La sicurezza nei social networks

Nell’era di WikiLeaks, abbiamo scoperto quanto siano vulnerabili le informazioni e la corrispondenza, segreta o meno, di intere Nazioni. A maggior ragione, i nostri dati personali che pubblichiamo on-line sui social network o sono contenuti in banche dati non adeguatamente protette.

Più sicurezza, meno privacy, dicono i fautori del ricorso massiccio alla tecnologia per i controlli personali. Anche Internet ed i social network divengono fonti di informazione e profiling dell’identità digitale di una persona. L’attività su FB viene sempre più spesso esaminata da società di ricerca personale. Si desidera comprendere le caratteristiche di un individuo, il suo orientamento politico, le amicizie e tutto ciò che scrive nel suo profilo, incrociandolo con quello degli amici, dei gruppi che frequenta ed altro ancora, come la correlazione fra quanto inviato nel curriculum e quanto pubblicato on-line: è la propria identità digitale. Cito Facebook perché in Italia siamo i più ”grandi consumatori” di questo social network. Ovviamente, neanche a farlo apposta, è di questi giorni una particolare attenzione di FB sulla privacy. Qui di seguito il nuovo link che appare a tutti gli iscritti quando inseriscono un post on-line. Ottima cosa, senz’altro, anche se assomiglia molto al famoso adagio “si chiude la stalla quando i buoi sono scappati”: http://www.facebook.com/privacy/explanation.php.

Nell’era di WikiLeaks, abbiamo scoperto quanto siano vulnerabili le informazioni e la corrispondenza, segreta o meno, di intere Nazioni. A maggior ragione, i nostri dati personali che pubblichiamo on-line sui social network o sono contenuti in banche dati non adeguatamente protette. Nel link http://www.youtube.com/watch?v=KpLNlSKugHw&feature=related, si mostra come la CIA usi FB per raccogliere informazioni, pescando nel grande “serbatoio” dello stesso. Che sia vero o meno, è qualcosa su cui riflettere. Se si leggono le condizioni di FB, accettate da ognuno di noi nel momento in cui cediamo le nostre informazioni alla rete, c’è da rimanere attoniti: “Facebook may also collect information about you from other sources, such as newspapers, blogs, instant messaging services, and other users of the Facebook service through the operation of the service (eg. photo tags) in order to provide you with more useful information and a more personalized experience. By using Facebook, you are consenting to have your personal data transferred to and processed in the United States.” Praticamente, FB può fare quello che vuole del nostro profilo. In merito alle condizioni con cui accediamo a FB e ad altri social network, ecco la lista parziale delle informazioni messe a disposizione di chiunque: nome, dati anagrafici, indirizzo, telefono, e-mail, sesso, abitudini, preferenze, credo politico e religioso, corso di studi, ed un’infinità di altre informazioni facilmente ricavabili dai post inseriti. Potenti software sono stati predisposti per incrociare le informazioni e profilarle, fino ad arrivare ad esprimere una valutazione di ciascuno di noi in base a quanto ricercato o richiesto. Curioso è il termine forgiato per indicare il fenomeno: “data mining”¹ . Un dato significativo da tenere a mente è che FB, come youtube ed ogni altro social network, dispone di centinaia di milioni di foto e consente un’attività definita “sosia network”: è facile trovare un nostro sosia utilizzando un apposito software, creato inizialmente per gioco, vedi quello della Coca Cola, e poi usato anche per indagini di polizia, il cosiddetto “forensic”. Questa attività illegale è divenuta una vera e propria fabbrica di identità rubate. Risulta infatti semplice clonare una persona rubandogli quanto di più personale possiede: il proprio volto.

La stessa FB ha indirettamente ammesso questa pratica creando una propria area denominata Reporting Fake/Fraudulent Profile, http://www.facebook.com/topic.php?uid=69178204322&topic=16194. Ovviamente, anche qui la parola Mafia esce fuori. Osservate questo link: User ID’s from Mafia Wars profile page? http://www.facebook.com/topic.php?uid=71775107787&topic=198262. L’uso di queste tecnologie per scopi delinquenziali è ancora tutto da scoprire. Ad esempio, è possibile creare un profilo identico ad un’altra persona basandosi sulle informazioni di un terzo. Al contrario, si può partire da una foto e creare intorno ad essa un altro profilo, dando vita ad una persona completamente identica nelle fattezze, ma con diverse informazioni e dati personali. Sarà un gioco da ragazzi realizzare un documento di identità falso o un’“identità digitale” interamente nuova. Questo è uno dei tanti avvisi di una scuola americana “Facebook, a social network service, is increasingly being used by school administrations and law enforcement agencies as a source of evidence against student users. The site, a popular online destination for college students, allows users to create profile pages with personal details. In the early years of the site, these pages could be viewed by other registered users from the same school, including resident assistants, campus police, or others who signed up for the service. The user privileges and terms of service of the site have since been changed to allow users to control who has the ability to view their content. Recent disciplinary actions against students based on information made available on Facebook has spurred debate over the legality and ethics of school administrators’ harvesting such information. Facebook’s Terms of Use specify that “the website is available for your personal, noncommercial use only”, misleading some to believe that college administrators and police may not use the site for conducting investigations.

However, Facebook spokespeople have made clear that Facebook is a public forum and all information published on the site should be presumed available to the general public, school administrators included. Legal experts agree that public information sources such as Facebook can be legally used in criminal or other investigations”. In Italia ci si sta avviando verso un uso esteso della rete e verso la raccolta di dati che interessano l’intera popolazione. Alcuni dei progetti riguardano il fascicolo personale elettronico, sostenuto dall’adozione della CEC PAC, contenente le comunicazioni tra Cittadino e Pubblica amministrazione ed il fascicolo sanitario elettronico, contenente i dati sanitari di tutti i cittadini. Questi si aggiungono ad un numero indefinito di banche dati tenute da vari enti, in via di completa digitalizzazione ed ancora non interoperabili tra loro. Alcune sono però già fruibili on-line. Le più comuni sono l’anagrafe dei comuni, l’Agenzia delle Entrate, il Pubblico Registro Automobilistico, oltre a tutte le strutture che raccolgono informazioni on-line tramite moduli di iscrizione più o meno protetti e più o meno plausibili. I segreti dei polverosi archivi cartacei stanno per essere violati e trasformati in bit. Il passaggio dalla carta al virtuale è epocale e quanto mai necessario. Siamo preparati? Direi di no. Non lo siamo mentalmente e non lo siamo neanche tecnicamente. Non mi risulta sia stato eseguito uno studio su cosa ciò significhi. Nulla si è fatto per garantire la sicurezza degli archivi che contengono i dati di tutti gli Italiani. È un po’ come andare alla cieca: poi qualcosa si farà o avverrà! Sono solo alcuni esempi, ma ci sarebbe da scrivere libri in materia. Per questo sono arrivato alla convinzione che: OGNI BASE DATI È A RISCHIO INTERCETTAZIONE NEL WEB. NON ESISTE L’ASSOLUTA SICUREZZA DEI DATI. È una sorta di sport mondiale tra gli hackers, quello di violare i dati altrui. Uno sport che richiede impegno, forza ed è assolutamente rischioso. Ma, alla fine, è un piacere immenso mettere le informazioni violate a disposizione di tutti! WikiLeaks insegna! In Italia, il tema dell’identità digitale è quanto mai attuale, alla luce di clamorosi e recenti episodi di cronaca nera e di processi giudiziari che hanno coinvolto emotivamente l’opinione pubblica. Diventa sempre più spesso determinante la “prova digitale”: si può essere assolti o condannati in base alle “tracce d‘uso” di computer e telefoni cellulari ed alle frequentazioni dei social network. È quindi il caso di riflettere con attenzione su come si formino queste “prove digitali” e su come vengano valutate. Insomma, l’identità digitale pesa sempre di più nella vita di ognuno, ma il dibattito resta ancora confinato nel ristretto ambito degli addetti ai lavori. Vorrei confutare quella sorta di teorema ormai accettato nelle aule di giustizia. Chiamiamolo, per comodità, “Teorema della quattro P”.

È invalsa la consuetudine – divenuta purtroppo prova in alcune sentenze ed investigazioni recenti (Garlasco, Perugia, Sarah Scazzi, il rapimento di Yara) – di considerare computer e cellulare elementi primari di indagine. Il proprietario di essi può così sostenere di aver lavorato in un certo giorno e ad una certa ora e, in alcuni casi (cellulare), affermare di trovarsi in un certo posto. Il teorema che la proprietà o il possesso di tali oggetti costituisca prova di averli usati è tutto da sfatare, soprattutto nel caso in cui l’identità dell’utilizzatore non sia più fisica, ma digitale. A maggior ragione, gli apparati localizzabili attraverso tecnologie (GSM o GPS). La proprietà o il possesso di un apparato usato per comunicare non certifica quindi:
• chi ne faccia uso;
• il luogo in cui si trovi;
• quando l’abbia usato;
• per quanto tempo l’abbia usato.
In sostanza, non è possibile stabilire che proprietà, possesso, uso, siano identificabili con una specifica persona fisica. Nessuna tecnologia è in grado di fornire queste certezze. Gli apparati digitali, quali computer, cellulari, smartphone, possiedono vita e personalità autonome, indipendentemente da chi li possieda e li usi. Come vedremo, anche le più recenti ricerche tecnologiche sulla sicurezza non sono riuscite a risolvere completamente questo importante tema. L’identità digitale rimane quindi un problema grave ed irrisolto. L’identità di chi opera con un computer/cellulare é nota solo a chi ne fa uso. L’operatore comunica, inserisce e riceve dati, sottoscrive digitalmente contratti, accetta clausole – interloquisce, insomma – con un’altra entità digitale, anch’essa sconosciuta. Neanche i più moderni sistemi di trasmissione dati (Posta elettronica Certificata, certificati con firma digitale) certificano chi riceve e trasmette un messaggio di posta elettronica. Facciamo un esempio banale, ma che evidenzia il problema: Bruno invia un messaggio ad Anna (che ha lasciato il PC incustodito).
Davanti al PC di Anna potrebbe esserci chiunque, nonostante crittografia e firma digitale. Il certificato residente nel computer fa ritenere a Bruno che, dall’altra parte, ci sia Anna. In realtà, potrebbe esserci un’altra persona che millanta l’identità della donna ed intercetta i dati trasmessi. La stessa cosa accade se si usa una connessione sicura X509 (SSL), tipica dell’home banking: Anna lascia il PC incustodito con il proprio certificato installato. Al posto di Anna potrebbe esserci chiunque. Il certificato residente nel computer fa sì che qualsiasi controllo del sistema non rilevi nulla di anomalo, poiché l’intruso impersona e sostituisce Anna. Scenario analogo se si scambiano messaggi con i cellulari. Quando si riceve un SMS da un numero noto, ciò non significa che “il pollice” sia della persona che si conosce. Non è il cellulare a stabilire “l’identità” dell’apparato, bensì la SIM, che può essere stata prelevata da un telefono ed introdotta in un altro. Clonare una SIM è facile. Basta uno scanner da pochi euro.

I tecnici di tutto il mondo si basano su questi concetti cardine:
1) something you have (qualcosa che solo tu hai)
2) something you know (qualcosa che solo tu conosci)
Sono gli assiomi dell’identità digitale. Le soluzioni fin qui adottate (user ID e password, sistemi biometrici, ecc.) non si sono dimostrate esaustive. La conoscenza dei nostri user ID e password, se abbinata ad un dato biometrico, offre un livello di sicurezza buono, ma non assoluto. La cinematografia ci ha proposto situazioni al limite, in cui una persona agisce sotto minaccia ed è costretta a rivelare user ID e password e, addirittura, si sottopone al controllo biometrico. Il sistema di sicurezza è così tratto in inganno dalla falsa identità digitale. Ci sono anche altri stratagemmi per bypassare la barriera biometrica.
I sistemi di difesa possono essere di due tipi:
1) controlli a distanza;
2) controllo accessi.
I controlli a distanza prevedono l’uso di PIN, per attivare, ad esempio, il telefono cellulare, prelevare denaro dal bancomat, effettuare operazioni di home banking, accedere ad un server via FTP, ecc. Il controllo accessi comprende l’ingresso in un particolare edificio, oppure la verifica del passaporto alla frontiera. Negli Stati Uniti, i funzionari prelevano anche le impronte digitali e scattano una foto a chi entra nel Paese.

I due sistemi hanno in comune la ricerca continua di soluzioni che rendano le procedure semplici e veloci. È il caso dell’evoluzione dal passaporto tradizionale a quello biometrico. La direzione di marcia è la cosiddetta autenticazione multipla, basata cioè sull’acquisizione di informazioni che possano essere incrociate e verificate all’istante. Con buona pace della privacy. Lo sa bene chi si è recato di recente negli Stati Uniti. Innanzitutto, prima di partire, ci si deve registrare nel sito web dedicato.

All’arrivo, poi, è obbligatorio (e si pagano anche 14 dollari) farsi fotografare e sottoporsi al prelievo multiplo delle impronte digitali. C’è poi la recente introduzione (non dappertutto) del body scanner. La banca dati del servizio di immigrazione si arricchirà dunque di queste informazioni personali:
• dati anagrafici completi;
• luogo in cui si andrà a risiedere negli Stati Uniti;
• dati biometrici da confrontare con il passaporto elettronico;
• foto;
• compagnia aerea, scopo del viaggio e altro ancora.

Nel prossimo futuro (ma in alcuni casi è già realtà) è previsto:
1) lo scanning di tutto il corpo, con particolare attenzione a caratteristiche principali ed eventuali malformazioni;
2) l’esame minuzioso del contenuto di ogni oggetto contenuto nella valigia imbarcata e nel bagaglio a mano;
3) la creazione di una cartella personale del viaggiatore, che verrà riesaminata ad ogni ingresso successivo negli Stati Uniti.

CONCLUSIONI:
Allontanarsi da Internet? Questa è una delle domande che mi pongono spesso. Certo che no! Abbiamo ignorato per troppo tempo ogni forma di prudenza nell’uso della rete. Ora, direi che il segreto consiste in questa massima: “Nel mondo digitale la prudenza deve essere eguale a quella usata nella vita reale”.

1 Il data mining è una tipica applicazione informatica (solitamente fa parte di un sistema esperto), usata per rintracciare (ed accorpare) dati significativi sepolti sotto una montagna di informazioni irrilevanti. Il termine inglese mining fa proprio riferimento al lavoro di estrazione nelle miniere.

Massimo F. Penco
Consulente dell’FBI, membro dell’Institute of Electronic Engineers USA.
Ricercatore di computer crime, sicurezza dei sistemi di comunicazione e reti informatiche

Massimiliano Fanni Canelles

Viceprimario al reparto di Accettazione ed Emergenza dell'Ospedale ¨Franz Tappeiner¨di Merano nella Südtiroler Sanitätsbetrieb – Azienda sanitaria dell'Alto Adige – da giugno 2019. Attualmente in prima linea nella gestione clinica e nell'organizzazione per l'emergenza Coronavirus. In particolare responsabile del reparto di infettivi e semi – intensiva del Pronto Soccorso dell'ospedale di Merano. 

Rispondi