- 13/09/00 - News - Redmond (USA) - Microsoft è in queste ore di
nuovo sulla graticola per una nuova funzionalità di Internet
Explorer: la Persistence, una capacità che molti ritengono un serio
rischio per la privacy degli utenti. Persistence, persistenza, è
una tecnologia pensata per ridurre le comunicazioni tra sito Web e
browser ma lo fa "troppo bene" e per di più non avverte
l'utente delle sue "implicazioni". L'idea dietro
Persistence è di agevolare la navigazione all'utente e di
alleggerire il carico di lavoro del server Web nonché facilitare la
creazione di una serie di funzioni di personalizzazione delle pagine
Web. Per dirla con Microsoft: "Un elemento particolarmente
antipatico per l'utente Internet è andare su una pagina Web,
personalizzarla, lasciarla e poi tornarci sopra per scoprire che è
cambiata: le personalizzazioni sono scomparse, i form già riempiti
sono di nuovo vuoti e la pagina deve essere aggiornata. Il nuovo IE
risolve una parte di questi problemi consentendo la persistenza
della pagina Web sul computer dell'utente con un tag apposito".
Però sono in pochi, in queste ore, a ritenere che Persistence possa
essere vista solo in questo modo. Lo spagnolo Guille Bisho che ha
denunciato Persistence sulla mailing list di security Bugtraq, la
descrive così: "Il metodo consente al sito di archiviare le
ricerche effettuate dall'utente sul proprio motore di ricerca pur
senza l'uso di cookies o di password e login. Si possono disattivare
i cookies, cancellarli, scollegarsi dal provider, chiudere Internet
Explorer, riavviare il computer, ricollegarsi e i dati saranno lì
di nuovo". Microsoft ha confermato che sta studiando la cosa,
ha ammesso che con un uso attento della tecnologia un sito potrebbe
seguire le tracce nel tempo di un proprio visitatore violando così
la sua privacy ma ha anche difeso Persistence facendo notare che la
grande maggioranza degli utenti a causa dei cookies è già esposta
allo stesso livello di "rischio". Stando a Micheal
Wallent, manager di prodotto di IE in Microsoft: "Questa
funzionalità ha un lato negativo, come quasi qualsiasi altra
funzionalità su Web. In questo caso si tratta di un disequilibrio
tra una funzionalità e un rischio privacy solo potenziale e minore.
Questo potrebbe rappresentare un problema solo per l'utente che ha
disabilitato tutti i cookies e teme qualsiasi identificazione".
Piuttosto duro l'intervento di Richard Smith, uno dei boss della
Privacy Foundation: "Se si disabilitano i cookies ma c'è
un'altra cosa che ha le stesse funzioni, che si aspettano che uno
faccia? Altro problema sta nel fatto che se le aziende online si
rendono conto che sono in troppi a disabilitare i cookies, allora
adotteranno tutte questa funzionalità". In queste ore Wallent
ha spiegato che Microsoft effettuerà una serie di test, per esempio
per verificare se le informazioni archiviate si azzerano quando si
azzera la cache di Internet Explorer, e per trovare eventuali altre
soluzioni. (da www.punto-informatico.it)
- Un bug nella distribuzione Java di Netscape, potrebbe rendere
vulnerabili agli attacchi, i pc degli utenti anche solo visitando un
sito con del codice scritto appositamente per sfruttare la
debolezza. Dan Brumleve ha scoperto il buco nel browser Netscape
Navigator che permetterebbe ai malintenzionati di vedere i contenuti
dell'hard disk dell'utente. Netscape non ha ancora reso disponibile
un patch per risolvere il problema, al momento l'unica cosa sicura
sembra essere disabilitare il lettore Java. Tutte le versioni di
Netscape Navigator e del Communicator sarebbero affette dal problema
che riguarda tutti i sistemi operativi, anche se per qualcuno gli
utenti Macintosh potrebbero esserne immuni. Secondo Richard Stagg,
architetto senior di Information Risk Management, i rischi per
l'utente privato, sarebbero rilevanti: "Gli home-users
rischiano seriamente accessi esterni ai loro files. L'unica
raccomandazione può essere di disabilitare Java". Per
disabilitare Java in Netscape andare in "Edit",
"Preferenze", ciccare su "Avanzate" e quindi
togliere il check dalla casella "Abilita Java".
(http://www.informatica.jackson.it)
- "CARNIVORE" è il nome dell'apparecchio
che l'FBI sembra aver istallato col consenso di una cinquantina di
internet provider statunitensi, allo scopo di controllare le e-mail
ritenute sospette. La denuncia è partita da un gestore che si è
rifiutato di piegarsi alla "ragion di stato" addotta
dall'ente federale. Janet Reno, ministro della giustizia, ha
risposto semplicemente: "indagheremo e se saranno necessarie
nuove norme le introdurremo". Intanto l'"unione
per le libertà" ha reagito duramente "E' un approccio
del genere 'fidatevi, noi siamo il governo. E' un po' come se l'Fbi
potesse avere accesso a tutte le conversazioni telefoniche di una
compagnia semplicemente 'assicurando' che ascolterà solo quelle che
gli interessano".
-MEDIAMENTE ore 8.05 del
10/05/2000 ha elogiato il sito IctrlU per la sua attenzione ai
problemi della privacy. Se avete perso la puntata potete consultare
la referenza on-line.
-Echelon in realtà, avevano scritto Campbell e altri, è
soprattutto un sistema di spionaggio economico Usa ai danni
dell'Europa. "Tutti i fax e le telefonate tra il consorzio
europeo Airbus e le aerolinee saudite furono utilizzati per far
vincere un bando di gara a sei miliardi di dollari alla Boeing e
McDonnell Douglas", aveva affermato Campbell. E ancora:
"Nel 1994 sfumò un contratto tra la francese Thomson Csf e il
governo brasiliano per la fornitura di un sistema di sorveglianza
delle foreste amazzoniche. Il contratto venne vinto dalla Raytheon
americana".
-"Chiunque sia politicamente attivo potrebbe finire negli
schermi della Nsa", aveva detto la scorsa settimana Wayne
Madsen, venti anni alle dipendenze dei servizi segreti americani. E
oggi sono arrivati i primi nomi. A passarli al Sunday Times è stato
un ex 007. Che ha spiegato come anche il Pontefice e Madre Teresa
siano finiti nei tabulati di Whitehall. Così come Lady D, a causa
delle sue ferventi attività di beneficenza.
Curioso il caso di Mark Thatcher, figlio della Lady di ferro. La
quale negli anni '80 - come ha spiegato un altro ex agente, di nome
Mike Frost - ha approfittato di Echelon per spiare due suoi ministri
dei quali si fidava poco, delegando per ragioni di riservatezza i
servizi segreti canadesi. Pochi anni dopo però la situazione si è
invertita. E suo figlio è stato ripetutamente intercettato mentre
faceva da mediatore in un poco chiaro traffico di armi tra Gran
Bretagna e Arabia Saudita.
-Secondo quanto rivela la Cbs in "60 minutes", la Nsa
gestisce Echelon - un supercomputer collegato a stazioni d'ascolto e
satelliti - insieme ai servizi di Canada, Gran Bretagna, Australia e
Nuova Zelanda. Lavorando soprattutto sulla base di parole-chiave,
come bomba, terrorismo, e così via. In questo modo - ed è uno dei
pochi aspetti comici della vicenda - spesso anche le telefonate di
innocenti cittadini di altri paesi finiscono per essere nel mirino
degli 007 di Echelon. Frost fa un esempio: una donna disse in una
conversazione con un'amica che il figlio aveva fatto una figuraccia
in una recita scolastica, usando l'espressione "he
bombed". Conseguenza: Echelon si è allertato e l'analista,
incerto sul senso della frase, ha inserito la donna in una lista di
persone pericolose. "Quello che mi turba è che non si possono
addossare responsabilità e non c'è garanzia per innocenti che
finiscono nella rete", dice Frost.
E non basta. La maxirete viene usata anche per scopi interni. Frost
spiega che i vari paesi che aderiscono a Echelon possono aggirare le
leggi nazionali sulla privacy, chiedendo agli altri membri di fare
il lavoro contro i propri cittadini. E cita l'esempio del suo capo
in Canada, che spiò funzionari governativi britannici per conto
dell'allora premier Margaret Thatcher: "Aveva due ministri che
secondo lei erano 'fuori gioco'... così il mio capo...intercettò
le conversazioni di quei due ministri. Il parlamento britannico può
negare tutto. Loro non hanno fatto nulla. Noi l'abbiamo fatto per
loro", racconta l'ex agente.
-"Abbiamo spiato l'Europa in passato a causa della corruzione
economica. E spero che gli Stati Uniti continuino a farlo".
James Woolsey, ex direttore della Cia, non può essere certo
accusato di esprimersi con giri di parole. Con una dichiarazione
bomba, quello che fino a pochi anni fa era l'uomo più potente
dell'intelligence americana ha svelato un'altra importante fetta di
verità su Echelon, la rete di intercettazione elettronica mondiale
coordinata dai servizi segreti degli States e supportata da quelli
di Canada, Gran Bretagna, Australia e Nuova Zelanda. Aggiungendo ai
sospetti già avanzati dal Parlamento europeo, anche il movente:
l'abitudine delle imprese del Vecchio continente di pagare tangenti
per aggiudicarsi gli appalti.
Woolsey di spionaggio
industriale non vuole proprio sentir parlare: "Io uso questa
espressione quando voglio dire che si spia per beneficiare
direttamente una impresa. Non parlo di spionaggio industriare se gli
Stati Uniti spiano una società europea per scoprire se essa sta
usando la corruzione con lo scopo aggiudicarsi in Asia o America
Latina appalti che non avrebbe la possibilità di vincere
onestamente".
ECHELON: un
altro tassello verso la verità. Wired
ha annunciato che Jeffrey Richelson, un ricercatore del National
Security Archive, un'associazione indipendente e non governativa
nata nella George Washington University, avrebbe scoperto tra alcuni
documenti desecretati della NSA le prove dell'esistenza di un
programma chiamato Echelon. Ma tale programma secondo Richelson
sarebbe molto più limitato (anche geograficamente) di quanto si
pensi e non inchioderebbe la NSA. Dal canto suo l'agenzia di
sicurezza governativa non ha confermato quanto detto dal
ricercatore, ma ha affermato "Non abbiamo mai spiato i
cittadini americani anche perchè il nostro regolamento interno lo
vieta espressamente e abbiamo sempre preso questa restrizioni molto
sul serio". Di quello che è trapelato fin ora si sa che si
parlerebbe di Echelon con riferimento alla base militare di Sugar
Grove in West Virginia e ad un programma di intelligence congiunto
tra Gran Bretagna e USA finalizzato alla condivisione di
informazioni riservate. Nel documento però sarebbero evidenziati
anche i limiti del programma cioè fare in modo che la privacy dei
cittadini americani venisse preservata. A chi credere? Riflettete su
una cosa: se la parola Echelon si trova in documenti desecretati
perchè la NSA non avrebbe dovuto parlarne? Mi puzza tanto di
montatura per calmare le acque.
Brutta sorpresa per
chi pensava che il sistema GSM fosse impossibile da intercettare e
garantisse la massima sicurezza per la privacy delle conversazioni.
Due ricercatori
israeliani, Alex Biryukov e Adi Shamir, hanno dichiarato di aver
scoperto come decodificare le conversazioni dei telefoni cellulari
GSM, che fino ad ora sembravano a prova di 'hacker'. Un comune
personal computer (un Pentium con 128MB di RAM e un capiente disco
fisso) collegato ad un radio-scanner sarebbe sufficiente ad
esaminare il segnale di una chiamata di pochi minuti per poter
ricavare la chiave utilizzata per criptare tutte le conversazioni.
Il sistema di
sicurezza su cui è basata la rete GSM utilizza un codice segreto a
40bits per criptare i dati della voce. Nonostante questo codice non
venga mai trasmesso dal cellulare al gestore, secondo Biryukov e
Shamir, può essere scoperto esaminando sul segnale della voce, che
può essere facilmente intercettato con uno scanner.
Una possibile
soluzione sarebbe quella di rimpiazzare le SIM dei telefoni
cellulari, passando ad un codice segreto a 64 bits, invece dei 40
attuali. Ovviamente anche i sistemi informatici dei gestori
andrebbero adeguati tecnicamente.
In questo modo il
tempo necessario alla decodifica della chiave segreta passerebbe da
poche ore ad alcune centinaia di migliaia di anni. Un esperto
americano di crittografia, che ha chiesto di non essere nominato,
afferma che difficilmente si passerà ad un sistema più sicuro. I
servizi segreti e le forze dell'ordine perderebbero la possibilità
di ascoltare in tempo reale le conversazioni in quanto
l'aggiornamento delle attrezzature sarebbe economicamente
improponibile. (da www.telefonino.net)
-Ogni volta che si inserisce un cd nel lettore interno del computer,
e ci si collega ad Internet, il titolo del disco, i brani che
ascoltate, la vostra identità e qualche altra informazione
spicciola, come, ad esempio il vostro indirizzo di posta
elettronica, vengono trasmessi attraverso la rete, raggiungono un
gigantesco database, dove vengono conservati e da dove possono
essere utilizzati da persone che voi non conoscete e per scopi a voi
ignoti. Non è la trama di un ennesimo film dedicato al "grande
fratello elettronico", ma quello che accade davvero quando
utilizzate uno dei più popolari software audio dell'ultima
generazione, il Real Jukebox della RealNetworks.
E' quanto ha scoperto
Richard M. Smith, un consulente Internet indipendente che ha reso
noti i dati di una sua accurata indagine scatenando le immediate e
giustificatissime proteste delle associazioni dei consumatori
statunitensi e di quelle che difendono il diritto alla privacy dei
navigatori web. Sotto accusa, insomma, non è tanto il sistema
attraverso il quale l'azienda di Rob Glaser, che attraverso prodotti
popolarissimi come il RealPlayer ed il RealJukebox domina il mercato
dell'audio e del video via Internet, ottenga questi dati, quanto il
fatto che lo faccia all'insaputa degli utenti. David Richards, vice
presidente della RealNetworks, ha dichiarato, infatti, che lo scopo
dell'acquisizione dei dati è quello di offrire servizi
personalizzati agli utenti e che le informazioni non vengono
conservate su computer della RealNetworks o distribuite ad altre
aziende. (...per la serie "il buon samaritano" (nota
personale).
I dati vengono girati
direttamente al database della CDDB, che contiene i titoli dei cd e
le liste delle canzoni di milioni di dischi, consentendo al
RealJukebox di mostrare all'utente i dati del disco quando lo
desidera. Uso legittimo e regolare, dunque, ma non sta scritto da
nessuna parte, nella licenza, nei siti, o in nessun altro documento
ufficiale della RealNetworks che il software in questione è
abilitato a funzioni di questo genere, e la Real non richiede
all'utente nessuna autorizzazione. Autorizzazione che andrebbe in
realtà richiesta, perché oltre agli innocui dati del cd che stiamo
ascoltando, il RealJukebox conosce anche quali altre canzoni abbiamo
nei nostri pc, in che qualità e in che formato le abbiamo
registrate, e quante volte le ascoltiamo.
Alla RealNetworks, per
ora, non sono preoccupati dalla polemica sul loro modo di operare,
sono certi che, visto che i dati non sono sui loro computer e che
anche quando arrivano alla CDDB vengono distrutti dopo pochi giorni,
il loro comportamento non infranga la legge. Ed uno dei general
managers dell'azienda di Seattle ricorda che la Real è una delle
aziende che, a differenza di altre, protegge strenuamente l'identità
dei propri utenti: "Più di 250 software diversi utilizzano lo
stesso database trasmettendo anche l'identificativo degli utenti,
noi invece identifichiamo tutti come users@real.com . E come se non
bastasse utilizziamo un "proxy server" per mascherare
certi dati".
Secondo alcuni
responsabili dell'industria discografica il sistema messo a punto
dalla Real potrebbe in realtà essere utilizzato per trovare traccia
dei pirati dell'Mp3, che copia e distribuisce illegalmente musica
via Internet, ma sia Richards che Banfield negano che sia interesse
della Real muoversi su questo terreno. Richards conferma che i dati,
in realtà, servono soltanto al software stesso per comprendere se
l'utente è un esperto o un novizio, e
nel primo caso il programma guida l'utente automaticamente verso
funzioni più avanzate.
Molte altre aziende,
ed in primo luogo la Microsoft, sono state accusate in tempi recenti
di utilizzare i dati che ricevono dagli utenti in maniera impropria
e da diverso tempo circola la "leggenda metropolitana"
secondo la quale i prodotti dell'azienda di Bill Gates possano
spiare cosa contengono gli hard disk con grande facilità. Può
anche essere vero, anzi in molti casi è certamente così, come
accade del resto per molte altre faccende elettroniche, basti
pensare alle società che gestiscono le carte di credito, che
conoscono alla perfezione cosa compriamo, quando, dove e di quanti
soldi disponiamo. Il problema è che gli utenti debbono sapere
quando e perché sono monitorati, e questo la RealNetworks non lo ha
fatto, creando un pericoloso precedente. (da www.repubblica.it)
- Sulla possibilità di intercettare i telefoni GSM senza l'aiuto
dell'operatore, ci sono parecchie discussioni: c'è chi dice che sia
possibile, chi invece sostiene che lo standard è assolutamente
robusto e la sua sicurezza non può essere compromessa.
La rete GSM, a
differenza di quella TACS, è digitale: il segnale prima di essere
trasmesso viene convertito in una stringa di numeri. Ciò significa
che se si tentasse di intercettare le comunicazioni con un comune
scanner, si potrebbe ascoltare solo un ronzio (la trasmissione dei
bit).
In ogni canale radio
vengono multiplexate contemporaneamente le conversazioni di 8 utenti
e ogni conversazione utilizza in sequenza tutti i canali disponibili
nella cella radio (Frequency Hopping): in pratica, la durata di
utilizzo di una canale radio in modo continuato è pari a 45
microsecondi.
Inoltre la sequenza di bits sulla tratta radio non viene trasmessa
in chiaro, ma viene crittografata attraverso l'utilizzo di chiavi
(diverse per ogni abbonato).
Pur disponendo delle
apparecchiature hardware/software (si potrebbe usare un telefono GSM
modificato) in grado di decodificare il segnale digitale, per poter
intercettare una conversazione si rendono necessari alcuni
parametri, memorizzati sia sulla carta (IMSI=International Mobile
Subscriber Identification) che all'interno del network (chiave di
autenticazione, chiave di crittografazione).
Tra questi, la chiave di autenticazione viene variata spesso su
richiesta del network (in base al settaggio effettuato
dall'operatore radiomobile GSM, potrebbe essere variata anche ogni
volta che il telefono colloquia con il sistema, ad esempio per
comunicare la posizione o per completare una chiamata).
In pratica, riuscire
ad intercettare la conversazione risulta estremamente complesso
nella tratta radio tra telefono GSM e stazione radio base, ma
altrettanto non si può dire per il percorso tra stazione radio base
e centrale di commutazione. In questo caso infatti nella
maggiorparte dei casi i segnali sono trasmessi in chiaro tanto per i
link effettuati con linee terrestri quanto per quelli realizzati con
sistemi a microonde.
La vulnerabilità
della tratta tra stazione radio base e centrale di commutazione è
stata dimostrata lo scorso anno dal Dottor Ross Anderson
dell'Università di Cambridge, in occasione di un concorso indetto
dalla compagnia tedesca Mobilcom. Il ricercatore, che ha vinto il
premio in palio di 100.000 marchi tedeschi, è riuscito ad inserirsi
nella rete GSM, facendo una chiamata a carico di un altro numero.
Attualmente esiste un
sistema che è in grado di intercettare tutte le conversazioni di
uno specifico abbonato GSM, senza la collaborazione dell'operatore
radiomobile.
Tale sistema, progettato dalla Gcom Technology, è stato realizzato
modificando una stazione radio base GSM e compattandola in un box di
piccole dimensioni.
Come funziona.
E' necessario attivare il box Gcom in prossimità dell'abbonato che
si vuole intercettare.
La nuova stazione radio base si presenta al telefonino target (ma
anche a tutti quelli del circondiario) come se fosse parte
integrante della rete GSM reale.
Dal momento che la stazione Gcom genera un canale di controllo con
un segnale più forte rispetto a quello della rete GSM reale, il
telefonino, dopo aver effettuato delle misure di segnale, si
registra sulla stazione fittizia.
La stazione Gcom si presenta al network GSM reale, come un
telefonino GSM, che contiene i dati dall'abbonato target.
Da questo momento in
poi tutte le chiamate da e verso il telefonino verranno completate
attraverso la stazione radio base Gcom, collegata in modo
trasparente alla rete GSM. Le conversazioni intercettate sul
telefonino target possono quindi essere registrate in locale e/o
essere inviate automaticamente attraverso una linea GSM ad un centro
di controllo.
Naturalmente questo
sistema è molto complesso da utilizzare (richiede una competenza
specifica elevata) ed inoltre, dal punto di vista economico, non è
alla portata di tutti.
Inoltre per un
corretto funzionamento è necessario conoscere con esattezza la
posizione dell'abbonato e se questo è in movimento è necessario
seguirlo.
Naturalmente le
capacità di intercettazione che ha l'operatore sono nettamente
superiori a quelle offerte dal sistema Gcom.
Ricordiamo che l'operatore, oltre alla possibilità di intercettare
le chiamate, è anche in grado di conoscere la posizione di ogni
abbonato con una buona approssimazione. Infatti il sistema conosce
in ogni momento il tempo impiegato dal segnale radio per andare
dalla stazione radio base al telefono GSM e viceversa.
Una migliore
approssimazione (qualche decina di metri) è possibile attraverso la
triangolazione se il telefono si trova sotto il raggio di copertura
di più celle; infatti il segnale del telefono è ricevuto anche
dalle celle radio adiacenti a quella in cui il telefono è loggato,
che conoscono con esattezza il ritardo di propagazione del segnale
(da questo si risale alla distanza). ( fonte www.gsmbox.com
)
- Secondo un'informativa diffusa da Microsoft (Nasdaq: MSFT),
gli operatori dei siti Web potrebbero leggere i file dei sistemi
locali solo se conoscessero il loro nome e la cartella nella quale
sono contenuti. La falla del sistema di sicurezza non permette a chi
ha intenti criminosi di visualizzare il contenuto delle cartelle, né
di creare, modificare o cancellare file, né tanto meno di
controllare i PC degli utenti. La società sta sviluppando una patch
che dovrebbe eliminare il problema. Nel frattempo, Microsoft
raccomanda agli utenti di inserire i siti Web di fiducia all'interno
di "Trusted Zone" in Internet Explorer 5.0, e di
disattivare la funzione Active Scripting contenuta nella
"Internet Zone". Attraverso queste semplici azioni, sarà
garantita la completa funzionalità dei siti di fiducia, mentre si
impedirà a chiunque di trarre vantaggio dalla falla nella
sicurezza. Il problema infatti sussiste solo nel caso in cui Active
Scripting sia attivato all'interno dell'area di sicurezza, e che il
sito Web risieda nella stessa area. Ogni area, Internet Zone, Local
Intranet Zone, Trusted Zone e Restricted Zone, consente determinate
azioni, che gli utenti possono personalizzare. Per ulteriori
informazioni, consultate l'indirizzo www.microsoft.com/security/bulletins/ms99-042.asp.
La patch sarà disponibile presso www.windowsupdate.microsoft.com.
( fonte www.zdnet.it )
- Un gruppo di ricercatori é recentemente riuscito a decifrare un
messaggio codificato con la chiave asimmetrica di crittografia a 512
bit dell'RSA.
L'impresa, sponsorizzata direttamente dalla RSA, é stata possibile
grazie all'utilizzo di risorse di calcolo oggi disponibili solo
presso le grandi aziende o grossi enti di ricerca. Ma secondo gli
esperti anche i privati potrebbero rompere tali chiavi di
crittografazione, unendo attraverso Internet la potenza di calcolo
dei normali PC domestici, costituendo una risorsa di calcolo
distribuita.
Il meccanismo di crittografazione RSA é quello attualmente piú
utilizzato nelle applicazioni e-commerce.
- Gli U.S.A. hanno annunciato la fine della guerra alla crittografia
forte (quella a 128bit) che finora era equiparata alle armi da
guerra e dunque non esportabile. D'ora in poi i software di
"strong encryption" potranno essere esportati solo se
destinati ad utenti finali e purché non siano venduti ai
paesi a rischio di terrorismo anti-statunitense. Ma cosa ha
determinato la svolta? Forse il governo americano (liberista solo
quando gli conviene e non quando c'è in ballo la libera
circolazione delle idee) è diventato di colpo paladino del diritto
alla privacy ? Purtroppo nulla di tutto ciò. La chiave di volta è
stata la comprensione che la crittografia forte è alla base dello
sviluppo del commercio elettronico, che garantirà milioni di
dollari all'economia americana. Una sconfitta per la N.S.A.? Non
proprio, infatti Clinton ha subito promesso nuovi fondi per
consentire di trovare nuovi metodi per forzare più velocemente
anche i lucchetti più sicuri.
- La Microsoft, dopo la scoperta della "NSAKEY", ribatte:
"L'unica cosa a cui serve questa chiave è a controllare e
assicurare che solo i prodotti conformi alle leggi di esportazione
statunitensi siano abilitati a girare sotto la nostra interfaccia
API (application programming interface)" A chi credere???
- Scoperto un altro bug di Internet Explorer 5: ogni volta che
l'ignaro utente "aggiunge a preferiti" una pagina web ne
viene messo a conoscenza il server relativo. Microsoft afferma che
di ciò era già a conoscenza tanto da aver dedicato un articolo a
questa tecnica nella sua pagina
per gli sviluppatori di siti web. Cosa fare? L'unico rimedio è
di non "bookmarkare" le pagine, ma prendere nota del link
su un documento di testo (es. link.txt) e fare un sano copia e
incolla ogni volta che ci serve.
- Andrew Fernandez, consulente canadese di informatica, dice di aver
scoperto una chiave in Windows NT detta "NSAKEY" che
permetterebbe a Microsoft e alla NSA di controllare remotamente
tutti i PC che istallano quel sistema operativo. La prova
dell'esistenza del grande fratello?...
- Sembra che i sistemi operativi Windows siano indifesi contro
applet Java scritti con l'intenzione di sfruttare un bug scoperto da
alcuni scienziati americani. Microsoft ha riconosciuto il problema e
ha messo a disposizione sul suo sito un patch che dovrebbe garantire
da qualsiasi intrusione. Attraverso un messaggio e-mail o una pagina
web si possono creare gravi danni a chi utilizza Windows come la
modifica di files, l'esecuzione di comandi DOS o la formattazione
del disco rigido. Il bug risiede nella Microsoft's Java virtual
machine (Vm). Per eliminare questo rischio è necessario
installare il patch, oppure disabilitare l'interprete java di
Internet Explorer.
- Ancora una volta HOTMAIL sotto accusa per i suoi buchi di
sistema. Questa volta è la stessa Microsoft ad ammettere di
aver avuto un attacco di hacker che per alcune ore ha reso possibile
a chiunque l'accesso senza password agli account dei circa 40milioni
di utenti. Le informazioni per effettuare l'attacco (9linee di
codice html) erano state fornite dal sito svedese Expressen
poi immediatamente chiuso. Comunque i "microservi"
non sono riusciti a fermare il tam-tam in rete che subito si è
diffuso sia per "screditare" Bill, sia per fornire a
milioni di siti hacker il codice per bucare il famoso servizio di
posta.
- La SiRF, una società per la produzione di componenti elettronici
partecipata da Nokia ed Ericsson, ha presentato in questi giorni un
nuovo circuito delle dimensioni di un francobollo in grado di
gestire gran parte delle funzioni di un GPS. Per cui entro breve
avremo il Global Positioning System inserito anche nei più
piccoli oggetti.
Attualmente la
Casio commercializza un orologio da polso con GPS.
Negli Stati Uniti una
direttiva della Commissione Federale per le Comunicazioni prevede
che tutti i cellulari venduti dopo il 2001 debbano avere
obbligatoriamente questa funzionalità...?!?! Perchè? Forse per
controllarci meglio? Nooo... per il nostro bene...naturalmente.
- Come in Mission Impossible la Global Markets di Londra
spera di offrire agli utenti Web un sistema all'avanguardia per la
protezione della privacy: e-mail criptate che si autodistruggono. In
pratica "1on1" può essere configurato affinchè dopo la
lettura le lettere vengano cancellate. Il servizio di posta
elettronica, che richiede un client e-mail su misura, promette di
fornire un codice indecifrabile per criptare i messaggi (cifratura a
2.048 bit). Nonostante sia appena stato lanciato il servizio si è
già attirato molte critiche: "È ridicolo" ha commentato
Bruce Schneier, noto crittografo ed autore di "Applied
Cryptography", "Un codice di 2.048 bit non ha alcun senso:
il livello di sicurezza è definito dalla password e, se l'utente
non sceglie quella giusta, non servirà a niente".
- Starium, una giovane società californiana, ha annunciato che
entro l'anno prossimo sarà in grado di commercializzare un
dispositivo contro le intercettazioni telefoniche ad un costo
inferiore ai 100 $, meno di 200 mila lire (oggi costano sui 3000 $).
Una volta collegato ad un normale apparecchio telefonico sarà
sufficiente premere un tasto affinchè "VoiceSafe" crei un
collegamento criptato e virtualmente indecifrabile con l'unità
analoga installata all'altro capo del telefono. Tecnicamente il
processo utilizza un algoritmo Diffie-Hellman a 2.048 bit durante la
fase iniziale e successivamente una chiave a 186 bit per codificare
la conversazione. Lee Caplin, presidente di Starium, ha rivelato che
sono in corso trattative per cedere la tecnologia alla base di
VoiceSafe ad Ericsson e Nokia, che potrebbero implementare questa
codifica nei propri prodotti. L'unico ostacolo al successo di
Starium potrebbe venire proprio dal governo americano che ha sempre
ostacolato la diffusione di prodotti analoghi, a meno che non siano
dotati di una 'backdoor', una sorta di ingresso secondario che
permetta di monitorare le chiamate in determinate circostanze. Le
leggi sull'esportazione, piuttosto severe a riguardo, tra l'altro ne
impedirebbero la vendita all'estero.
- La Casa Bianca ha dato via libera all'Fbi per un esteso
piano di controllo sulle reti telematiche, tra cui Internet. Il New
York Times afferma che la polizia federale vuole cosi` combattere la
criminalita` e il terrorismo "a tecnologia avanzata". Ma
c'e` chi teme gia` una sorta di Grande Fratello. Il piano, redatto
da esperti del Consiglio per la sicurezza nazionale e presentato
alla Casa Bianca il mese scorso, invoca un controllo su tutte le
reti telematiche pubbliche, anche non militari, e su quelle usate in
cruciali settori economici come la finanza, i trasporti e le telecomunicazioni.
Confermando l'esistenza di un piano per la cosiddetta Fidnet, (Rete
federale per l'individuazione di intrusioni), funzionari del governo
hanno chiarito che il sistema di controllo non vuole spiare le
comunicazioni fra privati ma individuare i flussi di transazioni
commerciali e di trasferimenti di informazioni tali da suggerire
l'esistenza di attivita` illegali. Di fronte alle crescenti
violazioni degli archivi del Pentagono e di altri enti governativi,
negli ultimi mesi lo stesso presidente Bill Clinton ha piu`
volte richiamato l'attenzione dell'opinione pubblica sull'urgenza di
adeguate difese. Ma mettere le reti telematiche sotto sorveglianza,
ha paventato James Dempsey del Centro per la democrazia e la
tecnologia, significa adottare un sistema che somiglia troppo a un
invadente e pericoloso apparato da Grande Fratello.
- In Gran Bretagna l' Home Office (dipartimento governativo per gli
affari interni di Inghilterra e Galles) ha realizzato una relazione
con la quale si chiede l'approvazione immediata di leggi che
permettano azioni più rapide per perseguire i criminali.
Come? Dando ai politici e non ai giudici il potere di decidere chi,
come, quando sorvegliare. Dove andremo a finire?
- Le vite di dozzine di agenti segreti britannici del SIS (Secret
Intelligence Service) o formalmente conosciuto col nome di MI6 è
stata messa a rischio da un ex-agente che ha pubblicato i loro nomi
su un sito web americano. Il sito è stato immediatamente spento.
- Due impiegati della "Raytheon" dopo aver commentato le
performance della loro azienda su un forum di discussione di Yahoo
si sono visti recapitare una lettera di licenziamento. E' giusto che
Yahoo abbia collaborato a fornire i dati dei due per aiutare
l'accusa in una semplice causa per diffamazione ???
- Perchè gli utenti Telekom che richiedono il dettaglio delle
telefonate effettuate si vedono arrivare una fattura in cui i numeri
sono oscurati ? Una risposta a questo quesito è stata data da
Alessandro Ghezzer su www.telefonino.net
In sintesi ecco cosa ha scoperto:
"Gli abbonati
alla Telecom si sentono dunque rispondere invariabilmente (perfino
dal Ministero!) che non è possibile ricevere la documentazione
integrale degli addebiti per via della direttiva sopracitata, che
imporrebbe ai gestori di oscurare le bollette. Orbene, noi siamo
andati a leggerci questa mitica direttiva ed abbiamo scoperto che
non è affatto così!
Ci sono due precisi
riferimenti alla fatturazione dettagliata ma in nessun caso si
impone, come fin qui sostenuto, l'oscuramento delle ultime cifre.
Alla "considerazione" n. 18, peraltro assai confusa e di
non immediata interpretazione si legge: "considerando che
l'introduzione di fatture dettagliate ha aumentato le possibilità
dell'abbonato di verificare l'esattezza delle somme addebitate dal
fornitore del servizio e, al tempo stesso, può mettere in pericolo
la vita privata degli utenti dei servizi di telecomunicazione
offerti al pubblico; che pertanto, per tutelare la vita privata
degli utenti, gli Stati membri devono incoraggiare lo sviluppo di
opzioni diverse di servizi di telecomunicazione, ad esempio
possibilità alternative di pagamento che permettano un accesso
anonimo, o rigorosamente privato, ai servizi di telecomunicazione
offerti al pubblico, quali carte telefoniche, oppure possibilità di
pagamento con carta di credito; che, in alternativa, gli Stati
membri possono prescrivere, allo stesso scopo, che nei numeri
chiamati menzionati nelle fatture dettagliate, siano cancellate
alcune cifre".
Ma ecco l'articolo
vero e proprio relativo alla fatturazione dettagliata, il n. 7:
"1) gli abbonati hanno diritto a ricevere fatture non
dettagliate;
2) gli Stati membri applicano le disposizioni nazionali per
conciliare i diritti degli abbonati che ricevono fatture dettagliate
con il diritto alla vita privata degli utenti chiamanti e degli
abbonati chiamati, ad esempio garantendo che detti utenti e abbonati
possano disporre di sufficienti modalità alternative per le
comunicazioni o per i pagamenti".
Questo il testo
letterale della direttiva europea.
Appare subito curioso il diritto (in Italia tramutato immediatamente
in obbligo) a ricevere la fatturazione NON dettagliata. Ma che razza
di diritto è, se non esiste, PRIMA, la possibilità di ricevere le
fatture dettagliate? è come dire: "l'abbonato ha diritto a
ricevere dieci frustate". E grazie tante! Da nessuna parte sta
scritto comunque che il gestore telefonico deve oscurare i numeri
riportati nella documentazione, come hanno sostenuto finora Telecom
Italia, Ministero e persino il Garante della Privacy.
Ma vediamo piuttosto
come lo Stato Italiano ha "recepito" la direttiva europea,
stravolgendo in realtà le intenzioni del legislatore europeo a
tutto beneficio del monopolista telefonico nazionale, da sempre
impegnato, di riffa o di raffa, ad impedire all'utente qualsiasi
controllo delle proprie bollette.
Il tutto si traduce dunque nel tristemente famoso decreto legge n.
171 del 13 maggio 1998, art. 5 comma 3, laddove si legge che:
"3. Gli abbonati hanno diritto di ricevere in dettaglio, a
richiesta e senza alcun aggravio di spesa, la dimostrazione degli
elementi che compongono la fattura relativi, in particolare, alla
data e all'ora di inizio della conversazione, al numero selezionato,
al tipo, alla località, alla durata, al numero di scatti addebitati
per ciascuna conversazione".
Fin qui tutto bene (cioè la parte fumogena), se non fosse per la
furberia finale con la quale si vanifica quanto appena affermato:
"In ogni caso nella documentazione fornita all'abbonato non
sono evidenziate le ultime tre cifre del numero chiamato". Et
voilà, ecco bellamente gabbato l'utente-bue che, con un espediente
da azzeccagarbugli si vede così eliminare, tout court e per legge,
l'altrettanto elementare diritto di ricevere la fattura dettagliata
coi numeri interi, e quindi "la dimostrazione degli elementi
che compongono la fattura" come recita invano e
contradditoriamente il D.L. così raffazzonato. Con tanti cari
saluti alla vera trasparenza.
Ma non è tutto: non
si capisce bene neppure l'assurdità della privacy applicata a
rovescio, e cioè all'intestatario della linea, che non ha diritto
di ricevere la documentazione delle sue stesse telefonate e delle
bollette che egli dovrà comunque pagare; è davvero curioso, per
non dire demenziale, che il diritto alla privacy si eserciti proprio
contro chi dovrebbe essere tutelato, e non invece nei confronti di
Telecom che può disporre della privacy degli utenti a proprio
piacimento. "
- La rete televisiva statunitense Media One ha inventato un decoder
in grado di memorizzare le preferenze dei telespettatori...per poi
venderle al migliore offerente !
- Una società di Denver "Space Imaging" venderà a 30 $
le immagini satellitari di qualsiasi zona il cliente voglia a
grandezza impressionante.
- Nuovo rapporto della STOA su Echelon dal titolo "Interception
Capabilities 2000" che punta il dito contro i presunti bug di
Lotus Notes e dei web browser che permetterebbero alla NSA di
controllare gli utenti !
- Los Angeles, 22 Aprile 1999 Per un errore nell' installazione di
software, un centinaio di siti Internet hanno messo a disposizione
del vasto pubblico i numeri di carta di credito ed altre
informazioni private dei propri clienti. Per maggiori dettagli vedi SPAGHETTI
HACKER
- la Intel ha
inserito in ogni cpu PentiumIII un codice di identificazione
(Processor Serial Number) che permette di tracciare gli spostamenti
in rete di ogni suo utente. Dopo la sollevazione dell'opinione
pubblica, la casa costruttrice ha messo a disposizione un software
che consentirà di disabilitare la "schedatura
elettronica". Nei processori che saranno sfornati in futuro il
codice rimarrà, ma di default non sarà abilitato. Boicottiamo
INTEL, anche spedendo messaggi di protesta a andy_grove@intel.com
- Telecom Italia ha attivato dal 29 marzo 1999 il servizio "Chi
è" che consente di ricevere sul display del proprio telefono
fisso (solo se avete un "Sirio 2000 View" della Telecom
stessa o altrimenti dovrete comprarvi un display ad hoc in
vendita... indovinate dove... ma nei negozi della suddetta
naturalmente !!!) il numero telefonico di chi ci telefona. Il
servizio visualizza i numeri telefonici tradizionali (PSTN), ISDN e
quelli di rete mobile GSM, ma non quelli indisponibili
per motivi tecnici (es. centrali analogiche).
Al chiamante però viene anche data la facoltà di oscurare il
proprio numero. Il servizio va richiesto al gestore che vi
addebbiterà sulla bolletta Lit. 2.500+I.V.A. al mese.
In più è stato
attivato il servizio a pagamento IDENTIFICAZIONE CHIAMATE
DISTURBO (lire 250.000 + iva), col quale sarà possibile
visualizzare per un periodo di 15 giorni tutti i numeri telefonici
(anche quelli che hanno bloccato la visualizzazione in modo
temporaneo o permanente). Come dire se pago posso utilizzare la
legge sulla privacy per pulirmi il cu... !!!
Naturalmente a partire
dal 29 marzo anche su tutti i cellulari è possibile visualizzare
tutti i numeri di rete fissa PSTN (che non hanno attivato il BIC ).
- a Milano nel liceo artistico Umberto Boccioni sono state piazzate
delle telecamere per scoraggiare gli spacciatori, ma gli studenti
non hanno gradito ed è dovuto intervenire il garante Rodotà
- la Francia dopo aver censito
150.000 telecamere sparse ovunque ha approvato una legge che obbliga
a informare le persone controllate della loro presenza
- sulla Salerno-Reggio Calabria per diminuire il rischio far-west è
previsto il controllo da parte di un satellite onnipresente
- presto anche agli incroci semaforici italiano verranno piazzate
telecamere di controllo
- I.B.M. ha dichiarato che toglierà la sua pubblicità dai siti che
non rispettano regole precise sul rispetto del trattamento dei dati
personali dei propri clienti. La decisione dovrebbe essere operativa
dal prossimo 1° giugno e persegue il duplice obbiettivo di
tranquillizzare i consumatori sui rischi del commercio elettronico
ed evitare un intervento del governo nella regolamentazione della
materia
Index control
| Controsorveglianza
