[Articolo] Facciamo un tuffo nel dark-web: cosa c’è oltre il tunnel?

Parliamo oggi di dark-web, quella parte poco conosciuta e usata del web, che spesso viene citata in articoli, trasmissioni televisive e libri, e negli ultimi anni è sempre più in voga. Ne sono esempio serie come Mr. Robot e CSI Cyber, dove si sprecano citazioni e riferimenti più o meno veritieri.

Difficoltà articolo (0->10): 4

Requisiti: conoscenza e utilizzo di Tor.

Parliamo oggi di dark-web, quella parte poco conosciuta e usata del web, che spesso viene citata in articoli, trasmissioni televisive e libri, e negli ultimi anni è sempre più in voga. Ne sono esempio serie come Mr. Robot e CSI Cyber, dove si sprecano citazioni e riferimenti più o meno veritieri.

In questo articolo non prenderemo in analisi come ci possiamo collegare al dark-web, che cos’è Tor, quali sono le configurazioni corrette e cosa è possibile fare, ma piuttosto vedremo cosa c’è oltre questo famoso tunnel oscuro, quali informazioni possiamo trovare e come, e soprattutto se è un luogo veramente oscuro come viene descritto.

Se non siete pratici con il software Tor, rimando ad infiniti articoli presenti in rete, altrimenti ci dilunghiamo troppo ;-), ad esempio potete consultare uno dei seguenti link per approfondire l’argomento:

Detto ciò, passiamo subito all’azione, e colleghiamoci a Tor usando il relativo browser integrato. Bastano pochi secondi per stabilire la connessione, et voilà, siamo già all’interno del tunnel e ci viene dato anche il benvenuto!

Dunque, tutto carino per ora, tutto figo, ok, ma adesso cosa possiamo fare? Che cosa posso trovare davvero nel dark-web e come? Dove andiamo? Queste infatti sono le domande cruciali che tipicamente si pone chi per la prima volta si affaccia a questo nuovo mondo, perché a differenza del web classico, qui le informazioni non sono tipicamente indicizzate e la difficoltà più grande è riuscire a capire come muoversi. Sul web in chiaro, basta aprire la pagina di un motore di ricerca per sbizzarrirsi, e cercare tutto quello che desideriamo, ma qui è ben diverso.

Prima di iniziare ricordo che tutti i siti/servizi all’interno del dark-web riportano l’estensione .onion, a differenza delle canoniche it, com, …, del web classico. Ricordiamoci sempre che questi servizi (.onion appunto) non saranno visibili dal web classico (con qualche eccezione che poi vedremo :-)), mentre al contrario dall’interno di Tor sarà sempre possibile accedere al web classico.

Un buon punto di inizio all’interno della rete Tor sono i seguenti servizi (i link sono tutti attivi nel momento della stesura dell’articolo, ma cercherò di mantenere aggiornata la lista):

Passando alla pratica, prendiamo uno tra i più grandi black market, traderoute, e colleghiamoci al sito dopo esserci registrati. Facciamo attenzione che praticamente ogni black market, così come moltissimi altri servizi su Tor (forum, …), richiede una registrazione, la quale è spesso articolata in più fasi: la scelta di una password e/o di un PIN, captcha, fino ad arrivare alla richiesta di presentazione da parte di uno dei membri già attivi del servizio (in genere per siti contenenti materiale illegale, o forum di hacking). In questo modo, viene concesso l’accesso ad un servizio solo ad un utente realmente interessato a quell’argomento, o che ha dimostrato di avere un amico nella community (appunto forum).

Una volta collegati a traderoute, possiamo vedere la schermata del market, come fossimo tranquillamente su amazon o su ebay, e ogni oggetto in vendita ha associato un relativo venditore con tanto di feedback degli altri acquirenti.

Come possiamo vedere, la maggior parte del materiale è illegale, ad esempio possiamo acquistare account falsi o rubati, che con pochi euro ci restituiscono credenziali di accesso a servizi ben più costosi (es. Netflix):

Sul dark-web ogni forma di acquisto e pagamento viene fatta tramite monete virtuali (bitcoin, etherum, …) che permettono di mantenere la transazione completamente anonima.

Oltre ai black market, possiamo trovare “servizi” professionali di vario tipo, e di dubbia legalità, come ad esempio servizio hacking:

Una nota importante, e da non dimenticarsi mai, è che sul dark-web le frodi sono all’ordine del giorno, e sono molto più frequenti che sul web in chiaro, dunque dobbiamo prestare la massima attenzione a qualunque cosa facciamo. La motivazione è semplice: il grado di anonimità è tale che frodi e inganni di piccola entità resteranno con buona probabilità impuniti, e questo permette il dilagare di piccoli hacker in erba. Il motto “fidarsi è bene, ma non fidarsi è meglio” è più che azzeccato in questo caso :-).

Oltre a quello che abbiamo appena visto, non è troppo difficile reperire materiale che dovrebbe senza ombra di dubbio essere censurato, di tutto e di più. Se sul web classico padroneggia la pornografia, con numeri da capogiro in quanto a guadagni, sul dark-web troviamo la sua controparte del lato oscuro, la pedo-pornografia. A quest’ultima si affiancano siti, foto, e video di violenze, di gruppi estremisti, e tutto ciò che non può trovare posto sul web in chiaro. Cambiate canale prima di finire su pagine che “voi umani non potreste nemmeno immaginare”!

Volete un piccolo assaggio che posso pubblicare qui? Eccolo, un semplice forum Q&A, dove viene chiesto come potersi suicidare, con risposte serie e precise, come se si parlasse di argomenti scientifici e assolutamente normali. Da restare senza parole…

In definitiva cosa offre il dark-web e cosa non offre? Vediamo di trarre le nostre conclusioni:

  • per l’utente alle prime armi: niente, tranne la curiosità iniziale. Se sei in questa categoria, fatti pure un giro nel “tunnel” ma poi chiudi tutto e dimenticati della sua esistenza. Potresti finire in siti veramente pericolosi, o che non avresti voluto vedere. Potresti perdere il sonno per giorni, o potresti molto più facilmente perdere soldi con la speranza di fare qualche affare.
  • per l’utente medio: puoi trovare qualcosa di interessante, ma devi imparare a conoscere bene tutta la rete, come funzionano le criptovalute (Bitcoin, …), e come/dove è possibile fare qualche affare. Serve tempo da dedicarci, e voglia.
  • per l’utente esperto: avrai già voltato pagina e chiuso l’articolo, perché saprai già dove reperire le informazioni, e come muoverti. Sai già cosa cerchi ;-).

In definitiva, non usate Tor, a meno che non vi troviate in nazioni dove la libertà di navigazione è bloccata, e dove il dark-web può costituire non una rete dove reperire materiale illegale, ma una nuova frontiera per poter accedere al web classico, altrimenti bloccato senza l’uso di strumenti come Tor.

Il mio punto di vista…

roghan

GPG parte 1 – Generare una chiave

In questo articolo verrà presentato il software GPG/PGP, verrà spiegato come generare una chiave in un ambiente Linux e come registrarla su un key server. Questo è la prima parte di una serie di articoli che spiegano il funzionamento di GPG.

Parte 2: Criptare e decriptare un messaggio con GPG

Parte 3: Importare/esportare chiavi in GPG

Innanzitutto GPG è un software che implementa lo standard OpenPGP, e dunque utilizza un sistema di crittografia a chiave pubblica, anche detta crittografia asimmetrica. E’ possibile trovare una spiegazione dettagliata della crittografia asimmetrica su wikipedia:

http://it.wikipedia.org/wiki/Crittografia_asimmetrica

Fondamentalmente con questa tipologia di algoritmi entrambe le persone coinvolte nella comunicazione devono disporre di 2 chiavi, una pubblica e una privata. La chiave pubblica, come dice il nome, deve essere distribuita pubblicamente, mentre deve restare assolutamente segreta la chiave privata. Lo schema di funzionamento di un algoritmo asimmetrico è quello mostrato nella figura seguente.

Crittografia_asimmetrica_schema
Funzionamento di un algoritmo di crittografia asimmetrica.

GPG inoltre permette anche di firmare i messaggi, e il funzionamento può essere visto nella figura sotto.

digitalsignatures
Funzionamento di firma digitale unita alla cifratura del messaggio.

Dunque per poter inviare un messaggio questo deve essere firmato con la propria chiave privata e criptato con la chiave pubblica del destinatario. In generale, per poter usare correttamente GPG dobbiamo tenere sempre a mente questi schemi, altrimenti presto o tardi probabilmente faremo confusione con le chiavi.

Dopo aver installato il software nella propria distribuzione e aver visto come funziona un algoritmo di cifratura asimmetrico, è possibile passare alla creazione della chiave.

Generare una chiave GPG

Da shell dobbiamo digitare:

# gpg --gen-key

Dunque ci viene richiesto quale algoritmo di cifratura deve essere usato per la generazione della chiave:

Please select what kind of key you want:
(1) RSA and RSA (default)
(2) DSA and Elgamal
(3) DSA (sign only)
(4) RSA (sign only)
Your selection? 1

Possiamo scegliere tranquillamente l’opzione default.

Poi ci viene richiesta la dimensione della chiave:

RSA keys may be between 1024 and 4096 bits long.
What keysize do you want? (2048)

Direi che la dimensione base (2048) è più che sufficiente.

Poi ci viene richiesto il periodo di validità della chiave:

Please specify how long the key should be valid.
0 = key does not expire
<n> = key expires in n days
<n>w = key expires in n weeks
<n>m = key expires in n months
<n>y = key expires in n years
Key is valid for? (0)

In questo caso se la chiave verrà usata per lo scambio di informazioni personali, possiamo tranquillamente non farla scadere mai, mentre se verrà usata per lo scambio di informazioni sensibili e/o professionali allora è bene impostare un intervallo temporale adeguato (1 anno, 6 mesi, 1 mese, …).

Poi sono richieste alcune informazioni personali:

You need a user ID to identify your key; the software constructs the user ID
from the Real Name, Comment and Email Address in this form:
"Heinrich Heine (Der Dichter) <heinrichh@duesseldorf.de>"

—————————————
Real name: Paolino Paperino
Email address: paolino.paperino@paperopoli.com
Comment: My GPG key

quindi ci viene mostrato il riepilogo con le informazioni immesse:

You selected this USER-ID:
"Paolino Paperino (My GPG key) <paolino.paperino@paperopoli.com>"

Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit?

Se i dati inseriti sono corretti possiamo digitare “O” per proseguire.

Adesso ci verrà richiesta la passphrase, che dovrà essere sufficientemente robusta:

You need a Passphrase to protect your secret key.
Enter passphrase:

E’ importante, anzi fondamentale, scegliere la passphrase attentamente, perché da essa dipende la sicurezza della chiave GPG! Nel caso in cui dovessimo dimenticarcela non potremo più leggere/inviare messaggi cifrati, mentre se dovesse essere crackata lo scambio di testi cifrati con GPG non sarebbe più sicuro.

Dunque verrà generata la chiave GPG unica:

gpg: key 257BAFD8 marked as ultimately trusted
public and secret key created and signed.

————————————–
gpg: checking the trustdb
gpg: 3 marginal(s) needed, 1 complete(s) needed, PGP trust model
gpg: depth: 0 valid: 2 signed: 0 trust: 0-, 0q, 0n, 0m, 0f, 2u

————————————–
pub 2048R/257BAFD8 2012-09-05
Key fingerprint = A197 6014 A02F 6AFD 4007 5C02 FCB1 2276 257B AFD8
uid Paolino Paperino (My GPG key) <paolino.paperino@paperopoli.com>
sub 2048R/D156C60B 2012-09-05

Controllare la chiave

Dopo aver generato una nuova chiave, è buona cosa controllarne i dati:

# gpg --list-key
/root/.gnupg/pubring.gpg
------------------------
pub 2048R/257BAFD8 2012-09-05
uid Paolino Paperino (My GPG key) <paolino.paperino@paperopoli.com>
sub 2048R/D156C60B 2012-09-05

dove possiamo vedere i dati fondamentali:

  • Key ID: 257BAFD8
  • Real Name: Paolino Paperino
  • E-mail: paolino.paperino@paperopoli.com
  • Expiration date: 2012-09-05

Generare una chiave pubblica

Il prossimo step è quello di salvare la chiave pubblica GPG per poi poterla inviare ad amici o colleghi, in modo che loro possano inviarci messaggi cifrati. Per esportare la chiave pubblica in un file la sintassi da usare è la seguente:

# gpg --armor --output GPG_public_key --export Real Name

oppure

# gpg --armor --output GPG_public_key --export E-mail

oppure

# gpg --armor --output GPG_public_key --export Key ID

E’ da notare che il risultato dei 3 comandi precedenti è identico.

Nel nostro esempio i comandi precedenti diventeranno:

# gpg --armor --output GPG_public_key --export Paolino Paperino
# gpg --armor --output GPG_public_key --export paolino.paperino@paperopoli.com
# gpg --armor --output GPG_public_key --export 257BAFD8

Inviare la chiave ad un key server

Infine, l’ultimo passo (facoltativo) è di inviare la chiave pubblica ad un key server, un server che raccoglie le chiavi pubbliche. Inserendo la chiave in un key server, chiunque voglia inviarci un messaggio cifrato non avrà il bisogno di chiedere a noi la chiave, ma potrà semplicemente cercarla sul server. Il comando da eseguire è questo:

# gpg --send-keys --keyserver url_server Key ID

Per il nostro esempio abbiamo:

# gpg --send-keys --keyserver hkp://subkeys.pgp.net 257BAFD8

Le altre parti sono disponibili a questi link:

Parte 2: Criptare e decriptare un messaggio con GPG

Parte 3: Importare/esportare chiavi in GPG

roghan

GPG parte 3 – Importare/esportare chiavi

Ho in mente di scrivere una serie di articoli sul funzionamento di GPG (GNU Privacy Guard), per poi raccoglierli all’interno di una guida (magari anche in inglese). Sul web si trovano facilmente guide e howto su GPG e su come usarlo da shell, ma ho la necessità di creare la mia propria documentazione, da usare come punto di riferimento anche in futuro.

Per ora vediamo come fare il backup e il ripristino di una chiave GPG . Tale necessità può esserci se vogliamo usare GPG su sistemi diversi usando ovviamente le stesse chiavi di cifratura, come ad esempio se cifriamo un messaggio con il pc dell’ufficio e dobbiamo decifrarlo con il pc di casa. […]

Ho in mente di scrivere una serie di articoli sul funzionamento di GPG (GNU Privacy Guard), per poi raccoglierli all’interno di una guida (magari anche in inglese). Sul web si trovano facilmente guide e howto su GPG e su come usarlo da shell, ma ho la necessità di creare la mia propria documentazione, da usare come punto di riferimento anche in futuro.

Per ora vediamo come fare il backup e il ripristino di una chiave GPG . Tale necessità può esserci se vogliamo usare GPG su sistemi diversi usando ovviamente le stesse chiavi di cifratura, come ad esempio se cifriamo un messaggio con il pc dell’ufficio e dobbiamo decifrarlo con il pc di casa.

Backup/esportazione di una chiave GPG

Per prima cosa controlliamo le chiavi installate all’interno del sistema:

# gpg --list-keys
/root/.gnupg/pubring.gpg
-------------------------------
pub 2048R/9F508959 2012-07-03
uid Paolino Paperino <paolino.paperino@paperopoli.com>
sub 2048R/2C98FA15 2012-07-03
-------------------------------
pub 2048R/AB2C995F 2012-07-03
uid Zio Paperone <zio.paperone@paperopoli.com>
sub 2048R/D643E356 2012-07-03

Dunque dobbiamo scegliere la chiave di cui vogliamo fare il backup, per poi fare la copia della chiave pubblica e di quella privata. Nell’esempio le chiavi installate sono due: 9F508959 e DC2C775F. Per fare la copia rispettivamente della chiave pubblica e di quella privata la sintassi è la seguente (per maggior chiarezza userò i nomi completi delle opzioni, almeno dove possibile):

# gpg --armor --output <filename> --export <keyname>
# gpg --armor --output <filename> --export-secret-keys <keyname>

L’opzione armor permette di creare un output in caratteri ASCII, simile a questo

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v1.4.12 (GNU/Linux)mQENBE/1likBCACUfcgaiMfznrEQKXV4x0rPpixqEW+m8vXBF5I2BPuzeKUrB9Ot
YZhuZujuheLjj+Quh5rBFntGoPW3rO430Voq5/PJew54P5Smx6K09paB6pGbzmgk
...
INmtEZwlEvYMrINVOKbKXRk=
=8NiR
-----END PGP PUBLIC KEY BLOCK-----

Se l’opzione armor viene invece omessa, l’output prodotto sarà binario.

Supponendo di voler fare il backup della chiave 9F508959 dell’esempio, i comandi sono:

# gpg --armor --output GPG_public_key --export 9F508959
# gpg --armor --output GPG_secret_key --export-secret-keys 9F508959

Infine, per completare la fase di backup è consigliabile generare anche una chiave di revoca con questo comando:

# gpg --output <filename> --gen-revoke <keyname>

Nel caso dell’esempio, il comando precedente diventerebbe:

# gpg --output GPG_revoke_key --gen-revoke 9F508959

Dopo che le chiavi sono state salvate memorizziamo i relativi file in un supporto sicuro, e possibilmente mobile (CD, DVD, …) anziché all’interno dello stesso sistema in cui è installato GPG!

Ripristino/importazione di una chiave GPG

Se vogliamo ripristinare una chiave GPG, o ad esempio importarla su un nuovo sistema (dal pc dell’ufficio a quello di casa), il comando è il seguente:

# gpg --import <filename>

dove <filename> rappresenta il file contenente la chiave (pubblica o privata) precedentemente esportata. Riprendendo l’esempio precedente, i comandi necessari per importare le chiavi sono questi:

# gpg --import GPG_public_key
# gpg --import GPG_secret_key

roghan

[Articolo] Nella tua rete Tor è bloccato? Bypassiamo il blocco!

Vediamo oggi come usare Tor in presenza di sistemi/reti/ISP che ne bloccano il suo funzionamento.

Difficoltà articolo (0->10): 5

Vediamo oggi come usare Tor in presenza di sistemi/reti/ISP che ne bloccano il suo funzionamento. Innanzitutto Tor è un software appartenente alla categoria PET (Privacy Enhaced Technology), che permette di navigare in modo anonimo sul web e di “anonimizzare” una grande quantità di servizi distribuiti (chat, torrent, …).
Il suo utilizzo principale è quello di permettere la consultazione di pagine web e la fruizione di Internet senza vincoli in quei luoghi in cui sono in vigore restrizioni politiche o censure di vario genere. Tuttavia, Tor viene usato piuttosto comunemente anche per bypassare le restrizioni aziendali e poter così navigare su siti “proibiti” perché bloccati dal proxy e/o firewall aziendale. Non è raro, purtroppo, che venga usato esclusivamente per navigare su Facebook o su altri social network durante l’orario di lavoro. Per carità, Tor può essere usato anche per navigare su Facebook, ma i suoi intenti sono ben più nobili!

In ogni caso molte aziende, enti, e organizzazioni, stanno cercando da tempo meccanismi per intercettare e bloccare l’utilizzo di Tor, configurando ACL sui firewall e filtri sui proxy. Inoltre, in alcuni casi ad essere bloccato è anche l’accesso al sito di Tor, in modo da impedire il download del software e la ricerca di documentazione. Bloccare la connessione alla rete Tor non è impossibile, perché viene resa pubblica una lista dei nodi della rete Tor, aggiornata costantemente. La lista è reperibile a questi link:

Tale lista potrebbe essere usata per configurare un proxy (squid ad esempio) in modo da bloccare tutte le connessioni uscenti dirette ad uno degli IP delle lista. Il risultato di un tale blocco (vedere lo screenshot sotto) è che l’utente con il client Tor sarà impossibilitato a collegarsi alla rete Tor, e pertanto al resto della Rete.

tor_blocked
Tor bloccato dalla rete/ISP

Veniamo adesso al reale argomento del post :-): come possiamo fare se la nostra rete/ISP blocca la connessione a Tor? Quello che possiamo fare è ricorrere ad alcune contromisure in grado di bypassare il blocco imposto, garantendo anonimato e privacy, e accesso a tutte le funzionalità di Tor. Può capitare anche che venga bloccata la visualizzazione del sito del progetto Tor, ma in questo caso è possibile facilmente usare un proxy web gratuito per poter visitare il sito (esempi di proxy gratuiti sono www.hidemyass.com e zendproxy.com).

Dunque, se non ci è possibile usare Tor poiché la connessione si blocca dopo aver avviato il software, è possibile agire in 2 modi:

  1. usare obfsproxy;
  2. agire sulla configurazione di Tor.

OPZIONE 1 

Per la prima opzione, è necessario scaricare il software obfsproxy al seguente link:

obfsproxy è un software basato su Tor (è praticamente Tor a tutti gli effetti), ma in via sperimentale e con i bundle al momento non più aggiornati. Il software permette di mascherare i pacchetti inviati alla rete Tor, facendoli sembrare pacchetti “innocenti” (ad esempio semplice pacchetti HTTP) come è visibile in figura.

obfsproxy_diagram
Diagramma di funzionamento di obfsproxy

L’interfaccia e l’utilizzo di obfsproxy sono gli stessi di Tor, mentre a cambiare è la configurazione del software, come si vede in figura.

tor_obfsproxy
obfsproxy

OPZIONE 2 

In questo caso non sono necessari software aggiuntivi ma dobbiamo agire su alcuni parametri di Tor per poter aggirare i blocchi imposti da rete/ISP. I parametri da configurare sono modificabili direttamente dall’interfaccia Vidalia, e si trovano in Settings->Network come visibile in figura.

tor_settings_network
Parametri configurabili di Tor per aggirare i blocchi

Fra questi, il metodo più efficace e affidabile è quello di usare un bridge Tor, ossia la terza possibilità “My ISP blocks connections to the Tor network”. Vediamo comunque in dettaglio le 3 possibilità.

Opzione – “My ISP blocks connections to the Tor network”

Con questa opzione possono essere configurati i bridge Tor. Un bridge Tor è fondamentalmente un nodo della rete Tor che agisce da ponte (similmente a un proxy) per il collegamento tra client/utente e rete Tor. I bridge hanno la particolarità di non essere elencati nelle liste pubbliche di nodi Tor (come visto precedentemente), e pertanto difficilmente saranno rilevati e bloccati dagli amministratori di rete. Per conoscere i bridge disponibili in ogni momento, dobbiamo visitare il seguente link:

Dopo aver trovato i bridge Tor disponibili, è necessario configurarli in Setting->Network, come visibile nella figura seguente.

Add_bridge_to_Tor
Aggiunta di un bridge Tor.

In alternativa, è possibile creare un proprio bridge privato, se abbiamo a disposizione un server o un pc con connessione flat (ad esempio nella propria abitazione), e collegarsi ad esso quando siamo fuori e in una rete in cui Tor è bloccato. Per creare un bridge privato è sufficiente avviare Tor sulla macchina che fungerà da bridge, e selezionare in Settings->Sharing la voce “Help censored users reach the Tor network“, come visibile in figura.

Tor_setting_bridge
Configurazione di un bridge Tor privato.

Opzione – “I use a proxy to access the Internet”

Nel caso in cui la propria rete o il proprio ISP blocchi anche i bridge Tor, è possibile ricorrere all’uso di un proxy. Tramite un proxy i pacchetti uscenti dal proprio sistema, e quindi dal client Tor, sono indirizzati al proxy stesso e non alla rete Tor, e in questo modo viene oltrepassato il blocco imposto dalla rete/ISP. Nella figura sottostante è mostrato il collegamento attraverso un proxy.

tor.e.proxy.visio
Connessione a Tor attraverso un proxy.

Per questa soluzione il punto cruciale è la scelta di un proxy adeguato, che dovrà essere sicuro e affidabile, e supportare inoltre sia il protocollo HTTP che il quello HTTPS. Per ricercare un proxy possiamo usare questa lista (oppure cercare altre liste di proxy semplicemente con google), controllando che il proxy supporti HTTPS, sia di tipo anonymous, e abbia una buona affidabilità. Dopo aver scelto un proxy, dobbiamo controllare che sia attivo e supporti realmente sia HTTP che HTTPS. Quindi configuriamo Tor con le impostazioni del proxy, come visibile nella figura sotto.

Tor_setting_proxy
Configurazione di un proxy in Tor.

Per configurare il proxy sono necessari:

  1. indirizzo IP o hostname del proxy;
  2. porta utilizzata dal proxy;
  3. eventuali username/password se il proxy richiede l’autenticazione.

Questa soluzione è più tediosa rispetto all’utilizzo di un bridge, poiché i proxy open non offrono solitamente grandi garanzie e spesso le performance non sono eccelse. Difatti un proxy potrebbe non essere più attivo nel giro di poche ore o giorni, costringendoci a cercarne e configurarne un altro.

Opzione – “My firewall only lets me connect to certain ports”

L’ultima opzione configurabile deve essere utilizzata solo quando abbiamo la certezza che il firewall della nostra rete blocchi verso l’esterno alcune porte (in genere ad essere bloccate solo le porte esterno per connessioni verso l’interno). In questo caso è possibile selezionare la voce e specificare le porte che sono aperte sul firewall. La connessione alla rete Tor passerà dunque per le porte specificate.

Riepilogando, in questa piccola guida abbiamo visto come sia possibile usare Tor praticamente in ogni situazione, anche quando sono stati creati filtri ad hoc dagli amministratori/provider nel vano tentativo di limitare la libertà e la privacy personale.

“Per ogni blocco esiste sempre una contromisura, basta trovarla o idearla!”

roghan

GPG parte 2 – Criptare e decriptare un messaggio

Vediamo in questo articolo come criptare e decriptare un messaggio con GPG tramite shell.

GPG è un software che implementa lo standard OpenPGP, e dunque utilizza un sistema di crittografia a chiave pubblica, anche detto crittografia asimmetrica. E’ possibile trovare una spiegazione dettagliata della crittografia asimmetrica su wikipedia:

http://it.wikipedia.org/wiki/Crittografia_asimmetrica

Fondamentalmente con questa tipologia di algoritmi entrambe le persone coinvolte nella comunicazione devono disporre di 2 chiavi, una pubblica e una privata. La chiave pubblica, come dice il nome, deve essere distribuita pubblicamente, mentre deve restare assolutamente segreta la chiave privata. Lo schema di funzionamento di un algoritmo asimmetrico è questo […]

Vediamo in questo articolo come criptare e decriptare un messaggio con GPG tramite shell.

Se vogliamo inviare un messaggio criptato a Paolino Paperino tramite GPG, i passi da effettuare sono:

  1. chiedere a Paolino Paperino la sua chiave pubblica, o cercarla su un key server;
  2. importare la chiave pubblica di Paolino Paperino in GPG;
  3. criptare il messaggio;
  4. inviare il messaggio a Paolino Paperino.

Nel caso opposto, in cui vogliamo decriptare un messaggio ricevuto da Paolino Paperino, i passi sono:

  1. chiedere a Paolino Paperino la sua chiave pubblica, o cercarla su un key server;
  2. importare la chiave pubblica di Paolino Paperino in GPG;
  3. ricevere il messaggio da Paolino Paperino;
  4. decriptare il messaggio.

Vediamo adesso prima i passi per criptare e inviare un messaggio, e poi quelli per decriptare un messaggio.

Criptare e inviare un messaggio

1 – Ottenere la chiave pubblica di una persona

Per ottenere la chiave pubblica di qualcuno, la soluzione migliore è chiederla al diretto interessato, ad esempio tramite mail. La chiave può essere salvata/inviata come un file testuale con una forma simile alla seguente:

-----BEGIN PGP PUBLIC KEY BLOCK-----Version: GnuPG v1.4.10 (GNU/Linux)hQLNYbY1gO6GWuWNqoQsRBACBRP2QTKHM+SOQIqjqJcaGAj/ckLf8/vPseiSuzQtQqBTgHRnRu3qQhS9+rfMlnm3v3nbrJH8+qhdqZAZLklKCsyDfBeevtNRSHyKsxNUlhFlkvu7ZHr/T4OsQZT5weJ4YSsYi7JaHJaNbOu4J6R63FfwCg5kgeyY/8nQmtixlpKdCWSOQIqjqJcaGAj/ckLf8/vPs8wbA//A7JUfFBxMWAR2bEkLI90i+4ZnKBlZ0fx1NZTiISItikUOVSp+oAn24mV3xBLNYbY1gO6GWuWNqoQfDB=a9d8m30Pw—–END PGP PUBLIC KEY BLOCK—–

Alternativamente, se la persona ha pubblicato su un key server la propria chiave, è possibile recuperarla con uno di questi 3 comandi (il risultato è lo stesso):

# gpg --search-keys --keyserver hkp://server Mail_address
# gpg --search-keys --keyserver hkp://server "Person Name"
# gpg --search-keys --keyserver hkp://server key_ID

Ad esempio possiamo cercare la chiave di Paolino Paperino:

# gpg --search-keys --keyserver hkp://subkeys.pgp.net "Paolino Paperino"

————————————————————————————–
gpg: searching for "Paolino Paperino" from hkp server subkeys.pgp.net
(1) Paolino Paperino <paolino.paperino@paperopoli.com>
2048-bit RSA key, ID AC3C885F, created 2012-07-03
Keys 1-1 of 1 for "Paolino Paperino". Enter number(s), N)ext, or Q)uit >

La ricerca della chiave pubblica di una persona deve essere effettuata solo la prima volta, a meno che la persona non cambi la propria chiave.

2 – Importare la chiave pubblica

Adesso dobbiamo importare all’interno di GPG la chiave pubblica della persona. Nel caso in cui la chiave sia stata recuperata tramite un key server, è possibile importarla usando uno di questi 3 comandi (il risultato è lo stesso):

# gpg --recv-keys --keyserver hkp://server Mail_address
# gpg --recv-keys --keyserver hkp://server "Person Name"
# gpg --recv-keys --keyserver hkp://server key_ID

Se invece la chiave pubblica della persona è su un file (ad esempio inviato tramite mail), è possibile importarla con questo comando:

# gpg --import public_key.txt

In entrambi i casi, dopo aver importato la chiave è bene effettuare una verifica delle chiavi importate in GPG con il comando:

# gpg --list-keys

Tornando all’esempio, nel caso in cui vogliamo importare la chiave pubblica di Paolino Paperino che si trova nel file PaolinoPaperino_public_key.txt, i comandi sono:

# gpg --import PaolinoPaperino_public_key.txt
# gpg --list-key/home/xxx/.gnupg/pubring.gpg
-------------------------------
pub 2048R/AC3C885F 2012-07-03
uid Paolino Paperino <paolino.paperino@paperopoli.com>
sub 2048R/C624E359 2012-07-03

oppure, se la chiave è presente su un key server usiamo il comando:

# gpg --recv-keys --keyserver hkp://subkeys.pgp.net "Paolino Paperino"

Come il passo precedente, anche questo deve essere effettuato solo la prima volta. Ogni volta che poi dovremo criptare/decriptare un messaggio, GPG andrà a cercare la chiave corretta tra quelle importate al suo interno.

3 – Criptare un messaggio

Dopo aver importato la chiave pubblica di una persona all’interno di GPG, possiamo procedere a criptare e firmare un messaggio in questo modo:

# gpg --armor --recipient "Person Name" --sign --encrypt messagge.txt

oppure specificando il file in cui verrà salvato il messaggio criptato:

# gpg --output final_message.txt --armor --recipient "Person Name" --sign --encrypt messagge.txt

Analizziamo le opzioni utilizzate:

  • output è opzionale e permette di indicare il file in cui verrà salvato il messaggio criptato;
  • armor è opzionale e serve per produrre un messaggio criptato usando la codifica ASCII, altrimenti senza tale opzione viene prodotto un file binario;
  • recipient è un’opzione obbligatoria e identifica il destinatario del messaggio, dunque chi sarà in grado di decriptare il messaggio;
  • sign è opzionale e firma il messaggio;
  • encrypt è ovviamente obbligatoria e cripta finalmente il messaggio.

Veniamo all’esempio. Se vogliamo inviare un messaggio criptato a Paolino Paperino, il comando necessario sarà:

# gpg --armor --recipient "Paolino Paperino" --sign --encrypt messaggio_da_paperone.txt

Il messaggio che viene prodotto dal comando precedente può poi essere inviato al destinatario.

4 – Inviare un messaggio criptato

Dopo aver criptato il messaggio, possiamo inviarlo alla nostra destinazione.

Nel caso in cui abbiamo scelto l’opzione armor, il testo criptato avrà una forma simile a questa:

-----BEGIN PGP MESSAGE-----
Version: GnuPG v1.4.2.10
hQEMAyAXkJC2I+NYAQf/dAPmS9pAawmTsTMxuN3qW4YSjup2E9GZZI8x4ikwAIrh
poPumljoUR5tqsf5+xvtrOpamY3qaTeUGCadtQiqCod2zrfZEA7iLUtcO2i47yuK
VCT7yY1SKWhtAvElrkd48k0CY8HMMRpGWMdXlvfnZNxl3lEo2F1oIH45xsUo9HJ8
9z0e0Jlm5oe3KCMSOPDqIQRvAeWHSruyeLtyUuaCWsdu9JaSEd1j886wxCbbCzrp
r2H6MPmd35gpthoIR8QjbAF7bzpnltXRZrs4Aex31o4YrjW4Ns/S2w==
=Yxjk
-----END PGP MESSAGE-----

Per trasmettere il testo criptato al destinatario è sufficiente copiarlo all’interno della mail da inviare.

Ricevere e decriptare un messaggio

1 – Ottenere la chiave pubblica di una persona

Il procedimento è lo stesso del punto 1 precedente, e deve essere effettuato solo la prima volta.

2 – Importare la chiave pubblica

Il procedimento è lo stesso del punto 2 precedente, e deve essere effettuato solo la prima volta.

3 – Ricevere un messaggio criptato

Un messaggio criptato può essere ricevuto tramite gli stessi mezzi dei messaggi in chiaro tradizionali, ad esempio tramite mail. Ricordo che un messaggio criptato ha solitamente una forma di questo tipo:

-----BEGIN PGP MESSAGE-----
Version: GnuPG v1.4.2.10
hQEMAyAXkJC2I+NYAQf/dAPmS9pAawmTsTMxuN3qW4YSjup2E9GZZI8x4ikwAIrh
poPumljoUR5tqsf5+xvtrOpamY3qaTeUGCadtQiqCod2zrfZEA7iLUtcO2i47yuK
VCT7yY1SKWhtAvElrkd48k0CY8HMMRpGWMdXlvfnZNxl3lEo2F1oIH45xsUo9HJ8
9z0e0Jlm5oe3KCMSOPDqIQRvAeWHSruyeLtyUuaCWsdu9JaSEd1j886wxCbbCzrp
r2H6MPmd35gpthoIR8QjbAF7bzpnltXRZrs4Aex31o4YrjW4Ns/S2w==
=Yxjk
-----END PGP MESSAGE-----

4 – Decriptare un messaggio

Nell’ultimo passo dobbiamo decriptare il messaggio ricevuto, e il comando è questo:

# gpg --output message.txt --decrypt encrypted_message.txt

Il comando è piuttosto esplicativo in quando devono essere specificati solamente il file di output, in cui verrà memorizzato il file decriptato, e il messaggio criptato ricevuto.

Con il nostro esempio, se vogliamo decriptare un messaggio dobbiamo eseguire:

# gpg --output message_from_Paperino.txt --decrypt encrypted_message_from_Paperino.txt
---------------------------------------------
You need a passphrase to unlock the secret key for
user: "Paolino Paperino <paolino.paperino@paperopoli.com>"
2048-bit RSA key, ID AC3C885F, created 2012-07-03
Enter passphrase:

roghan

1000 download per il mio manuale sull’anonimato!!!

Anonimato

E’ stata appena superata la soglia dei 1000 download per il mio manuale sull’anonimato in rete, “Come nascondere l’identità in Rete”! Grazie davvero a tutti!!!!!! Anche se rispetto ai numeri che si trovano solitamente sul web è un valore minimale, è per me una grande soddisfazione :-)!! Per chi fosse interessato, lo può liberamente scaricare da questo link:

Download manuale

Matteo

Hacking/sicurezza – Reati informatici in azienda

locandina_evento

Ecco un interessante seminario gratuito che si svolge ad Empoli, in provincia di Firenze, il giorno 2 marzo 2011 a partire dalle ore 14:30. Di seguito è mostrato il programma dettagliato dell’evento:

La legislazione vigente in tema di reati informatici commessi in azienda
Avv. Valentina Frediani (Studio Frediani) Il D.LGS 231/01 e la responsabilità amministrativa e penale delle aziende
Avv. Valentina Frediani (Studio Frediani)L’Analisi Forense sui sistemi informatici
Ing. Giuseppe Gottardi (Reply)

I modelli organizzativi e architetturali per la prevenzione e la gestione della sicurezza IT:
– i processi di ITIL per la sicurezza
Dott. Gionni Bernardini (Var Group)

– un modello per un’architettura di rete sicura
Dott. Elvino De Luca (Var Group)

Il seminario si rivolge alle seguenti figure professionali: Direzione dell’Organizzazione, Responsabili della Sicurezza, Responsabili della Qualità, Internal Auditor, Direzione IT, Direzione del Personale, Giuristi d’Impresa delle seguenti organizzazioni: Enti pubblici, Banche e Assicurazioni, Imprese industriali.

Il link alla pagina ufficiale dell’evento, con tutte le informazioni dettagliate e il modulo per l’iscrizione, è il seguente:

Matteo

Modalità promiscua sotto i riflettori

In questo articolo spiegherò cos’è la modalità promiscua, come funziona, in quali situazioni ha senso utilizzarla, e quando invece è del tutto inutile.

Vediamo innanzitutto cos’è un indirizzo MAC e come funziona la modalità promiscua. Ogni scheda di rete (o NIC) di un pc/server ha associato direttamente nell’hardware un codice alfanumerico chiamato indirizzo MAC (Media Access Control), che è costituito da 48 bit univoci definiti dal produttore della scheda di rete. Di default, ogni scheda è configurata in modo tale da accettare solamente i pacchetti che sono destinati alla scheda stessa, rifiutando tutti quelli destinati ad indirizzi MAC differenti. E’ adesso che entra in gioco la modalità promiscua :-). Questa è una tecnica che permette di abilitare una scheda di rete alla ricezione di TUTTI i pacchetti in transito sulla rete a cui è collegata, non solo quelli destinati alla scheda di rete in oggetto. Mettere la propria scheda in modalità promiscua, e più in generale osservare il traffico in transito all’interno di una rete, prende il nome nel gergo informatico di sniffing (sniffare in italiano), tradotto letteralmente con “annusare, fiutare”. Da notare però che questa modalità è sempre disattivata al momento che una scheda di rete esce di fabbrica (per ovvie ragioni ;-)).

In questo articolo spiegherò cos’è la modalità promiscua, come funziona, in quali situazioni ha senso utilizzarla, e quando invece è del tutto inutile.

Vediamo innanzitutto cos’è un indirizzo MAC e come funziona la modalità promiscua. Ogni scheda di rete (o NIC) di un pc/server ha associato direttamente nell’hardware un codice alfanumerico chiamato indirizzo MAC (Media Access Control), che è costituito da 48 bit univoci definiti dal produttore della scheda di rete. Di default, ogni scheda è configurata in modo tale da accettare solamente i pacchetti che sono destinati alla scheda stessa, rifiutando tutti quelli destinati ad indirizzi MAC differenti. E’ adesso che entra in gioco la modalità promiscua :-). Questa è una tecnica che permette di abilitare una scheda di rete alla ricezione di TUTTI i pacchetti in transito sulla rete a cui è collegata, non solo quelli destinati alla scheda di rete in oggetto. Mettere la propria scheda in modalità promiscua, e più in generale osservare il traffico in transito all’interno di una rete, prende il nome nel gergo informatico di sniffing (sniffare in italiano), tradotto letteralmente con “annusare, fiutare”. Da notare però che questa modalità è sempre disattivata al momento che una scheda di rete esce di fabbrica (per ovvie ragioni ;-)).

Spesso si pensa che sniffare il traffico possa rientrare nei crimini informatici, anzi in molti contesti viene proprio etichettato come “attacco hacker”. Tuttavia, l’azione di osservare il traffico può al massimo rientrare nella categoria di attacchi passivi, se proprio vogliamo essere pignoli, ed è del tutto legale. E’ un po’ come se una persona si mettesse davanti alla casa di qualcuno ad aspettare: ogni volta che arriva il postino osserva la posta prima che venga imbucata. E’ chiaro che se la posta ricevuta è chiusa in una busta, il curioso non potrà leggere niente, ma se ci sono delle cartoline ad esempio tutto quello che vi è scritto potrà essere tranquillamente letto. Ciò che invece è illegale è quando si penetra in un sistema, spesso dopo aver prima sniffato i dati e aver ottenuto le credenziali di accesso. In definitiva può star tranquillo chiunque abbia usato almeno una volta nella sua vita qualche software per sniffare il traffico come Wireshark.

Adesso che sapete cosa permette di fare la modalità promiscua, vediamo in quali contesti ha senso utilizzarla, e in quali invece è del tutto inutile.

Come detto, la modalità promiscua permette di catturare tutti i pacchetti in transito in una rete, e poiché il protocollo MAC opera a livello 2, ha senso utilizzarla solamente nella stessa sottorete in cui ci troviamo (in linguaggio tecnico, nello stesso dominio di broadcast). Ciò significa che se vogliamo sniffare il traffico ci dobbiamo trovare necessariamente all’interno di una LAN, in cui saranno presenti dispositivi switch/hub ad esempio, mentre non è possibile sniffare traffico su una rete di dimensioni maggiori come Internet. In parole povere, per sniffare il traffico dobbiamo essere fisicamente “vicini” alla vittima o alle vittime, cosa tipicamente verificata in una rete locale.

In realtà già con uno switch la sola modalità promiscua è praticamente inutile (a meno di aggiungere tecniche di attacco come l’ARP poisoning). Lo switch, rispetto ad un hub che invia ogni pacchetto ad ogni porta, memorizza dinamicamente al suo interno le porte su cui sono presenti determinati indirizzi MAC, o meglio associa ogni porta ad uno o più indirizzi MAC “permessi”. Il traffico diretto ad un particolare host viene quindi indirizzato sulla specifica porta in modo che il dominio di collisione non corrisponda più all’intera rete. In questo caso ogni host collegato allo switch riceve solo il proprio traffico al quale può sommarsi qualche raro pacchetto inviato in broadcast per determinare la corrispondenza tra indirizzo MAC e porta dello switch. Dunque una scheda di rete in modalità promiscua in uno scenario come questo serve a ben poco, senza l’aggiunta, come già detto, di altre tecniche. Da tener conto che anche attacchi di ARP poisoning possono avere esiti diversi a seconda della grado di sofisticazione e della configurazione dello switch (un conto è uno switch Cisco, un altro uno switch acquistato all’Ipercoop :-().

In linea generale si può dire che una cosa analoga valga anche per le VLAN. Sono possibili attacchi di ARP poisoning all’interno di una stessa VLAN, mentre è decisamente più improbabile un attacco che permetta di compromette un host appartenente ad una VLAN diversa. In definitiva, la messa in ascolto di una scheda di rete con il solo uso della modalità promiscua è utile solo con dei semplici ed obsoleti hub, ed è invece del tutto inutile con gli switch.

Per approfondimenti, consiglio di visitare i link seguenti:

roghan

Security ed Anti-Forensic nell’ambito della rete aziendale

Al convegno e-privacy del 28 maggio 2010 mi ha particolarmente interessato una discussione riguardante le tecniche di anti-forensic presentata da Daniele Martini, alias cyrax. Le tecniche di anti-forensic sono tutte quelle tecniche, opposte alle forensic (o investigazioni forensi), che mirano a nascondere le informazioni e a proteggere i dati da potenziali controlli e investigatori.

forensic science

Le tecniche presentate durante la relazione non sono state descritte nei dettagli, ma vogliono essere solo un pretesto per illustrare il panorama attuale in materia, e sono le seguenti:

* Artifact wiping
Questa tecnica prevede la cancellazione dei dati utilizzando ad esempio più riscritture dei blocchi in memoria, da un minimo di 3, arrivando addirittura a 14 o anche molte più riscritture. Tuttavia esistono sistemi che permettono di recuperare i dati anche in seguito a numerose riscritture, e per questo motivo è consigliabile effettuare sempre un elevato numero di riscritture dei blocchi. L’eliminazione definitiva dei dati può passare anche da azioni “definitive” come la rottura fisica del dispositivo di archiviazione, oppure l’utilizzo di campi magnetici in modo da rendere illeggibile il contenuto. Tra le tecniche mostrate che permettono il recupero dei dati c’è stato il Cold Boot Attack (link1 e link2), che, lo ammetto, non avevo mai sentito nominare! E’ un particolarissimo tipo di attacco fisico (ossia l’attaccante deve avere accesso fisico al dispositivo bersaglio), in cui viene congelata la RAM e quindi tolta dal dispositivo. Il congelamento è necessario per permettere ai dati di rimanere in memoria alcuni minuti, dal momento che la RAM per definizione è un tipo di memoria volatile, in cui i dati vanno persi non appena il sistema viene spento.
[…]

Al convegno e-privacy del 28 maggio 2010 mi ha particolarmente interessato una discussione riguardante le tecniche di anti-forensic presentata da Daniele Martini, alias cyrax. Le tecniche di anti-forensic sono tutte quelle tecniche, opposte alle forensic (o investigazioni forensi), che mirano a nascondere le informazioni e a proteggere i dati da potenziali controlli e investigatori.

Le tecniche presentate durante la relazione non sono state descritte nei dettagli, ma vogliono essere solo un pretesto per illustrare il panorama attuale in materia, e sono le seguenti:

  • Artifact wiping
    Questa tecnica prevede la cancellazione dei dati utilizzando ad esempio più riscritture dei blocchi in memoria, da un minimo di 3, arrivando addirittura a 14 o anche molte più riscritture. Tuttavia esistono sistemi che permettono di recuperare i dati anche in seguito a numerose riscritture, e per questo motivo è consigliabile effettuare sempre un elevato numero di riscritture dei blocchi. L’eliminazione definitiva dei dati può passare anche da azioni “definitive” come la rottura fisica del dispositivo di archiviazione, oppure l’utilizzo di campi magnetici in modo da rendere illeggibile il contenuto. Tra le tecniche mostrate che permettono il recupero dei dati c’è stato il Cold Boot Attack (link1 e link2), che, lo ammetto, non avevo mai sentito nominare! E’ un particolarissimo tipo di attacco fisico (ossia l’attaccante deve avere accesso fisico al dispositivo bersaglio), in cui viene congelata la RAM e quindi tolta dal dispositivo. Il congelamento è necessario per permettere ai dati di rimanere in memoria alcuni minuti, dal momento che la RAM per definizione è un tipo di memoria volatile, in cui i dati vanno persi non appena il sistema viene spento.
  • Data Hiding
    Questa è l’arte di nascondere le informazioni all’interno di “luoghi” improbabili, che si suppone non saranno controllati dall’eventuale indagatore. Tra queste tecniche vi è quella di celare i dati in determinati blocchi della memoria, per poi etichettarli come bad block, oppure in spazi riservati del filesystem (come ad esempio la directory /dev sui sistemi Linux), o ancora nello slack space.
  • Encryption
    Il metodo “classico” per nascondere i dati, attraverso la cifratura dell’intero filesystem, o di determinate directory (viene citato come esempio il noto TrueCrypt). Infine viene discussa la tecnica della steganografia, l’arte di nascondere un messaggio in un determinato contesto, come l’occultamento di un testo in una foto o in un video/audio.
  • Trail obfuscation
    Qui sono state discusse le tecniche per offuscare i dati come la modifica dell’hash di un file o degli attributi di un file (data modifica, ultimo accesso, …). Un’azione invece più deplorevole potrebbe essere di installare un po’ di diavolerie sul proprio sistema, come worm, virus o cavalli di troia, al fine di dire “non sono stato io perché ho preso un virus!”. In questo modo è possibile cercare di confondere chi vuole accedere ai dati e controllarli.
  • Attacks against CF
    Questa categoria infine racchiude tutte le azioni che cercano di nascondere e/o rimuovere certi dati al verificarsi di particolari condizioni. Ad esempio potrebbero essere creati degli script che eliminano dei dati se viene effettuato il login da un certo utente, o se si verificano particolari procedure di avvio, o in alternativa potrebbe essere avviata una Virtual Machine. Un’altra tecnica, però molto pericolosa :-P, è anche quella di controllare la rete a cui è collegato il dispositivo, e nel caso cambi effettuare determinate operazioni.

L’intervento è liberamente distribuito e scaricabile dal sito del convegno e-privacy, sia come file pdf che come audio in formato mp3. Ecco il link:

e-privacy.winstonsmith.org/interventi.html#martini

Altrimenti il pdf è scaricabile direttamente dal seguenti link:

download pdf

roghan

Guadagnare con i social network?!

Giorni fa sono capitato su quello che pare essere un nuovo social network, o meglio un altro… ma con una particolarità! Il titolo della homepage recita infatti “Il Network Sociale che Ricompensa i Suoi Membri”, che ottima trovata vi starete dicendo! Davvero una bella novità, e finalmente una ventata di aria fresca… tenendo conto di quanto siano sempre più utilizzati ultimamente i social network, facebook su tutti! Ma sarà davvero così? Forse sì, o forse no? Cosa ci guadagna il sito oltre la popolarità? Andiamo per ordine e partiamo dal sito, che è raggiungibile al seguente indirizzo:

Klikot

Per curiosità sono andato a leggere la pagina Privacy, che si trova in basso nella home, e l’arcano è stato svelato: guadagno per gli utenti in cambio dei loro dati! E poi si parla sempre di privacy… Infatti basta fermarsi al primo paragrafo della pagina (quello intitolato “Personal information that We collect”), e in particolare alla seguente parte:
[…]

Giorni fa sono capitato su quello che pare essere un nuovo social network, o meglio un altro… ma con una particolarità! Il titolo della homepage recita infatti “Il Network Sociale che Ricompensa i Suoi Membri“, che ottima trovata vi starete dicendo! Davvero una bella novità, e finalmente una ventata di aria fresca… tenendo conto di quanto siano sempre più utilizzati ultimamente i social network, facebook su tutti! Ma sarà davvero così? Forse sì, o forse no? Cosa ci guadagna il sito oltre la popolarità? Andiamo per ordine e partiamo dal sito, che è raggiungibile al seguente indirizzo:

Klikot

Per curiosità sono andato a leggere la pagina Privacy, che si trova in basso nella home, e l’arcano è stato svelato: guadagno per gli utenti in cambio dei loro dati! E poi si parla sempre di privacy… Infatti basta fermarsi al primo paragrafo della pagina (quello intitolato “Personal information that We collect”), e in particolare alla seguente parte:

“For example, we may record the frequency and scope of your use of the services, the duration of your sessions, the web pages that you visit, information that you read, content that you use or create, advertisements that you view or click on, your communications with other users and third parties on Klikot, the Internet protocol (IP) address and the name of the domain that serve you to access Klikot, or any of the Services, and the geographic location of the computer system that you are using to log-in on Klikot. We may automatically gather this information, through the use of log files. If you are registered with Klikot, the information we gather may be anonymous or in some instances personally identifiable. If you are not a registered user, than we will not knowingly make use of any information which personally identifies you, except as specifically indicated in the policy.”

Praticamente vengono registrate quasi tutte le azioni effettuate dall’utente sul sito :-|, anche se in teoria più avanti nella pagina vengono specificati i termini di utilizzo dei dati raccolti (non so però quanto possano essere ritenuti affidabili e precisi). Vengono memorizzati i file log delle pagine visitate dagli utenti, i contenuti creati o usati, tutte le comunicazioni, e l’indirizzo IP! Quest’ultimo è ciò che identifica in Rete una qualsiasi persona o più in generale un dispositivo collegato alla Rete, e può essere paragonato al numero della carta d’identità di una persona, anche se risalire al nome dell’intestatario dell’indirizzo IP non è una cosa praticamente possibile (dovrebbe essere inoltrata una richiesta all’ISP dell’utente), eccetto che per enti del tipo NSA, FBI, Polizia Postale, o comunque grandi organizzazioni.

Questo credo sia solo uno dei tanti esempi che circolano sul web, non solo per quanto riguarda i social network, ma anche per tanti altri servizi. Spesso un servizio, un software, o qualunque altra cosa liberamente distribuita sul web cela al suo interno un arcano segreto, simile a quello di questo sito, se non peggiore! Non è una novità sentire di siti e aziende che hanno venduto i dati raccolti nei loro database a terze parti, di programmi contenenti spyware al loro interno (da non confondere con il termine più generale malware, ossia tutto quel software che ha come obiettivo quello di danneggiare il pc su cui viene eseguito). Con questo non voglio dire di non usare servizi e siti free, o software freeware, anzi l’open source dovrebbe fare da scuola a molti, però dico di fare molta attenzione a ciò che all’apparenza può sembrare “tutto oro”…

Matteo

“Gli onesti da nessun guadagno sono indotti all’inganno, i disonesti anche da uno piccolo.” (Cicerone)

%d blogger hanno fatto clic su Mi Piace per questo: