Motori di ricerca aggiunti a Chrome

I browser che si basano su Chromium, incluso Google Chrome, aggiungono automaticamente alla lista dei motori di ricerca gli URL dei siti che si visitano che rispondono a determinate caratteristiche.

Questo potrebbe essere un comportamento poco simpatico e comunque lesivo della propria privacy. Se un utente cancella la storia dei siti che ha visitato e la cache del browser, i dati dei motori di ricerca aggiunti automaticamente rimangono registrati e devono essere cancellati espressamente in un altro modo. Leggi tutto “Motori di ricerca aggiunti a Chrome”

Fatevi un favore e #SupportLetsEncrypt

Non è la prima volta che se ne parla, vale la pena ripeterlo.

La privacy è una cosa importante ed è un diritto inalienabile: HTTPS aiuta a mantenerla nella nostra vita online, un luogo in cui passiamo sempre più tempo e svolgiamo sempre più attività.

Let’s Encrypt è una Certification Authority gratuita, automatica e aperta. Non è di proprietà di nessuna azienda, ma opera nell’ambito della Linux Foundation ed è una organizzazione 501(c)
Il suo scopo è appunto fornire certificati digitali semplici da usare per arrivare a un 100% encrypted web. Leggi tutto “Fatevi un favore e #SupportLetsEncrypt”

Cambio politiche di AVG

avgIl prossimo 15 ottobre cambierà la politica del trattamento dei dati dell’antivirus gratuito AVG.

Volendo fare una sintesi imprecisa e molto succinta, da giovedì prossimo la società di Brno utilizzerà i dati non personali per scopi commerciali.

Per il nostro diritto un dato personale è quello che identifica una persona. Leggi tutto “Cambio politiche di AVG”

Windows 10: privacy dei default

Windows 10 è scappato da Redmond ed è libero.

Lascio ad altri il compito di fare la cronaca dell’aggiornamento o di raccontare dettagli poco importanti, vorrei soffermarmi qui sulle impostazioni predefinite che interessano la privacy e la sicurezza degli utenti. Leggi tutto “Windows 10: privacy dei default”

Vi sentite più consapevoli della vostra privacy?

No, eh?!

Eppure il Legislatore Europeo ha promulgato una legge che da oggi obbliga ad avvisarvi se un sito vi manda dei cookies di profilazione. Siete degli ingrati.

I cookie sono stati inventati da Lou Montulli nel 1994 ed implementati a partire da Netscape 0.9beta (1994) e Internet Explorer 2.0 (1995); una richiesta di brevetto è stata depositata nel 1995, il brevetto è stato concesso nel giugno 1998.

E nel 2015, quei venti anni dopo, la Comunità Europea ci fa una legge. Leggi tutto “Vi sentite più consapevoli della vostra privacy?”

È la vostra privacy

John Oliver ha intervistato Edward Snowden.

Purtroppo il video originale in questo momento non è visualizzabile in Europa nel Regno Unito, probabilmente cercando su Google si trovano delle versioni alternative fruibili anche dall’Italia senza dover utilizzare metodi alternativi.

John Oliver è, per utilizzare una definizione molto riduttiva, un satirico politico titolare del talk show Last Week Tonight in onda su HBO. Leggi tutto “È la vostra privacy”

È lecito avere qualcosa da nascondere

Ieri l’abbiamo scampata, ma il pericolo è solamente rimandato.

Il primo di quello che, temo, sia una lunga serie di tentativi di contrabbandare come “anti-terrorismo” una legge che annulla la privacy informatica dei cittadini ieri è andato a vuoto. La legge era stata presentata dal viceministro dell’Interno On. Filippo Bubbico.

Il Garante per la protezione dei dati personali aveva fatto scattare l’allarme per primo, seguito da alcuni parlamentari esperti tra cui l’On. Stefano Quintarelli e alla fine il primo tentativo è fallito. Leggi tutto “È lecito avere qualcosa da nascondere”

Verizon traccia gli utenti mobili

Alcuni utenti hanno scoperto (qui e qui per citare degli esempi) che Verizon traccia gli utenti mobili.

Il modo in cui lo fa è particolarmente fastidioso, in quanto ogni richiesta HTTP diretta da un dispositivo mobile verso un server viene aggiunto un header X-UIDH.

L’header X-UIDH viene citato nel brevetto US8763101 B2 concesso quest’anno proprio a Verizon in cui, però, lo scopo dichiarato dell’header è di identificare univocamente un dispositivo per realizzare un’autenticazioni a più fattori.

In questo caso l’header viene applicato a tutto il traffico in uscita ed è una sorta di super-cookie di tracciabilità: i server possono capire se un utente arriva da Verizon e possono tracciare quell’utente utilizzando X-UIDH anche senza inviare alcun cookie al browser dell’utente.

Sembra che nelle opzioni offerte all’utente non ci sia la possibilità di chiedere a Verizon di non iniettare X-UIDH, ma si può solamente chiedere al provider di non rivendere a terzi i dati.

Se in Italia esistono regole più restrittive in merito al trattamento dei dati personali, alcuni servizi potrebbero nascondere negli anfratti del loro contratto di servizio qualche consenso a tecnologia analoghe. Per questo su Siamo Geek è disponibile un visualizzatore degli header inviati dal browser per controllare quali sono gli header ricevuti dal server. (via Web Policy)

Il DRM di Adobe spia gli utenti

Gabbia dei libri / Books cageSul fatto che il DRM non sia una bella cosa ci siamo già ampiamente espressi.

Si dice che nei social network e in molti contesti in cui non si paga per l’utilizzo l’utente è di fatto un articolo che il gestore del servizio vende a chi vuol fare pubblicità.

Una persona che paga per avere una copia crittografata di un libro le cui chiavi sono in mano ad Adobe non si aspetta che Adobe spii ogni suo movimento fatto con il libro acquistato.

Ars Technica e The Digital Reader hanno scoperto che l’ultima versione di Adobe Digital Editions tiene traccia di ogni tipo di utilizzo fatto con i libri acquistati e li comunica in chiaro ad Adobe. Il software non si limita a tenere traccia dei libri protetti da DRM, ma registra l’utilizzo di ogni tipo di file ePUB e comunica ad Adobe tutti questi dati. Leggi tutto “Il DRM di Adobe spia gli utenti”

Sicurezza, trasparenza, facilità d’uso

Lascio all’articolo precedente lo sviluppo del lato tecnico della storia del furto di immagini, qui vorrei fare qualche commento.

In molti abbiamo perso dei dati o abbiamo scoperto che per un errore (nostro o informatico) alcuni dati sono finiti in un contesto pubblico quando sarebbero dovuti rimanere privati. Ma quando si tratta di parti intime di persone famose o dei loro partner l’evento diventa una notizia. Leggi tutto “Sicurezza, trasparenza, facilità d’uso”

Problemi di sicurezza per Tails

TailsTails è una distribuzione Linux basata su Debian che permette di ridurre la tracciabilità di chi la utilizza.

Dopo che sono state segnalate alcune vulnerabilità, il team di Tails ha rilasciato la versione 1.1. In questo momento è assolutamente sconsigliabile utilizzare versioni di Tails minori della 1.1, anche se la procedura di aggiornamento automatico dalla versione 1.0.1 alla 1.1 non è disponibile.

Ieri sono state segnalate altre vulnerabilità della versione 1.1, questa volta nel pacchetto I2P. Il programma non viene avviato automaticamente, quindi chi non lo utilizza non è a rischio. C’è la possibilità che una pagina web creata ad arte utilizzi I2P. In una nota il team di Tails consiglia di disinstallare I2P per avere il massimo della protezione.

Dal momento che non è possibile aggiornare automaticamente alla versione 1.1, se si utilizza una chiavetta con dei dati persistenti, è necessario installare Tails 1.1 su un altro supporto e aggiornare la chiavetta USB di lavoro selezionando l’opzione Clone and upgrade dell’installer di Tails. Questa opzione non cancella i dati persistenti, anche se è necessario reimpostare eventuali password delle reti WiFi che sono state salvate.


Aggiornamenti:

  • 27/7/2014 Modificato il paragrafo relativo alla vulnerabilità di I2P.

Tails

TailsTails è una distribuzione Linux basta su Debian che mette in primo piano la sicurezza e la privacy dell’utente.

Una volta scaricato l’ISO la soluzione più pratica è creare una chiavetta USB avviabile.

All’avvio si può scegliere l’opzione di utilizzare un tema del desktop simile a Windows XP per evitare di attirare troppo l’attenzione di curiosi, anche se con la fine del supporto di XP questa funzione diventa sempre meno utile; per default, Tails cerca di randomizzare il MAC address della scheda di rete utilizzata. Leggi tutto “Tails”

DuckDuckGo

DuckDuckGoDuckDuckGo è un motore di ricerca che garantisce l’anonimato e offre alcune feature interessanti.

L’anonimato è il punto fondamentale del motore: DuckDuckGo non traccia la storia delle ricerche effettuate da un singolo utente e, quindi, non profila gli utenti e le loro ricerche basandosi su ciò che hanno cercato. Come ha rilevato Mikko Hyppönen, la cronologia delle ricerche effettuate da ciascuno può essere utilizzata per incriminarlo o comunque imbarazzarlo.

Il motore di ricerca permette di salvare le impostazioni, ma in maniera assolutamente anonima e volontaria; in ogni caso non viene salvata la cronologia dei termini cercati. Il tutto è protetto da una password, che non può essere recuperata se viene dimenticata, in quanto non viene registrata nessuna informazione che identifica l’utente.

Tutte caratteristiche degne di nota, ma c’è  di più: una cornucopia di funzioni utili a geek, smanettoni e curiosi. Leggi tutto “DuckDuckGo”

Il provider non è responsabile per i reati commessi dagli utenti

GoogleNel novembre 2006 la polizia postale contestava a Google il reato di violazione della privacy perché un utente aveva caricato un video su YouTube che ritraeva un minore disabile malmenato.

La contestazione di per sé poteva sembrare strana a chi conosce come funziona il sistema, ma in primo grado i giudici avevano condannato David Carl Drummond (presidente del CDA di Google Italia all’epoca dei fatti), George De Los Reyes (membro del CDA di Google Italia all’epoca dei fatti) e Peter Fleischer (responsabile delle strategie sulla privacy per l’Europa di Google) a sei mesi di reclusione con la sospensione condizionale della pena.

Mountain View aveva deciso di appellare e in seconda istanza il provider era stato ritenuto non colpevole.

La polizia postale aveva deciso di ricorrere in Cassazione (nel frattempo la famiglia del disabile aveva ritirato la querela) in quanto sosteneva che i provider avrebbero dovuto mettere in campo strumenti di monitoraggio preventivo. Ieri i giudici di piazza Cavour hanno dato definitivamente ragione a Google. Leggi tutto “Il provider non è responsabile per i reati commessi dagli utenti”

Abbiamo il diritto di aver qualcosa da nascondere

F-Secure ha pubblicato un articolo in cui viene spiegato perché è legittimo che le persone oneste abbiano qualcosa da nascondere.

Ho aiutato Paolo Attivissimo a tradurre l’articolo in italiano; qualsiasi sia la lingua, vi consiglio una lettura di quel breve testo.

Il diritto alla privacy non è negoziabile. La storiella che rinunciando alla propria privacy si aiuta a costruire una società più sicura è una clamorosa bugia dimostrabile con i fatti. Chi rinuncia alla propria privacy alimenta uno stato di sorveglianza in cui i diritti vengono erosi uno alla volta. Oggi è la privacy, domani cosa sarà?

How much is too much?

La giusta conclusione dell’articolo è che le persone che rinunciano alla propria privacy forzano i loro amici e contatti a rinunciare alla loro perché i dati che rivelano riguardano anche terzi.

Come non ci fideremmo a consegnare dati o valori materiali ad organizzazioni che non dimostrano di avere una giusta cura nella loro conservazione, così dovremmo iniziare a ridurre le informazioni condivise con chi non pone la giusta attenzione nella gestione dei dati.

Sembra un’affermazione forte, ma se ci si pensa è quello che molti fanno inconsciamente da sempre. Non si rivela un’informazione a chi sappiamo che la direbbe a tutti e rifiutiamo un contatto sui social a persone che hanno contatti che non ci piacciono. È un nostro diritto di auto-tutela e non dobbiamo sentirci colpevoli per questi comportamenti.

Applicazioni ficcanaso

F-Secure App PermissionsHo già detto circa la mia posizione sulle APP dei dispositivi mobili.

Alcune sono, purtroppo, un male necessario ed è diritto dell’utilizzatore di un dispositivo sapere dove vada a ficcare il naso il software che viene installato.

F-Secure ha creato la APP gratuita App Permissions che permette di sapere chi ha il permesso di fare cosa.

Una volta avviata la App Permissions elenca per default le applicazioni installate in ordine decrescente di invasività. Non mi stupisco che WhatsApp sia in testa alla classifica, anche perché non ho la APP di Facebook.

Oltre alla classifica meramente numerica di permessi è possibile vedere il proprio installato in ordine di possibili costi per il traffico dati, dispendio di batteria e impatto sulle informazioni personali. È anche possibile creare dei filtri personalizzati in base ai permessi.

Leggi tutto “Applicazioni ficcanaso”

Controspionaggio

The Big Brother Is Watching YouTutti ci spiano. Prima era uno sospetto, adesso una certezza.

Giornali, opinionisti, blog, social network… Tutti dicono che qualcuno ci spia, ma in pochi dicono come ci si può difendere.

Va da sé che se un’entità governativa o militare decide di mettere una singola persona sotto sorveglianza, le probabilità di eludere la medesima sono veramente basse. Ma i casi presentati sono di raccolta di informazioni a strascico contro le quali qualcosa si può fare.

La teoria da Stato totalitario secondo cui quelli che hanno la coscienza pulita non hanno nulla da temere non solo è contro ogni logica di libertà individuale, ma è confutabile con svariati esempi di “falsi positivi” in cui ci sono andati di mezzo proprio delle persone innocenti. Avere una vita privata senza interferenze è un diritto non negoziabile.

La EFF ha pubblicato un decalogo per difendersi dalla sorveglianza a strascico su Internet che riassumo brevemente di seguito. Leggi tutto “Controspionaggio”

APP o browser?

link a facebookLo dico subito: non sono mai stato un fanatico del fenomeno delle APP, specialmente quando venivano spacciate come “evoluzione” del web.

Riconosco che quando è nato l’iPhone le reti cellulari non erano dei fulmini di guerra per la trasmissione dati, i siti non erano (più) ottimizzati per connessioni a bassa velocità e ovviamente non esisteva (ancora) il concetto di “versione mobile del sito”.

In sé la APP disaccoppia i dati dalla presentazione: la presentazione risiede staticamente sul telefono (client) e i dati vengono pescati dinamicamente dal server via http[s]. Questa tecnica riduce notevolmente il traffico dati perché la presentazione (la APP), che è la parte più cospicua dal punto di vista del traffico, viene trasmessa solo in fase di installazione/aggiornamento.

Ma c’è un pericoloso risvolto della medaglia: una APP è un vero e proprio programma che gira sul telefono a cui vengono concessi dei permessi di accesso da parte dell’utente (si spera in maniera consapevole). Senza contare il fatto che spesso una APP “presenta” dei contenuti del web, senza però offrire la possibilità di ricavare un riferimento ipertestuale (URL) a quei contenuti per trasmetterli o referenziarli altrove. In alte parole, rompe uno dei fondamenti del WWW.

Si può star qui a disquisire sull’opportunità di avere un sistema con più o meno granularità di permessi, ma alla fine la questione è una: le APP tendono a chiedere più privilegi di quelli che hanno bisogno, nel nome della oramai logora “migliore esperienza di utilizzo”.

Facebook è un chiaro esempio di questa espansione e trasformazione verso qualcosa che diventa onestamente eccessivo. Se si guarda l’applicazione per Android, i permessi richiesti sono poco giustificabili ad una prima analisi. Non sono, ovviamente, tirati a caso, ma l’applicazione di Facebook inizia a diventare onestamente troppo invasiva.

Leggi tutto “APP o browser?”

Email privacy tester

Kraun WiFi detectorMike Cardwell ha aggiornato il suo email privacy tester.

Si tratta di un sito che ospita un’applicazione (i cui sorgenti sono disponibili) per verificare quando un client di posta elettronica riveli a terzi.

Un normale messaggio di posta elettronica senza oggetti incorporati o richieste di conferme non può rivelare molto perché l’azione di apertura del messaggio da parte del client di posta elettronica (Outlook, Thunderbird, un webmail o altro) non comporta alcuna interazione aggiuntive con Internet che non sia l’atto di scaricare il messaggio stesso, azione che avviene con il proprio mail server, senza che il mittente abbia traccia di alcunché.

Leggi tutto “Email privacy tester”