandezza in più, dovuto alla struttura della rete Tor).
Per iniziare, pensalo come un browser anonimo, per visitare siti senza che essi sappiano necessariamente chi sei (da che indirizzo IP reale arrivi) e senza che il tuo ISP o datore di lavoro sappiano dove vai. Gli altri programmi del tuo pc funzionano normalmente senza interferenze da Tor.
grazie jan, io ho mac, immagino che basti fare lo stesso scegliendo l’altra opzione, mi metto all’opera
Sì Alcor, su mac osx è molto simile, tranne che configura direttamente il tuo attuale browser Firefox, e non ne installa un secondo.
ok, se ho capito bene è ancora più semplice, grazie jan.
molto interessante, grazie.
intanto incuriosita ho installato firefox che è molto più veloce di explorer, poi proverò a installate tor, speriamo bene…
più usiamo tor e meglio è.
Ad oggi, un migliaio di nodi sono pochini
Tor è anche carino, ma utilizzarlo per navigare è come dipingere una porta e fermarsi ad osservare la vernice mentre asciuga; le prestazioni offerte non sono esaltanti e con gli attuali siti stracolmi di tutto e di più, te lo raccomando navigare con Tor. Tra l’altro i nodi disponibili sono troppo pochi e la cifratura del canale appesantisce non poco le connessioni e quindi, parere personale, o ci sono seri motivi per usarlo oppure è meglio soprassedere e iniziare, magari, controllando di avere a bordo un Firewall che funzioni e un “antiporcherie” (antivirus) aggiornato. Oppure aggiungendo al proprio browser una ‘roba’ tipo NoScript che leva dai piedi tutti quei noiosissimi script che oramai appestano tutto e tutti. Tra l’altro se la configurazione del browser e del proxy da utilizzare non è più che corretta, Tor non serve praticamente a nulla. E il 90% almeno degli utenti non ha proprio idea di come debba essere configurato, nonostante le guide in linea e i manuali :-)
Fra i vari interventi quoto quello di Calamari, anche se vendere PGP come il primo sistema a chiave pubblica è quanto meno impreciso. Gli interventi degli universitari, sono la solita pastetta ricotta e non dicono nulla di nuovo, magari la prossima volta provate a intervistare qualcuno di BlackHat o Zone-H; corriamo il rischio che ci dicano qualcosa di nuovo e di interessante :-)
Jan, una domanda te la devo proprio fare: ma dove hai visto militari o polizia o persone dei servizi che utilizzano Tor per comunicare? Qual è il film? Quelli hanno le loro reti dedicate e satelliti piazzati da tutte le parti e l’internet degli ‘umani’ mica la usano e nemmeno le nostre linee telefoniche.
Blackjack.
Ah, dimenticavo: perché non facciamo un po’ di pubblicità a questo motore di ricerca http://eu.ixquick.com che NON tiene traccia di ciò che cerchiamo e delle nostre connessioni?
San Google l’oggetto più invasivo e invadente della rete e, per iniziare la battaglia sull’anonimato, la prima strada da intraprendere è proprio quella: mollare Google ;-)
Blackjack.
giacatore d’azzardo, ti ringrazio, in effetti qualche dubbio l’avevo, e visto che non devo far girare dati particolarmente “sensibili”, mi informerò meglio.
comunque l’argomento mi interessa molto.
poi mi chiedevo, servirebbe anche a truffatori, pedofili ecc non lasciare tracce? nessuna polemica, davvero, sono solo un essere curioso.
L’anonimato in rete serve sia ai truffatori ed ai pedofili che agli investigatori che cercano di individuarli.
Stalker, praticamente quasi tutte le reti di pedofili, e non solo, si appoggiano su Tor e/o altre ‘diavolerie’ simili per non lasciare traccia (non esiste solo Tor…). Ma, come sempre, il problema non è lo strumento in quanto tale (la rete di dissidenti di molti Paesi utilizza Tor per comunicare con l’esterno e senza sarebbe un disastro), bensì l’uso che se ne fa.
Poi, come sempre, non esiste la sicurezza assoluta – la Polizia tedesca, l’anno scorso, è riuscita a ‘forzare’ la rete Tor e individuare un gruppo estremista con intenti bellicosi – ma la sicurezza deve, a mio parere, essere bilanciata e adeguata agli obiettivi di ‘protezione’ che si vogliono raggiungere, rapportati alla criticità delle informazioni che maneggiamo.
Personalmente ritengo molto più pericoloso il tracking che Google fa delle nostre ricerche e del nostro navigare su internet, o l’utilizzo di “Fakebook” e altri sistemi simili che la protezione in quanto tale del dato che gestiamo: a chi interessa sapere, prima che sia pubblicato, il commento che sto scrivendo ora? Diverso se trasmetto dati di lavoro riservati, ma in quel caso non utilizzo certamente Tor (sempre per i motivi che riportavo precedentemente).
E’ un discorso complesso che dovrebbe coinvolgere, a mio personale parere, l’utilizzo che gli Stati fanno delle nostre informazioni personali rispetto agli strumenti elettronici che ci mettono a disposizione, oppure i livelli di protezione che grandi strutture (vedi le Banche) utilizzano per preservare i nostri dati personali. L’anno scorso, ad esempio, sono stati trafugati quasi 60 milioni di dati di carte di credito: in Italia nessun giornale si è preso nemmeno la briga di dedicare più di 4 righe al tema.
Ecco, è questa carenza di informazione non sensazionalistica che manca: si parla dell’hacker e della privacy come di un riempitivo in mancanza di altre notizie e non come un argomento che DEVE essere trattato con attenzione perché ci coinvolge direttamente. Una serie di articoli legati al ‘Social Engineering’ (come ricostruire informazioni riservate partendo da dati pubblici apparentemente innoqui) potrebbe essere, sempre a mio parere, molto più utile di una sessione tecnica legata al singolo strumento e restituirebbe un’idea più comprensibile del livello di pericolosità che l’utilizzo di uno strumento come internet, può generare.
Non dimentichiamo mai, comunque, i tanti vantaggi di internet :-)
Blackjack.
Mi fa piacere che la trasmissione sia stata vista e che l’argomento susciti interesse. Come è immaginabile, suscita anche controversie e questo è segno di vivacità.
Soltanto, voglio smentire due affermazioni generiche di Blackjack:
“praticamente quasi tutte le reti di pedofili, e non solo, si appoggiano su Tor e/o altre ‘diavolerie’ simili ” che è appunto un’affermazione estremamente vaga e per se stessa indimostrabile (lo stesso si potrebbe dire del tcp/ip e ben diverso sarebbe se si portassero fonti verificabili pubblicamente).
“la Polizia tedesca, l’anno scorso, è riuscita a ‘forzare’ la rete Tor e individuare un gruppo estremista con intenti bellicosi ” è una affermazione mal formulata ed infondata. Sono
sequestratistati fatti dei sequestri di relay Tor nell’ambito di indagini nel 2006, e non risulta che ciò abbia influito direttamente sui risultati. Vedi questo articolo ed i link citati (il primo che mi è capitato sottomano,): http://itnomad.wordpress.com/2007/01/04/tor-the-feds-and-me/Mi perdonerà per la puntigliosità Blackjack, di cui del resto apprezzo le molte considerazioni, ad esempio su Google e Facebook (sulle luci ed ombre di Google abbiamo parlato del lavoro di Ippolita.net https://www.nazioneindiana.com/2008/04/03/luci-e-ombre-di-google-in-francia/ ), sulla sicurezza come processo complessivo e sul non affidarsi a singoli strumenti “magici”.
da parte mia, su questo argomento, nessuna controversia o polemica.
credo che sia un mezzo importantissimo e cruciale per veicolare idee scomode, importanti e vitali, deleterie e mortifere, a volte semplicemente inutili, sul quale ammetto la mia ignoranza di analfabeta informatica e la mia voglia di saperne di più.
pendo dalle voste labbra….
:) sul serio!
Jan, per avere conferma del fatto che molte attività illecite utilizzino Tor, basta una telefonata al Colonnello Rapetto del GAT della Guardia di Finanza (sempre disponibile per chiarimenti e interventi sul tema) e in questo modo puoi sgomberare, molto facilmente, le mie affermazioni che, giustamente, consideri aleatorie. Poi, il tuo esempio sul TCP/IP non è proprio calzante: TCP/IP, in quanto tale, non contiene alcun meccanismo di protezione dell’informazione ed è QUASI scontato che QUASI tutte le informazioni che viaggiano in rete utilizzino questo protocollo; che è lo standard di fatto.
All’ultimo incontro AFCEA (Armed Forces Communications & Electronic Association) al quale ho partecipato, Tor era l’argomento del giorno e Tor è uno degli ‘incubi’ di tutti i Servizi e delle Polizie del mondo. La ‘povera’ Naval Academy statunitense, che se l’è lasciato scappare per un errore banale di valutazione, si sta ancora stracciando le vesti. Ma non ti dico nulla di nuovo; credo :-)
Per quanto riguarda la Polizia tedesca, conosco abbastanza bene (per motivi professionali) il lavoro svolto in quel caso e, indipendentemente da come lo presentò la stampa o un post su un blog (lettere come quella sono state inviate praticamente a tutti i ‘gestori’ di relay Tor tedeschi), l’attività di ‘forzatura’ della rete Tor restituì buoni risultati. Non mi pare il caso di illustrare, qui, ulteriori dettagli che, tra l’altro, sono stati pubblicati in versione da qualche parte (con le quintalate di informazioni che mi arrivano e visto l’orario, ora non ricordo, ma proverò a rintracciare le comunicazioni ufficiali, che sicuramente ho e, se di interesse, non ho alcun problema a girartele).
Jan, come ben sai il software di sicurezza assoluto NON ESISTE e assoluto non lo è nemmeno Tor che è fallace come tutte le realizzazioni umane. Molti dissidenti cinesi sono stati identificati nonostante Tor (spesso basta un piccolo dettaglio dimenticato nella configurazione del browser per lasciare tracce), purtroppo, esattamente come è successo a dissidenti di altri Paesi sottoposti a regimi non propriamente ‘libertari’.
Ti aggiungo un pezzo al poco confortante al quadro d’insieme: con 3.500 Euro al mese ti intercettano anche Skype e, non ridere, costa molto meno, 2.500 Euro al mese, intercettare e decrittare una connessione SSL, anche se utilizzi certificati X509 sia lato server, sia lato client (anche in questo caso, se ti interessa, posso farti avere documenti in merito; il tedesco, mi pare di capire, lo conosci bene e quindi non avrai problemi). La morale? Semplicissima: cautelare la propria privacy è e sarà sempre di più un ‘obbligo’ per ogni utente, ma purtroppo, come scrivi giustamente nel tuo commento, non esiste lo strumento magico che risolve ogni problema e, dovesse anche esistere, non sarebbe certamente accessibile agli ‘umani’. :-)
Considera ad esempio che AES, ad oggi lo stato dell’arte nella crittografia, è già considerato ‘poco sicuro’ dalla NSA che ha ‘invitato’, ancora nel 2007, i suoi fornitori ad implementare ECC (Elliptic Curve Cryptography) come algoritmo di riferimento. Inizialmente come replace del DH standard (Diffie-Helman) e, recentemente, anche come algoritmo di cifratura a chiave simmetrica in sostituzione di quell’AES ancora indicato come algoritmo di elezione e unico certificato dagli standard internazionali (FIPS – Common Criteria) che garantiscono i livelli di sicurezza per la cifratura degli applicativi commerciali. Anche qui, se ti interessa, posso farti avere la documentazione specifica.
Rilancio solo un ultimo punto: approfondite le tecniche di Social Engineering. Conoscerle consente livelli di ‘difesa’ molto più alti che non l’utilizzo di uno strumento di cifratura che, tutt’ora, ha dei seri limiti di usabilità: in primis le prestazioni decisamente pessime.
Blackjack.
PS: comunque ottimi questi articoli e, da parte mia, anche se a volte mi lascio trascinare, nessun intento polemico; anzi: plauso incondizionato alla vostra scelta editoriale di trattarli.
Blackjack, se vuoi girarmi le informazioni in tuo possesso sul caso tedesco, le leggerò con attenzione. Per il resto hai allargato molto il campo degli argomenti e mi è difficile, per mancanza di tempo invero, seguirli tutti al di là di un generico piacere della conversazione. Non condivido molte delle tue affermazioni, credo che ciò dipenda dall’impostazione discorsiva che gli dai e dagli espedienti retorici usati. Il che va benissimo, specie in una colonna come questa, di commento a una trasmissione TV (sic!). Puoi scrivermi all’indirizzo di nazione indiana (pagina Contatti) mettendo il mio nome e cognome nell’oggetto.