LA PRIVACY VINCERA' !!!

Il creatore di PGP parla della crescente popolarità delle tecnologie crittografiche e preconizza la fine del tecnocontrollo.

 

Ce lo insegna la storia, dice Zimmerman, con l'abolizione della schiavitù e i diritti civili.

 

Phil Zimmerman interviene alla conferenza Def Con di Las Vegas per parlare di crittografia, privacy e tecnospioni, parlando in tono ottimistico della fine del tecncontrollo come già hanno avuto fine la schiavitù e le discriminazioni nel passato relativamente recente.

 

Le soffiate di Edward Snowden e delle altre talpe interne al sistema porterebbero a pensare che le agenzie di intelligence hanno raggiunto un potere quasi assoluto, ma per il creatore di PGP (Pretty Good Privacy) le cose stanno esattamente all'opposto.

 

In passato l'abolizione della schiavitù e l'affermazione dei diritti civili sembravano realtà irraggiungibili, ha spiegato Zimmerman, eppure entrambe le cose si sono verificate; il tecnologo cita il caso di cui è stato protagonista diretto negli anni '90, con il governo statunitense che prima impose la messa al bando delle importazioni sulle tecnologie crittografiche (PGP, appunto) e poi tornò sulla decisione grazie al buon senso di personaggi come l'Attorney General John Ashcroft.

 

Oggi sta accadendo esattamente lo stesso, sostiene Zimmerman, e le società di intelligence hanno già bussato alla porta di Silent Circle non per farle chiudere baracca quanto piuttosto per chiedere il prezzo per la concessione di licenze in volumi sull'uso delle app crittografiche per gadget mobile create dalla società.

 

La discussione sulla sicurezza è sulle tecnologie crittografiche è più rilevante che mai, dice Zimmerman, e Las Vegas rappresenta un po' il centro (estivo) del dibattito grazie alla convergenza con l'evento gemello di Black Hat.

 

Proprio in occasione di Black Hat è stato tra l'altro presentato un lavoro di cracking eseguito sul Blackphone, cellulare basato su una versione modificata di Android e creato da Silent Circle come soluzione per le comunicazioni sicure a prova di tecnocontrollo.

 

Qualche buco esiste anche lì, sostengono i ricercatori, anche se le patch sono già disponibili e la responsabilità principale ricade (come sempre o quasi) sulle azioni dell'utente.

FACEBOOK TREMA: CLASS ACTION PER LA PRIVACY VIOLATA

Battersi per la privacy.

 

Lo sta facendo Max Schremps, giurista 26enne che ha deciso di prendere di petto Facebook e affrontarlo in tribunale.

Perché non gli va giù che il colosso di Mark Zuckerberg possa conservare, gestire e usare tutte quelle informazioni sulle nostre vite private: messaggistica interna, fotografie, like e via dicendo.

 

Anche il materiale cancellato, in realtà, non sparisce mai ma rimane negli archivi di Palo Alto.

 

E Schrems ne sa qualcosa visto che, quando chiese informazioni sul proprio conto, ha scoperto un maxi faldone di 1.200 pagine.

Chiunque può richiedere agli uffici di Facebook le informazioni in loro possesso.

 

Avendo basato in Irlanda i server che gestiscono tutti gli utenti che risiedono fuori dal Canada e dagli Stati Uniti, il social network più famoso del mondo deve infatti sosttostare alle leggi sulla privacy in vigore in Europa.

 

E così ha fatto Schremps che, davanti alle 1.200 pagine che riassumono la sua vita privata, è andato su tutte le furie e ha deciso di citare in giudizio Facebook.

 

In Irlanda, ovviamente.

 

Ed è stato proprio grazie a questo giovane giusrista austriaco che l'Authority di Dublino, che regola le leggi sull'antitrust, ha obbligato Facebook a rivedere la gestione dei dati personali degli utenti garantendo una maggiore privacy, aumentando la trasparenza sull'utilizzo dei dati e assicurando maggiori restrizioni al riconoscimento facciale.

 

La decisione dell'autorità irlandese non ha convinto Schremps.

 

Che, dopo aver aperto il sito "Europe vs Facebook", ha deciso di rivolgersi al tribinale di Vienna.

 

Una sorta di class action sottoscritta, nel giro di poche settimane, da altre 25mila persone.

 

"Secondo Schremps le violazioni della privacy da parte di Facebook sono tante - racconta Fabrizio Massaro sul Corriere della Sera - da una presunta impropria ricerca del consenso per la raccolta dei dati alla colaborazione con il programma di schedatura 'Prism' della Nsa fino al tracciamento degli utenti anche fuori dal social network".

 

La richiesta di risarcimento danni è minima: 500 euro a utente.

 

Che, moltiplicato per i 25mila partecipanti, significa 12,5 milioni di euro.

 

"È più una questione di pubblicità che di protezione delle persone - commentano da Palo Alto - non sorprende che la percentuale di utenti iscritti alla causa sperando nei 500 euro sia così ridotto".

 

Dietro a Schremps c'è la RolandProzessFinanza, un'organizzazione di Colonia che finanzia le spese legali.

 

In cambio porterà a casa il 20% di quanto lo studente austriaco riuscirà a sfilare a Zuckerberg.

PRIVACY E CANVAS FINGERPRINTING

Nuove tecnologie di tracciamento dell’utente vengono usate di nascosto e senza il consenso degli interessati su migliaia di siti online.

 

La scoperta è di alcuni ricercatori della Princeton University e della KU Leuven University in Belgio. 

 

Dopo i cookie, piccoli file di testo, inviati al browser, impiegati per spiare e monitorare la navigazione web ma soggetti a regolamentazione in vari paesi, compresa l’Italia, i siti hanno introdotto altri meccanismi, più difficilmente rilevabili e contrastabili, per profilare un utente e registrare movimenti e abitudini su Internet. 

 

Per il marketing pubblicitario è importante conoscere quali pagine visita chi naviga su internet in modo da avere indicazioni su quello che potrebbe acquistare.

 

I cookie servono a questo.

 

Anche Google li utilizza per mostrare annunci mirati ma prima deve avvisare l’utenza e chiedere esplicitamente il consenso sui dati raccolti come stabilito dal Garante per la Privacy con un provvedimento del 21 luglio che parimenti richiama altri sistemi di fingerprint.

 

Dai cookie ci si può difendere bloccandoli e cancellandoli, attivando funzionalità del browser come DonotTrack ed estensioni quali Ghostery.

 

Ma ci sono altri metodi di tracking più persistenti, meno facili da rimuovere, che consentono di aggirare norme e controlli, con conseguenti rischi sulla privacy.

 

Uno di questi è il “canvas fingerprinting” che sfrutta immagini o linee di testo elaborate di nascosto da un terminale quando si visita una pagina web per creare una sorta di impronta digitale con cui identificare in modo univoco l’utente e i suoi movimenti online. 

 

La tecnica, individuata già nel 2012, viene descritta nella ricerca The Web never forgets  che documenta per la prima volta la sua diffusione.

 

Sono oltre 5000, su 100.000 analizzati, i siti web in cui è stata rintracciata.

 

Un numero pari al 5,5% di quelli sottoposti ad indagine, la cui lista  è adesso disponibile su Internet.

 

Secondo quanto riscontrato dagli autori dello studio, il principale veicolo di contagio è rappresentato dai servizi offerti da AddThis, una delle principali piattaforme di social bookmarking e di condivisione di contenuti esistenti al mondo.

 

Gli stessi responsabili della società statunitense hanno ammesso di aver testato la tecnologia “canvas fingerprinting”, come alternativa ai cookie, su una piccola parte dei 13 milioni di siti che integrano i suoi prodotti.

 

Rich Harris, amministratore delegato di AddThis, ha dichiarato in un’intervista di aver valutato i possibili risvolti in termini di privacy senza riscontrare violazioni di legge. 

 

In ogni caso, la tecnologia resta attiva in moltissimi siti, dal portale della Casa Bianca a YouPorn, i cui gestori hanno, tuttavia, negato ogni responsabilità, riferendo a ProPublica  di aver provveduto ad eliminarla. 

 

Ma cosa può fare il singolo utente per neutralizzarla?

 

Nonostante le difficoltà qualche rimedio c’è.

 

Per i ricercatori belgi e americani, Tor  è l’unico browser che, allo stato, impedisce il funzionamento di “canvas fingerprinting” (garantisce più sicurezza con la navigazione anonima ma ne risentono prestazioni e disponibilità di contenuti) mentre Electronic Frontier Foundation, oltre al test  sulla tracciabilità del browser, consiglia di installare la sua estensione Privacy Badger per bloccare il tracking di AddThis, oppure Disconnect  e NoScript. Soluzioni, queste ultime, suggerite anche da Mashable e ProPublica che, in più, propone l’estensione AddBlockPlus  con il filtro EasyPrivacy e Chameleon  solo per i più esperti.

USA, GOOGLE FA ARRESTARE UN PEDOFILO, DOPO LA SCANSIONE DELLA POSTA

Dopo l'omologo caso dello scorso anno su Aol, la strategia di Big G contro lo sfruttamento dei minori e il controllo della corrispondenza su Gmail spediscono in carcere un 41enne texano, già condannato in passato per reati sessuali.

 

Ma riaprono anche il dibattito sulle garanzie della privacy online.

 

Che GOOGLE ci spiasse non è una novità.

 

Lo fa da sempre per i suoi fini e, spesso, garantendo un giro nei suoi server anche all'Nsa e alle altre agenzie di sicurezza.

 

Ecco perché l'arresto di John Henry Skillern, un 41enne di Houston ora accusato di pedofilia, effettuato sulla base di una soffiata di Big G al National Center for Missing and Exploited Children, ha riaperto  -  al netto della sacrosanta operazione  -  un dibattito infuocato che ruota sempre intorno al solito punto: quanto è garantita la nostra privacy online?

I fatti raccontano che Big G, che come noto ha modificato i suoi termini di servizio aprendo non a caso diversi fronti con le autorità salvo poi ritoccarli lo scorso aprile, ha segnalato alcune immagini sospette rilevate nella casella email dell'arrestato.

 

È il frutto del lavoro di scansione e analisi della nostra corrispondenza, effettuato senza troppi problemi al fine di ritagliarci pubblicità su misura ma anche di intercettare spam e malware. Di più: è l'architrave della redditività di Google.

 

Ma anche la prova che quel lavoro d'indagine commerciale non si limita a metadati o informazioni generiche ma scava in profondità, vagliando i contenuti.

Il National Center  -  ma spesso segnalazioni di questo tipo arrivano anche alla britannica Internet Watch Foundation  -  ha in seguito allertato la Polizia.

 

I detective sono a quel punto tornati a bussare a Google per ottenere informazioni utili a identificare il texano  -  molestatore noto alle forze dell'ordine, alle spalle una condanna per abuso sessuale su minori vecchia di vent'anni  -  e ottenere un mandato per fare ulteriori ricerche.

 

Pare che l'indagato avesse utilizzato la casella di Mountain View per spedire a un suo amico immagini di una ragazzina.

 

Le successive indagini hanno poi scoperto nello smartphone e nel tablet di Skillern altro materiale pedopornografico, corroborando la segnalazione partita da Google e convincendo il giudice alla carcerazione da 200mila dollari di cauzione.

 

Un'operazione che sembra essersi dunque conclusa positivamente e che d'altronde è in linea con l'impegno di Google, messo in campo fin dal 2008 e ribadito più volte dal presidente Eric Schimdt.

 

Anche di recente, alla fine dello scorso anno, con un'autentica dichiarazione di guerra alla pedopornografia.

 

Ma che ha anche rispolverato le polemiche sulla controversa pratica di Google.

 

Big G sostiene d'altronde che, accettando i termini di servizio e le privacy policy, gli utenti si dichiarano d'accordo anche alla pratica in questione, cioè a sottoporre il contenuto delle proprie email alla scansione automatica.

 

In cui, precisano, non c'è alcun intervento umano.

 

In effetti, in questo caso l'allarme è partito sulla base di una corrispondenza fra l'immagine  -  nota, registrata in un database dedicato a contrastare il fenomeno e dotata di una sorta di identificativo digitale  -  e quella contenuta nella corrispondenza.

 

E ovviamente, muovendo dalle condizioni di utilizzo, in cui si avvisano gli utenti che i loro contenuti possono essere tracciati senza specificare quali e in che servizio dei tanti offerti dal colosso.

 

Fra i monti, verrebbe in mente almeno Google Drive.

 

Oltre al motore di ricerca, un caso del genere si era già verificato lo scorso anno, quando un altro individuo era stato arrestato, individuato per aver condiviso immagini di questo tipo usando la sua email Aol.

Tutti contenti, dunque?

 

Insomma.

 

"Google deve chiarire molto esplicitamente ai propri utenti quali procedure e garanzie mette in atto per assicurare loro di non essere erroneamente messi nel mirino", ha detto Emma Carr, direttrice del Big Brother Watch, alla Bbc.

 

Difficile che capiti?

 

L'anno scorso una coppia dell'Arizona ha denunciato Walmart per aver confuso le foto del bagnetto dei propri figli, portate a stampare in uno dei centri commerciali, con materiale pedopornografico.

 

E in quel caso non c'erano algoritmi di mezzo.

LOGO RFID E PRIVACY TEST PER L'INTERNET OF THINGS

Le applicazioni basate su tecnologia RFID, che sta per Radio Frequency Identification (RFID), consentono di tracciare il posizionamento degli oggetti sui quali sono collocati e hanno svariate applicazioni non solo nel settore della moda, ma anche per migliorare la gestione dei magazzini e prevenire furti per esempio durante il trasporto di prodotti.

 

Sono utilizzati sempre più, ad esempio, anche nel settore bancario e nella sanità.

 

Tali circostanze hanno portato alla creazione di un mercato delle applicazioni RFID da 9,2 miliardi di dollari nel 2014, mercato che è destinato ad aumentare notevolmente con l’implementazione di tali oggetti nel settore dell’Internet of Things a sua volta capace di generare, dicono recenti ricerche, 7,1 trilioni di dollari di vendite entro il 2020.

 

Le applicazioni RFID potranno, ad esempio, essere utilizzate con i cosiddetti “frigoriferi intelligenti” in grado di leggere i prodotti tramite un RFID applicato sugli stessi, determinare le provviste da acquistare analizzando le abitudini degli utenti e ordinarli al supermercato più conveniente di zona, anche (potenzialmente) mostrando delle pubblicità dei prodotti preferiti dell’utente.

 

RFIDTutto questo illustra un futuro per alcuni al momento avveniristico ma certamente non troppo lontano.

 

Tuttavia, come già precedentemente discusso in questo articolo, tali tecnologie possono creare dei problemi in materia di conformità alla normativa privacy.

 

Il trattamento dei dati degli utenti che avviene spesso a totale insaputa degli stessi ha attirato l’attenzione della Commissione europea che nel 2009 ha adottato una raccomandazione sulle applicazioni RFID.

E infatti i problemi di compliance che fino ad oggi hanno in qualche modo “limitato” la crescita dei dispositivi RFID hanno trovato una risposta con l’approvazione da parte del Comitato europeo di Normazione di standard tecnici relativi al logo da apporre su oggetti sui quali è stata posizionata una applicazione RFID, e un test di valutazione della conformità dell’applicazione RFID alla normativa sul trattamento dei dati personali.

Il logo RFID consentirà agli utenti di essere informati della presenza di applicazioni RFID, appunto, e tramite un punto di contatto apposto sugli stessi, di accedere ad una informativa privacy dove per esempio saranno informati se i dati relativi al luogo in cui si trova l’oggetto siano monitorati.

Ma la più grande innovazione a mio giudizio è data dalla adozione di un test circa la conformità dell’applicazione alla normativa privacy.

 

Questa innovazione qualora estesa anche ad altri settori dell’Internet of Things, consentirà di garantire la conformità della tecnologia di volta in volta utilizzata con la normativa in materia di trattamento dei dati personali applicabile.

E infatti le difficoltà che emergono con le applicazioni dell’Internet of Things sono date dalla circostanza che, in mancanza di un quadro normativo volto a regolare questo fenomeno, bisogna basarsi solo su tecnologie simili e oggetto di precedenti decisioni o sulla base dei principi generali.

 

Questo problema invece non sussisterebbe più qualora le piattaforme dell’Internet of Things potessero essere certificate da un soggetto terzo indipendente rispetto, ad esempio, alle misure di sicurezza richieste dal Garante per il trattamento dei dati personali.

 

Vedremo gli sviluppi nel settore ma certamente questa innovazione relativa all’RFID rappresenta un cambiamento importante anche per l’Internet of Things.

 

E un altro passo in avanti verso l’innovazione nel settore è data dalla consultazione che l’Autorità per le Garanzie nelle Comunicazioni ha appena lanciato in merito sui servizi Machine to Machine che rappresentano una parte rilevante dell’Internet of Things.

 

Tramite questa consultazione, Agcom ha chiesto all’intera industry, tramite un dettagliato questionario, come può esso incoraggiare la crescita del settore.

 

Un’opportunità, questa, importante per tutto il settore.

PRIVACY SUL CLOUD, MICROSOFT PERDE IL PRIMO ROUND

Microsoft ha più volte affermato che si opporrà ad ogni richiesta, effettuata dal governo statunitense, di accesso ai dati degli utenti conservati su server situati al di fuori del paese.

 

Purtroppo, l’azienda di Redmond ha perso il primo round di questa battaglia: un giudice di New York ha ordinato la consegna delle email di un utente, memorizzate in un data center di Dublino.

 

Le autorità federali avevano chiesto una copia in relazione alle indagini su un traffico di droga.

 

Gli avvocati di Microsoft sostenevano che le leggi degli Stati Uniti sono valide solo all’interno del paese.

 

Il governo non avrebbe quindi il diritto di invadere la privacy delle persone, attraverso l’accesso ai dati non fisicamente conservati sui server situati nei confini statunitensi.

 

Il giudice della Corte Distrettuale di New York ha invece sentenziato che non conta la posizione geografica dei server, ma la nazionalità dell’azienda che gestisce i dati.

 

Microsoft ha già dichiarato che presenterà appello contro la decisione del giudice:

 

L’unica certezza conseguente alla decisione della Corte Distrettuale di questa mattina è che non rappresenta il passo finale del processo.

 

Presenteremo appello immediatamente e continueremo a sostenere che le email delle persone meritano una forte protezione della privacy negli Stati Uniti e in tutto il mondo.

 

La sentenza potrebbe creare un pericoloso precedente, in quanto altri governi potrebbero imporre alle aziende di consegnare le informazioni digitali degli utenti, senza chiedere la collaborazione delle forze di polizia straniere e senza rispettare le normative sulla privacy in vigore nei paesi dove sono dislocati i server.

 

La decisione del giudice rappresenta anche un danno di immagine per Microsoft.

 

Gli utenti infatti potrebbero perdere la fiducia nei confronti dei servizi cloud offerti dall’azienda di Redmond.

 

Microsoft ha ricevuto l’appoggio di altre società, tra cui Apple, Cisco, Verizon e AT&T, per le quali il governo statunitense non ha il diritto di violare la privacy delle persone, utilizzando un mandato di perquisizione internazionale.

 

L’Unione Europea sostiene che, indipendentemente dal luogo in cui si trova la sede principale dell’azienda, le filiali europee devono sottostare alle leggi europee.

 

Entro fine anno o inizio 2015, le normative sulla protezione dei dati personali verranno aggiornate per impedire ai paesi stranieri, come gli Stati Uniti, di mettere le mani sui dati conservati in un paese europeo.