ALLARMISMO e GUIDA UTILE Snowden "Non usate facebook e Gmail" – BUFALE.NET
Circola in questi giorni un appello del famoso Edward Snowden, ex collaboratore della NSA, l’agenzia di sicurezza Americana e della CIA diventato poi araldo della libertà di informazione, dove Snowden essenzialmente punta il dito contro due degli strumenti che sicuramente in questo momento state usando: Facebook, Gmail (ed i servizi offerti da Google) e Dropbox.
I punti incriminati dell’intervista rilasciata da Snowden al New Yorker Festival comprendono la seguente affermazione su Dropbox:
“We’re talking about encryption. We’re talking about dropping programs that are hostile to privacy. For example, Dropbox? Get rid of Dropbox, it doesn’t support encryption, it doesn’t protect your private files. And use competitors like SpiderOak, that do the same exact service but they protect the content of what you’re sharing.”
“Parliamo di dati criptati. Parliamo di servizi per la gestione in cloud che sono nemici della privacy. Ad esempio, Dropbox? Sbarazzatevi di Dropbox, non supporta la cifratura, non protegge i vostri dati privati. Usate programmi di concorrenza come SpiderOak, fanno la stessa cosa ma proteggono il contenuto di ciò che condividete.”
In realtà, come non è sfuggito ai giornalisti del Corriere della Sera che hanno riportato l’intervista questa affermazione è parzialmente inesatta, o meglio semplificata.
Scopriamo in realtà da una analisi dei servizi offerti da Dropbox, verificabile da chiunque abbia un briciolo di conoscenze informatiche che:
all files sent and retrieved from Dropbox are encrypted while traveling between you and our servers. Encryption helps to keep people from snooping on your stuff, regardless of what device you’re using to access it or if you’re on public WiFi.
Tutti i files inviati e ricevuto da Dropbox sono criptati mentre vengono trasferiti da voi ai nostri server. La crittografia evita che le persone spiino la vostra roba, a prescindere da quale dispositivo stiate usando o se siete su un WiFi pubblico.
La fondamentale differenza tra Dropbox e SpiderOak è che quest’ultimo, già oggetto di dichiarazioni di Snowden al riguardo cripta i dati già sul dispositivo dell’utente per poi spedirli, sottoforma di dato criptato, sul cloud.
A dire della startup ciò rende i loro dati “a prova di querela”: laddove in caso di denuncia in vostro danno e sequestro dei dati Dropbox potrebbe trovarsi a dover fornire un file criptato ed una password, SpiderOak potrebbe trovarsi solo a fornire il file criptato, in quanto la password viene gestita da voi ed la password di decrittazione esiste solo nella vostra memoria.
Il che comporta, comunque, che in condizioni normali, e per normali intendiamo senza un ordine dell’autorità in vostro danno tale da giustificare l’acquisizione di quella password, esiste un solo modo che un malintenzionato può applicare per osservare i dati che caricate su Dropbox: avere accesso fisico alla cartella “Dropbox” situata nel vostro disco rigido, dove i dati sono salvati in chiaro come il resto dei dati sul vostro hard disk.
Capirete che a quel punto, con un terzo malintenzionato che ha libero accesso al vostro disco fisso, il contenuto della cartella Dropbox diventerebbe l’ultimo dei vostri problemi. Certo, SpiderOak aggiunge quel grado di sicurezza in più che è sempre utile, ma se è la sicurezza a preoccuparvi, Dropbox, per l’uso quotidiano, risulta già abbastanza sicuro. E potrebbe diventare più sicuro utilizzando strumenti come BoxCryptor o programmi di crittografia da installare come TrueCrypt per sottoporre a crittografia la cartella DropBox direttamente sul vostro PC sicché, come per SpiderOak, i server di Dropbox ricevano solo dati crittografati.
Altro bersaglio di Snowden sono Facebook ed i servizi di messaggeria di Google, ritenuti servizi pericolosi perché non forniscono sistemi di crittografia avanzata, proponendo anche qui programmi come SilentCircle e RedPhone, aggiungendo però che entrambi i servizi hanno fatto dei decisi passi avanti.
Non sarà sfuggito all’occhio di chi ha osservato l’intervista l’enorme logo Google alle spalle di Snowden, che quindi non ha usato i servizi di cui ha lodato la sicurezza, né sfuggirà ai più esperti di voi la deliziosa ironia dovuta al fatto che probabilmente avete letto queste parole perché avete trovato il titolo del presente articolo pubblicato sulla pagina social, su Facebook, del nostro portale, e vi sarà capitato di segnalarci delle bufale mediante gMail.
Scopriamo infatti da una breve analisi dei permessi richiesti dalle applicazioni mobili che Facebook Messenger non è in grado di prendere il controllo del vostro cellulare per spiarvi (fonte: Snopes) e che il protocollo HTTPS, per evitare l’invio di dati “in chiaro”, è, proprio in quest’anno, diventato ubiquitario e di default sia per i servizi di Facebook che di Google
Much of the change is probably due to Facebook and Google turning on HTTPS encryption in more places last year. Although you could already use Facebook and Google search over HTTPS if you used a browser plugin like HTTPS Everywhere, it wasn’t the default for most users. Facebook made HTTPS the default for everyone in July and Google switched its search engine over to HTTPS-by-default in September, though it already used HTTPS by default for logged-in users and for Gmail.
Molto di questo cambiamento si deve a Facebook e Google attivando i sistemi di crittografia HTTPS in più applicazioni lo scorso anno. Sebbene si potessero già usare Facebook e Google Search con HTTPS usando l’apposito plugin “HTTPS Everywhere”, non era così per tutti gli utenti. Facebook ha reso HTTPS lo standard di default per tutti a Luglio, e Google è passato all’HTTPS a Settembre, anche se già lo usava per gli utenti connessi con username e password e Gmail.
Non vogliamo però ingannarvi: i programmi citati da Snowden rendono effettivamente il lavoro a chiunque sia seriamente intenzionato ad accedere ai vostri dati molto più difficile. Ma non impossibile.
È evidente che ogni servizio che voi usiate abbia un costo, anche in termini di utilizzo dei dati. Gmail ad esempio può attivare meccanismi di riconoscimento del testo delle vostre mail per mostrare pubblicità mirata, le Policy di Facebook, come già affrontato, consentono al servizio mediante l’apposita “licenza IP” da voi sottoscritta, di lasciare piena libertà ed utilizzo a chiunque voglia condividere i vostri contenuti settati a pubblico e, probabilmente, se avete traffici e questioni che non volete discutere per telefono, discuterle a mezzo Skype e Whatsapp non vi aiuterà a tenerle segrete.
L’intera storia dell’umanità e dei segreti, dall’invenzione della prima porta “blindata” della storia (probabilmente un lastrone di pietra spinto da uomini molto muscolosi) è stata una ricorsa continua tra chi ha cercato di trovare un modo per difendere i propri segreti ed il proprio spazio personale dagli “altri” e tutti coloro che invece hanno cercato, per vari motivi, di entrare in quello spazio.
Non spetta certo a questo portale dirimere le ragioni etiche che potrebbero spingere governi o inquirenti a porre in cantiere questi strumenti, limitandoci a dire che Internet esce dallo scandalo NSA come un posto più consapevole e, escludendo le violazioni arbitrarie della vostra sicurezza, ove, ad esempio, un account fosse interessato da un procedimento dell’autorità giudiziaria, la stessa potrebbe disporre di strumenti meno sofisticati e più “analogici”, ma altrettanto efficaci per ottenere i dati necessari.
Se invece la vostra attenzione si concentra su generici malintenzionati privi degli strumenti cogenti dell’autorità, nel bilanciamento tra diffusione, praticità d’uso e sicurezza gMail, Facebook e Dropbox sono ancora abbastanza efficaci per tutti i vostri scopi, e da problemi passati come la falla Heartbleed abbiamo imparato che, in caso di problemi, le ditte interessate sono state pronte a fornire una soluzione sufficientemente rapida e chiarimenti per gli utenti.
Né dovreste presumere che le ditte alle spalle dei programmi citati non abbiano la tutela del dato sensibile dell’utenza a cuore. Scopriamo infatti da una comunicazione di Chris Sonderby, legale di Facebook che:
Our team scrutinizes each request we receive individually and checks for legally valid and complete documentation from law enforcement. We regularly push back on requests that are vague or overly broad. Our recent Government Requests report here has more details.
Il nostro team analizza individualmente ogni richiesta che riceve, controllando per documentazione valida dalle agenzie di polizia locale. Rigettiamo regolarmente tutte le richieste vaghe, poco dettagliate o troppo ampie. Il nostro recente Rapporto sulle Richieste governative ha più dettagli.
Passiamo, per correttezza, a leggere il rapporto più recente (dati di luglio-dicembre 2013) relativo all’Italia, da cui appuriamo che solo il 52,50% delle richieste di accesso di dati da parte dell’autorità Italiana è stato evaso, ed il restante rigettato a tutela delle libertà individuali dell’utente.
Decidete quindi voi stessi, con cura, quando usare servizi che promettono una maggiore segretezza o meno, allo stesso modo in cui decidereste se parlare di qualcosa in pubblico, ad alta voce o sussurrando, senza paranoia alcuna ma con le dovute, semplici, avvertenze, (evitando ad esempio di diffondere troppi dati personali su Facebook, caricare materiale su Dropbox che non affidereste mai in custodia neppure al vostro migliore e più caro amico, neanche per sbaglio…).
Dovrete scegliere il giusto bilanciamento tra l’assoluta sicurezza ed il bisogno di efficienza, correttamente appaiando ogni servizio al tipo di contenuto che volete ottenere o veicolare.
Se il nostro servizio ti piace sostienici su PATREON o
con una donazione PAYPAL.