Archivio

Posts Tagged ‘Sicurezza’

Body scanner: per tutti, o per nessuno

di G. Scorza (punto-informatico)  – Ovvero quando sicurezza non fa rima con riservatezza. La Commissione Europea interviene sul tema: per tentare di arginare le fughe in avanti di cui proprio l’Italia pare protagonista.

Videosorveglianza à gogo nelle nostre città, body-scanner negli aeroporti e nelle stazioni, tecnologia RFID per accedere negli stadi, acquisizioni di massa dei dati personali relativi alla navigazione degli utenti per combattere la pirateria audiovisiva, impronte digitali sui passaporti e dati biometrici per vigilare sugli accessi a banche ed istituti di credito. Siamo in uno scenario che si avvia superare quello delineato – all’epoca con uno straordinario sforzo di immaginazione – da George Orwell in 1984.

Intendiamoci, questo non significa che l’utilizzo della tecnologia per rendere sempre più sicura la vita nelle nostre città, sugli aerei o sui treni, sia un obiettivo da accantonare o da non perseguire con convinzione e determinazione: ma, certo, guardandosi attorno sorge il sospetto che – con la sola importante eccezione del famigerato DDL intercettazioni – negli ultimi tempi, nelle scelte politiche, l’esigenza di sicurezza abbia sempre avuto la meglio e che, forse, non sempre la valutazione comparativa ed il bilanciamento tra sicurezza e privacy siano stati compiuti con l’attenzione e la puntualità che avrebbero meritato.

Il massiccio utilizzo dei body scanner nei nostri aeroporti e stazioni cui il ministro Maroni ha annunciato di voler dar corso nei prossimi mesi rappresenta, probabilmente, il più recente episodio sintomatico di questa tendenza. Al riguardo, pur rifuggendo da ogni allarmismo ingiustificato, credo che un po’ di costruttiva preoccupazione e diffidenza sia opportuna e necessaria perché sussiste il rischio che, altrimenti, si perda progressivamente la consapevolezza e la coscienza di essere titolari di un diritto alla privacy ed alla riservatezza e, soprattutto, si perda la capacità di apprezzarne il valore: finiremo tutti con il pensare che le esigenze di sicurezza siano ontologicamente – verrebbe quasi da dire “naturalisticamente” – sovraordinate rispetto ai diritti della personalità.

Non è così e ciò risulta evidente sol che si rifletta, più da vicino, all’episodio, appena richiamato. In tutto il mondo, dopo l’11 settembre, si è iniziato a guardare con insistenza e determinazione crescente a soluzioni più efficaci per garantire maggiori livelli di sicurezza nel trasporto aereo rispetto al rischio di attentati terroristici. In nome di questa preoccupazione, le nostre abitudini di vita, in occasione di ogni spostamento aereo – per lavoro o per diletto, nazionale, internazionale o intercontinentale – sono prepotentemente cambiate: abbiamo accettato con rassegnazione l’idea che le nostre borse siano passate ai raggi-x e talvolta ispezionate da mani sconosciute, abbiamo (più o meno) compreso l’esigenza che quelle stesse mani corrano lungo i nostri corpi dopo ogni beep di troppo del metal detector, abbiamo accettato l’idea di toglierci giacche, maglioni, cinte e talvolta scarpe e stivali prima di salire su un aereo, ci siamo rassegnati a viaggiare con micro-confezioni di dentifricio e medicinali e soprattutto a condividere con gli altri passeggeri in fila – quasi si trattasse di amici, familiari o compagni di scuola – ogni frammento della nostra identità e intimità celato nei nostri bagagli o sotto i nostri indumenti.

Lo abbiamo fatto perché ci è stato chiesto – o meglio imposto – mentre eravamo ancora tutti sconvolti e storditi da una tragedia con pochi precedenti nella storia dell’umanità. L’emozione ha avuto la meglio sulla ragione e nessuno – o solo qualcuno – si è fermato a domandarsi se quei controlli valessero davvero a scongiurare il rischio che altre tragedie si ripetessero. Credo non sia facile dire cosa avremmo risposto se fossimo stati interpellati, ma confesso che me lo chiedo ogni volta che preparo il mio bagaglio sentendomi costretto a pensare che altri, da me non invitati ed a me sconosciuti, ci guarderanno dentro e proveranno – coscientemente o inconsciamente – a ricostruire frammenti della mia identità partendo dalle cose che porto con me. Dopo anni e centinaia di viaggi, il fatto di non aver nulla da nascondere, non basta a tacitare l’inquietudine che questa forzosa condivisione della mia intimità mi procura.

Negli ultimi anni, sulla scia della stessa ricerca di livelli di sempre maggior sicurezza, in tutto il mondo – incluso il nostro Vecchio Continente – si è iniziato ad interrogarsi sulla possibilità ed opportunità di rispondere a tale esigenza attraverso l’utilizzo dei body scanner, strumenti di video-perquisizione in grado di spogliarci completamente agli occhi di chi è dietro lo schermo senza toccare i nostri vestiti. Apparecchi di questo genere sono attualmente in uso in via sperimentale in molti aeroporti USA ed in alcuni aeroporti europei, tra i quali quelli italiani di Roma, Milano e Venezia. Le istituzioni dell’Unione Europea – benché abbiano avviato una seria e profonda riflessione sull’argomento da oltre due anni – tuttavia non sono ancora giunte ad una conclusione circa l’effettiva utilità ed opportunità di far ricorso a tali strumenti e, da ultimo, proprio il 15 giugno scorso la Commissione, in una comunicazione al Consiglio ed al Parlamento, ha evidenziato tutte le proprie perplessità e manifestato l’esigenza di ulteriori approfondimenti prima di assumere qualsivoglia decisione.

Uno degli interrogativi più rilevanti che la Commissione propone nella Comunicazione concerne proprio la possibilità di contemperare l’utilizzo di tali strumenti con l’insopprimibile esigenza di garantire un adeguato livello di tutela alla dignità umana ed al diritto alla privacy dei passeggeri. In tale prospettiva la Commissione rileva, innanzitutto, come prima di accettare l’idea di un’ulteriore compressione del diritto alla privacy dei cittadini europei sia indispensabile acquisire elementi – scientifici e non emozionali – relativi all’effettiva utilità dei body scanner ed all’impossibilità di ottenere analoghi risultati in termini di sicurezza attraverso il ricorso a mezzi o processi meno invasivi della privacy.

In questo contesto, peraltro, la Commissione evidenzia anche l’esigenza che ogni decisione circa il ricorso ai body scanner venga assunta a livello europeo, in quanto un’eventuale frammentazione del quadro normativo nei diversi Paesi membri finirebbe con l’indebolire il sistema di sicurezza complessivo, rendendo, per questa via, inutile, il sacrificio della dignità e della privacy dei cittadini di quegli Stati che – soli o per primi – decidessero di diffondere l’utilizzo di tali dispositivi.

La Commissione Europea, nella stessa comunicazione, inoltre – facendo tesoro delle indicazione ricevute negli ultimi anni dal Gruppo dei Garanti art. 29 e dagli altri organismi europei coinvolti negli studi avviati, individua tutta una serie di accorgimenti che, soli, appaiono in grado di garantire un accettabile contemperamento tra il ricorso ai body scanner ed il rispetto della dignità umana e degli altri diritti fondamentali della personalità.
Ecco tali accorgimenti:

1- l’operatore addetto alle analisi delle immagini deve lavorare da remoto e non disporre di alcuna possibilità di vedere la persona cui le immagini si riferiscono;
2- né l’operatore né terzi devono poter collegare in alcun modo le immagini acquisite all’identità della persona osservata;
3- il body scanner deve restituire un’immagine complessiva della persona corrispondente ad una sagoma ed il dettaglio dei soli “oggetti potenzialmente pericolosi” che questa porta con se;
4- nell’ipotesi in cui il body scanner consenta l’acquisizione di immagini di dettaglio, l’operatore al terminale deve essere dello stesso sesso della persona osservata;
5- la comunicazione tra l’operatore al terminale e l’operatore che eventualmente sia chiamato ad intervenire per la ricerca di oggetti sospetti deve essere limitata alle sole informazioni effettivamente utili a tal fine;
6- i dispositivi body scanner devono essere “privacy by design” ovvero essere progettati e realizzati, tenendo nel debito conto le esigenze di tutela della privacy dei passeggeri e, ad esempio, in tale contesto non devono consentire, in alcun modo, la registrazione e/o la stampa delle immagini acquisite almeno in relazione a quei passeggeri che non risultino in possesso di oggetti pericolosi;
7- i passeggeri devono essere puntualmente e tempestivamente informati circa i soggetti che procederanno all’acquisizione delle immagini, la natura, qualità e quantità delle immagini acquisite, le modalità di trattamento nonché la durata della conservazione di tali immagini.

Si tratta di accorgimenti che appaiono insuscettibili di limitare l’efficacia dei body scanner e che, per contro, sembrano importanti al fine di attenuare l’importante sacrificio al diritto alla privacy dei cittadini che, qualora si optasse effettivamente, per un’adozione diffusa di tali dispositivi, si produrrebbe.

Sono, peraltro, indicazioni coerenti a quelle che l’Ufficio del Garante sembra aver dato al Ministro Maroni ed appare, pertanto, opportuno che quest’ultimo – anche qualora decida di attuare i propositi annunciati – vi si adegui, apprezzandone lo sforzo di contemperamento di contrapposte esigenze piuttosto che interpretandole come “fastidiosi” limiti al perseguimento di un obiettivo di sicurezza assoluta che, come ben sanno gli esperti, può al massimo rappresentare un’ambizione ma mai costituire un effettivo punto di arrivo.

A prescindere da tale considerazione, sembra peraltro importante che il Governo resista alla tentazione di inseguire il futile primato del primo Paese ad adottare questa tecnologia e, quindi, astrattamente più sicuro: si interroghi piuttosto – come suggerito dalla Commissione Europea – sull’utilità di fregiarsi di un “titolo” di questo genere, mentre si è circondati da Paesi che, in ipotesi, potrebbero ritenere che la privacy e la libertà di movimento dei loro cittadini valga di più del beneficio – magari stimato come modesto – perseguibile in termini di sicurezza, ricorrendo ad un’adozione diffusa dei body scanner.

Ha davvero senso chiedere ad un cittadino di lasciarsi spogliare ogni volta che decolla da un aeroporto italiano o prende un treno in una nostra stazione, nella speranza di intercettare qualche terrorista distratto o che non legga i giornali, quando poi sulla strada del ritorno – in atterraggio da un aeroporto o in arrivo da una stazione straniera – quello stesso cittadino ed i suoi compagni di viaggio non verrebbero sottoposti ad analoghi controlli?

Credo si sia dinanzi alla più classica – nel metodo e non nel merito – delle scelte politiche e non sono capace, né ritengo, di proporre alcuna indicazione. Ad un tempo, però, non so sottrarmi all’esigenza di segnalare che il rischio elevato che il nostro Paese sta correndo è quello di far perdere ai cittadini la coscienza e consapevolezza del proprio diritto alla privacy, della propria dignità e dei propri diritti fondamentali. Si tratterebbe di un processo involutivo di carattere sociologico prima ancora che giuridico, irreversibile nel breve periodo: ci trasformeremmo in cittadini incapaci di rivendicare il rispetto dei nostri diritti perché inconsapevoli di averne.

È il sogno di ogni tiranno e il peggior incubo di ogni democrazia.

Guido Scorza
Presidente Istituto per le politiche dell’innovazione
www.guidoscorza.it

Annunci

Profilewatch: verificare facilmente il livello di privacy di un profilo di Facebook

Profilewatch: verificare facilmente il livello di privacy di un  profilo di Facebook

Da quando Facebook, il social network per eccellenza, ha fatto la sua comparsa online, le discussioni relative alla privacy dei suoi utilizzatori non hanno mai avuto fine, continuando ancora oggi giorno e mettendo dunque ciascun utente in condizione di cercare di preservare nel migliore dei modi quelli che sono i propri dati personali.

In particolare, nell’ultimo periodo, considerando anche i vari ed eventuali cambiamenti applicati al geniale prodotto di Mark Zuberg, vi è un enorme numero d’utenti che, in modo attento e meticoloso, cerca di preservare quelle che sono le informazioni più riservate, come ad esempio nel caso dei dati anagrafici, mentre invece, al contempo, vi è un altrettanto ampio gruppo di navigatori della grande rete che, non curante, utilizza in maniera del tutto poco cauta quello che, allo stato attuale delle cose, appare come il social network per eccellenza.

Considerando quest’insieme di fattori potrebbe dunque risultare utile ed interessante verificare l’effettivo livello di protezione e sicurezza della privacy del proprio profilo ricorrendo all’utilizzo di un nuovo applicativo online che, in modo semplice ed immediato consente di ottenere esattamente quelle che sono le informazioni in questione.

Il servizio è Profilewatch, un valido strumento web che, senza richiedere alcun tipo di sottoscrizione per il suo utilizzo ed in maniera totalmente gratuita, consente giust’appunto di verificare tutto quanto precedentemente accennato semplicemente andando ad inserire, nell’apposito spazio, l’url relativa al proprio profilo di Facebook (ad esempio http://www.facebook.com/MioNome).

Una volta inserito l’url del profilo di cui abbiamo intenzione di verificare il livello di privacy adottato e confermata l’operazione, ci verrà restituito il relativo rank, con punteggio da 0 10, indicante il livello di protezione adottato e altamente comprensibile grazie all’indicatore di facile visualizzazione.

Oltre al rank, Profilewatch mette a disposizione dei suoi utilizzatori anche tutta una serie di interessanti trucchi e consigli mediante cui migliorare eventualmente la sicurezza di un dato account, mettendo dunque ciascun utilizzatore del servizio in condizione di rendersi facilmente conto di ciò che, agli occhi degli altri utenti, appare condivisibile e, di conseguenza, di pubblico dominio.

Il consiglio è dunque quello di provare questa interessante applicazione online e di verificare quanto un dato profilo di Facebook sia effettivamente in grado di rispondere ad un dato livello di privacy!

Via geekitaly

Scoperta una nuova vulnerabilità su iPhone che mette a rischio i vostri dati

Jim Herbeck, un vero e proprio guru nel campo della sicurezza, ha scoperto una nuova vulnerabilità su iPhone 3GS.

Utilizzando un computer con Ubuntu Lucid Lynx, infatti, è stato in grado di accedere a tutti i dati presenti su un iPhone 3GS non jailbroken e protetto da password. Inoltre, con qualche piccolo accorgimento, presto dovrebbe anche essere in grado di scrivere all’interno di tali dati e di effettuare chiamate da iPhone.

Per Herbeck la mancanza di crittografia sui dati è un problema serio per l’iPhone.

Via iphoneitalia

Microsoft: non premete F1 su Windows XP

Microsoft: non premete F1 su Windows XPIn un recente security advisory, Microsoft ha messo in guardia i possessori di Windows XP da un possibile attacco proveniente da siti malintenzionati legato alla pressione del tasto F1.

Il tutto sarebbe riconducibile a come VBScript interagisce con i file di Aiuto delle guide: condizione necessaria perché si sia esposti al problema è anche quella di usare Internet Explorer per navigare, a quanto pare in tutte le sue versioni compresa la più recente 8. Oltre a XP, anche Windows 2000 e 2003 Server sono impattati dal bug.

In sintesi dunque, in attesa che venga rilasciato un aggiornamento per tappare la falla, Microsoft consiglia a chi usa Internet Explorer su uno dei sistemi operativi sopra citati di diffidare dai siti che chiedono di premere il tasto F1.

via downloadblog

Picco di download per Firefox dopo il fattaccio di IE

gennaio 22, 2010 Lascia un commento

Due giorni fa vi abbiamo parlato di come i governi di Francia e Germania avessero ufficialmente sconsigliato di utilizzare come browser internet explorer per i suoi recenti problemi di sicurezza.

Il team di Mozilla ha reso noto che c’è stato un incremento del numero di download dopo questi annunci. 300000 download in più in soli quattro giorni sono sicuramente un risultato interessante. Anche Opera ha annunciato di aver raddoppiato il numero di download.

Come ipotizzavamo nell’articolo precedente ora bisognerà vedere se si tratterà di utenti che passeranno in maniera definitiva al nuovo browser e quale variazione provocheranno nelle percentuali d’uso dei browser.

via ossblog

Windows si può bucare via DOS

gennaio 21, 2010 Lascia un commento

In tutte le versioni ancora supportate di Windows esiste una vulnerabilità che, secondo il suo scopritore, se ne sta lì nascosta da almeno 17 anni. Nel frattempo BigM si industria per sanare IE

Mentre Microsoft è ancora impegnata nello sviluppo di una patch per Internet Explorer che risolva la falla recentemente utilizzata negli attacchi a Google, un esperto di sicurezza ha divulgato i dettagli di una vulnerabilità apparentemente celata in Windows dalla “notte dei tempi”, ovvero dall’anno 1993. Ad esserne interessate sarebbero tutte le versioni di Windows a partire da NT, inclusi XP, Server 2003, Vista, Server 2009 e 7.

Tavis Ormandy, scopritore della falla e information security engineer presso Google, spiega in questo advisory che il problema è legato alla Virtual DOS Machine, e può essere sfruttato per iniettare del codice direttamente nel kernel di Windows: questo potrebbe consentire a un aggressore o a un malware di prendere il controllo delle aree più “sensibili” e protette del sistema, e installare ad esempio key logger o rootkit.

The Register riporta che la società Immunity di Miami ha già aggiunto l’exploit della vulnerabilità al proprio software di auditing indirizzato ai professionisti della sicurezza. La società afferma che l’exploit è stato testato con successo su tutte le versioni di Windows ad eccezione della 3.1.

In attesa che Microsoft rilasci una patch, Ormandy afferma che è possibile proteggersi della debolezza disattivando i sottosistemi MSDOS e WOWEXEC di Windows: per farlo è necessario modificare alcune voci di registro così come spiegato in questo articolo del supporto tecnico di Microsoft. Va rimarcato che disattivando questi due componenti si perde la compatibilità con i vecchi programmi a 16 bit (quelli per DOS e Windows 3.1), ma per la stragrande maggioranza degli utenti questo non dovrebbe essere un problema.

Ormandy sostiene di aver segnalato il bug a Microsoft nel giugno del 2009, tenendone nel frattempo segreti i dettagli: non avendo ricevuto da BigM alcuna risposta, e avendo constatato che il baco è ancora aperto, negli scorsi giorni si è deciso a rendere il problema di pubblico dominio insieme a un exploit dimostrativo.

Contattata da The Register, Microsoft ha fatto sapere, per bocca di un suo portavoce, di stare vagliando l’advisory di Ormandy e di non essere a conoscenza di attacchi che sfruttino questa vulnerabilità.

Ieri il big di Redmond ha anche annunciato che la recente falla di Internet Explorer verrà corretta appena possibile, e al di fuori del suo ordinario ciclo di pubblicazione dei bollettini di sicurezza. Sui rischi e la portata di tale vulnerabilità Microsoft Italia ha recentemente minimizzato.

“Pur non essendo mutato in modo significativo lo scenario di rischio (nel senso che gli attacchi noti sono rimasti quelli mirati e circoscritti, ed efficaci solo su sistemi con IE6), il clamore mediatico e la confusione da parte dei clienti che ne è derivata (vedi dubbi tra versioni impattate dalla vulnerabilità – praticamente tutte – e quella seriamente impattate da eventuali attacchi intrusivi – solo IE6), anche relativamente alle contromisure temporanee di difesa (vedi abilitazione del DEP), hanno spinto verso la decisione di un rilascio in modalità Out-of-band (OOB)” ha scritto ieri Feliciano Intini, chief security advisor di Microsoft Italia, sul suo blog.
via punto-informatico

Non usate Internet Explorer, allarme dalla Germania

gennaio 18, 2010 1 commento

Dopo gli attacchi ai server di Google e a molti altri importanti portali Web a causa di una falla presente all’interno di Internet Explorer, la Germania consiglia di non utilizzare il browser di casa Microsoft.

Questa è storia. Mai fino ad oggi un’autorità governativa aveva lanciato appelli simili: “non utilizzate Internet Explorer, non è per nulla sicuro”.

A pronunciare queste parole è il Bundesamt fuer Sicherheit in der Informationstechnik (BSI), l’Authority tedesca per la sicurezza digitale. In un bollettino di sicurezza rilasciato da qualche ora si legge che una grave falla di sicurezza presente all’interno di Internet Explorer consente ad utenti malintenzionati di eseguire codice maligno attraverso una pagina Web creata ad-hoc per infiltrarsi all’interno dei computer degli utenti.

Microsoft ha addirittura ammesso le sue colpe e ha detto che per evitare spiacevoli inconvenienti è meglio utilizzare il browser con le impostazioni di sicurezza in Protected Mode. Ma la BSI non ci sta e ha alzato il tiro: “usate browser alternativi”. Chrome, Firefox, Opera, Safari: tutti sono in grado di fare meglio di Internet Explorer.

Via tuxjournal