Pubblico qui l’introduzione del progetto OneSwarm, un progetto software a cui ho collaborato recentemente traducendolo in italiano. Il software è disponibile qui. – Jan Reister

Privacy-preserving P2P data sharing with OneSwarm – Tomas Isdal, Michael Piatek, Arvind Krishnamurthy, Thomas Anderson – Technical report, UW-CSE. 2009. (PDF)

La privacy – la protezione delle informazioni dagli accessi non autorizzati – è sempre più rara in Internet, eppure sta diventando sempre più importante nel momento in cui ciascuno di noi è diventato sia fruitore, sia produttore di contenuti.

La mancanza di privacy è particolarmente evidente per i programmi di condivisione dati peer-to-peer più diffusi, in cui i meccanismi di rendezvous pubblico e la partecipazione dinamica rendono molto facile sorvegliare il comportamento degli utenti.

In questo saggio presentiamo la progettazione, la realizzazione e l’esperienza pratica di OneSwarm, un nuovo sistema di scambio dati P2P che fornisce agli utilizzatori un controllo esplicito e flessibile sui loro dati: è possibile condividere i dati pubblicamente oppure in modo anonimo, con tutti i propri amici, solo con alcuni amici e non con altri, oppure solo tra i propri computer personali.

OneSwarm è disponibile al pubblico ed è stato scaricato da centinaia di migliaia di utenti nei mesi trascorsi dalla sua nascita. Uno degli obiettivi principali è ridurre il costo della privacy in termini di prestazioni; le nostre misurazioni sul sistema dal vivo hanno infatti dimostrato che i trasferimenti anonimi di dati hanno prestazioni competitive rispetto al traffico non anonimo. Le nuove tecniche di ricerca e trasferimento in OneSwarm offrono velocità di trasferimento oltre un ordine di grandezza più veloci rispetto a Tor, un altro diffuso sistema di anonimato.

1 Introduzione

La privacy – la protezione delle informazioni dall’accesso non autorizzato – è un obiettivo costante nella progettazione di sistemi informatici. La privacy è diventata particolarmente impellente con la trasformazione degli utenti da consumatori passivi in autori di contenuti, condivisori di materiali e di interessi con differenti e sovrapposti gruppi di persone.

Tecnicamente la privacy sarebbe facile da ottenere nei sistemi centralizzati. Se i dati degli utenti sono conservati in un server all’interno di un data center, è semplice  applicare le direttive degli utenti sulla diffusione dei dati, e si può limitare attentamente, o a richiesta disabilitare, ogni informazione sugli interessi e sui comportamenti degli utenti stessi. Tuttavia la realtà è assai diversa. Molti famosi servizi web esigono che gli utenti rinuncino ai loro diritti di proprietà e privacy come condizione per usufruire dei servizi; molti siti in questo modo raccolgono, conservano e trasmettono grandi quantità di informazioni personali sui loro utilizzatori, anche se la maggioranza degli utenti è contraria a questi comportamenti. Anche per semplici collegamenti ad Internet, gli ISP divulgano regolarmente informazioni personali sui loro utenti a praticamente chiunque lo richieda. Con la centralizzazione è anche più facile applicare la censura, come difatti accade in molti paesi del mondo.

I sistemi di scambio dati peer-to-peer (P2P) possono offrire scalabilità e privacy senza ricorrere alla centralizzazione. Con il P2P non vi è alcun bisogno intrinseco di sacrificare la privacy, perché le risorse sono fornite dagli utenti stessi. Tuttavia i sistemi P2P più diffusi sacrificano la privacy alla facilità d’uso, senza offrire quindi alternative pratiche ai sistemi di cloud computing centralizzati.

Da un lato, i sistemi come BitTorrent sono robusti ed hanno alte prestazioni, ma le attività di tutti sono visibili a chiunque abbia voglia di osservarli. (Il nostro gruppo di ricerca, con una dozzina di computer all’Università di Washington, ha sorvegliato decine di milioni di utenti BitTorrent in tutto il mondo.) D’altro lato, sistemi anonimi come Tor e Freenet enfatizzano la privacy a costo di prestazioni limitate e di fragilità, in parte causati da incentivi divergenti e da scelte inefficienti di protocollo, come il routing su singolo circuito. Ad esempio, nella nostra valutazione delle prestazioni, OneSwarm ha fornito velocità di trasferimento oltre un ordine di grandezza superiori rispetto a Tor.

In questo saggio descriviamo il progetto, la realizzazione ed esperienza di un servizio di scambio dati rispettoso della privacy, detto OneSwarm, che cerca di ridurre il “costo” della privacy concentrandosi su obiettivi di usabilità: facilità di installazione, supporto per differenti modelli di condivisione e fiducia, interoperabilità con gli utenti degli altri sistemi pubblici di scambio dati, alta efficienza e robustezza. In OneSwarm, i dati vengono individuati e trasferiti attraverso una rete mista di nodi (peer) fidati e non-fidati, appartenenti alle reti sociali degli utenti. Riteniamo che la combinazione mista di nodi fidati e non-fidati offra più privacy e robustezza rispetto al loro uso separato. La ricerca ed il trasferimento di contenuti sono anonimi, in grado di gestire congestioni, avvengono su percorsi multipli ed offrono buone prestazioni ad un costo computazionale ragionevole anche per oggetti rari e diversa larghezza di banda tra nodi.

OneSwarm fa parte di un più vasto movimento per realizzare un’alternativa al cloud computing che non dipenda da un sistema di fiducia centralizzato, e comprenda servizi di rendezvous, ricerca, storage a lungo termine, calcolo remoto e simili. Ci occupiamo della privacy come prima cosa, perché è gestita molto male nei sistemi P2P attualmente più usati, pur essendo ai nostri occhi una delle caratteristiche più importanti che questi sistemi dovrebbero avere. Vogliamo sottolineare che la privacy ha un grande valore per molti legittimi motivi. C’è chi dice: “chi non ha nulla da nascondere, non ha nulla da temere”, ma noi non siamo d’accordo. Ad esempio, molti contenuti di Youtube sono liberamente distribuibili e l’uso di tecniche P2P permetterebbe a Youtube di risparmiare milioni di dollari l’anno: è probabile tuttavia che gli utenti non accetterebbero una simile scelta se ciò permettesse a terze parti di sorvegliare con poco sforzo ogni loro attività in Youtube.

OneSwarm è stato scaricato da centinaia di migliaia di persone ed ha gruppi di utilizzatori attivi in molti paesi, confutando così l’idea che “a nessuno interessa la privacy”. Noi utilizziamo questa base per le nostre valutazioni raccogliendo statistiche d’uso volontarie dagli utenti e misurazioni di particolari client OneSwarm su PlanetLab. Dato che le nostre misurazioni dal vivo sono limitate dalle esigenze di privacy dei nostri utenti, completiamo il nostro studio con simulazioni di OneSwarm su una traccia di schemi di condivisione oggetti e di relazioni sociali di oltre un milione di utenti del servizio musicale last.fm .

Il resto del saggio è così organizzato: La sezione 2 descrive il modello di scambio dati e carico di lavoro di OneSwarm. Descriviamo come gestiamo le identità e la fiducia nella sezione 3, e gli algoritmi congestion-aware di ricerca dati e trasferimento nella sezione 4. Nella sezione 5 effettuiamo una breve analisi di sicurezza e nella sezione 6 valutiamo le prestazioni del sistema. L’esperienza nella realizzazione è discussa nella sezione 7, presentiamo altri lavori collegati nella sezione 8 e le conclusioni nella sezione 9.

Traduzione italiana di Jan Reister 2009 – Gnu Free Documentation License 1.2

http://oneswarm.cs.washington.edu/

Se ti interessa, puoi leggere il seguito del paper in inglese qui: Privacy-preserving P2P data sharing with OneSwarm (PDF).

Se invece preferisci provare di persona, puoi scaricarlo ed installarlo sul tuo computer: è scritto in java e funziona su Windows, Mac OSX e Linux.

Ho bisogno del lavoro prezioso di una (o più) persona volontaria che riveda la traduzione e mi segnali:

1. refusi, errori di ortografia e di impaginazione – è la cosa più apprezzata e di semplice esecuzione, grazie!
2. frasi non scorrevoli, troppo ambigue, sbagliate – tieni conto che sono testi tecnici;
3. scelte stilistiche grossolane e discutibili – come sopra, bassa priorità ed importanza.

Se hai anche solo 5 minuti da dedicare, prendi una delle pagine qui sotto e segnalami nei commenti tutti i problemi che trovi. Il tuo contributo è prezioso, grazie!

Aggiornamento 12/10/2009: ringrazio marnon, saretta, alanina, sparz, Laura, Add3r, fabo, shatzy per il loro contributo, ho cancellato dalla lista le pagine completate. Se nei commenti oltre alle correzioni mi segnali anche il link al tuo sito, lo citerò con piacere.

Pagine principali: le più lette e importanti, comincia da qui!

1. index.html.it
2. easy-download.html.it
3. finding-tor.html.it
4. download.html.it
5. docs/tor-doc-windows.html.it
6. bridges.html.it
7. torbrowser/index.html.it
8. torbrowser/split.html.it

Pagine secondarie: utili per chi vuole approfondire

• overview.html.it
• torusers.html.it
• faq.html.it
• documentation.html.it
• docs/tor-doc-relay.html.it
• verifying-signatures.html.it
• docs/tor-doc-osx.html.it
• donate.html.it

Pagine marginali:  molto specifiche, poco lette

• faq-abuse.html.it
• tshirt.html.it
• projects/index.html.it
• hidden-services.html.it
• tordnsel/index.html.it
• sponsors.html.it
• trademark-faq.html.it
• docs/tor-doc-web.html.it
• docs/tor-doc-unix.html.it
• docs/tor-hidden-service.html.it
• people.html.it
• mirrors.html.it
• download-unix.html.it
• contact.html.it
• running-a-mirror.html.it
• volunteer.html.it
• torbrowser/details.html.it
• research.html.it

Anche 3 minuti del tuo tempo sono preziosi. Quel che faccio per il Tor Proejct è lavoro volontario non pagato, altrettanto è il  contributo che vorrai dare, per il quale sarà dato credito.

Se ti stupisci per tutti gli strafalcioni che trovi, sappi che sono esclusivamente di mia responsabilità, ma che sono nati da un aggiornamento incrementale di ciascuna pagina nell’arco di almeno 4 anni.Per maggiori informazioni sulla traduzione di Tor, leggi le translation guidelines.

Aggiornamento 8/10/2009: segnalato anche da Sami Ben Gharbia per Global Voices e lì pubblicato in html e pdf.

Di Ethan Zuckerman – originale – traduzione italiana di Jan Reister

Introduzione

Una delle soddisfazioni di lavorare per Global Voices è stata la possibilità di collaborare con persone che esprimono le loro opinioni nonostante le forze che cercano di metterle a tacere. Ho lavorato con autori che volevano scrivere in rete su argomenti politici o personali, ma che per farlo dovevano essere certi che i loro scritti non potessero essere collegati alla loro identità. Questi autori sono attivisti dei diritti umani in decine di paesi, personale umanitario in paesi dal regime autoritario e whistleblower in aziende e governi.

Ho scritto una guida tecnica al blogging anonimo pubblicata su Global Voices qualche mese fa, in cui descrivevo alcuni metodi per tenere un blog in modo anonimo. Da allora ho tenuto workshop in tante parti del mondo ed ho apprezzato un particolare insieme di strumenti – Tor, WordPress e vari account gratuiti di posta elettronica – che usati insieme possono offrire un alto livello di anonimato. Questa guida non esamina diverse direzioni di lavoro, ma ne propone una nel dettaglio spiegandola passo passo.

Puoi saltare le sezioni “perché” della guida, se hai fretta o se non ti interessa conoscere sempre i motivi di ogni cosa. In futuro spero di poter impaginare meglio le sezioni “perché” in modo da poterle comprimere ed espandere a piacere, abbreviando così l’intero documento.

Se nel documento sono stato poco chiaro od ho commesso errori, lasciamelo detto nei commenti – questa è una bozza che spero di perfezionare. Se pensi che sia utile e vuoi redistribuirla, fallo pure: è soggetta a una Creative Commons 2.5 Attribution license, che significa che puoi pure stamparla su delle tazzine da caffé e venderle, se pensi che ci sia un mercato per guadagnarci qualcosa. [NdT: la traduzione è soggetta a licenza Creative Commons BY-NC-SA]

Avvertenza

Se segui esattamente queste istruzioni ridurrai notevolemente la possibilità che si riesca a collegare la tua identità con i tuoi scritti in rete con metodi tecnologici-ad esempio, quando un organo dello stato o la polizia ottengono i dati da un Internet Service Provider. Purtroppo non posso garantire che questi metodi funzionino in ogni circostanza, né accetto alcuna responsabilità, civile o penale, qualora l’uso o l’abuso di queste istruzioni ti causasse problemi legali, civili o personali.

Queste indicazioni non impediscono che tu possa essere individuato tramite altri metodi tecnici, come il keystroke logging (l’installazione sul tuo computer di un programma che registra ogni tasto che batti) o la sorveglianza tradizionale (leggere lo schermo del tuo computer con una telecamera o un teleobiettivo). In realtà, la maggior parte delle persone viene identificata con mezzi non tecnologici a partire da ciò che scrive: talvolta scrive qualche indizio sulla sua vera identità, o si confida con qualcuno che si rivela inaffidabile. Non posso aiutarti su questo fronte, se non esortandoti a fare attenzione ed ad usare l’intelligenza. Per una guida migliore alle cose necessarie per essere “attenti e intelligenti” consiglio “How to blog safely” di EFF.

Ed ora le spiegazioni tecniche:

I – Scrivere da computer condivisi con altri

Se scriverai principalmente da computer condivisi (come i pc negli internet café) o se non puoi installare software su di un computer, segui le indicazioni qui sotto per usare Tor Browser Bundle senza dover installare permanentemente alcun software.
Se invece scriverai prevalentemente dal tuo computer personale, dove puoi installare software, vai per favore al capitolo II.

Tor Browser Bundle per Windows (per tutti i dispositivi portatili e penne USB)

Consigliamo di scaricare Tor Browser Bundle per Windows, un ottimo pacchetto Tor preconfigurato con un browser Mozilla Firefox a sé stante per penne USB o per qualsiasi dispositivo portatile (schede SD, hard disk, schede compact flash). Tor Browser è una versione open source di un browser portatile, sviluppato dal Progetto Tor. E’ una versione molto personalizzata per il browser Firefox con Tor, Vidalia, il caching proxy Polipo, Firefox e Torbutton già installati. E’ progettato per essere messo su una chiavetta USB ed usare Tor da computer condivisi dove non è consentito installare software.

a) Scarica il Tor Browser Bundle. Dal sito web del Progetto Tor scarica il pacchetto nella tua lingua su di un computer dove poter salvare il file. Inserisci la tua penna USB e copia il Tor Browser Bundle. Con questa penna USB e qualsiasi computer dove sia possibile inserirla, potrai usare un browser protetto da Tor. Sul computer condiviso, chiudi il browser attivo. Inserisci la penna USB, trovane i file sul Desktop e fai doppio clic su Start Tor Browser.exe. Apparirà in breve tempo la finestra di Vidalia.

Ricorda che puoi scaricare il Tor Browser Bundle dal sito web del progetto Tor o scegliere il pacchetto nella tua lingua preferita dalla pagina di download del Tor Browser Bundle.

b) Estrai il file nella tua penna USB, apri la cartella “Tor Browser” e fai clic su “Start Tor Browser”. Dopo essersi collegato alla rete Tor, il browser Firefox con supporto Tor partirà automaticamente e visiterà la Tor Test Page. Controlla che ci sia il messaggio “Congratulazioni. Stai usando Tor.”.
Altrimenti otterrai il messaggio “Spiacente. Non stai usando Tor. Se stai cercando di usare un client Tor, leggi il sito web di Tor ed in particolare le istruzioni per configurare il client Tor.”

II – Scrivere dal proprio computer personale

Se scriverai principalmente dal tuo computer personale, su cui puoi installare software, segui queste istruzioni.

1: maschera il tuo indirizzo IP

Ogni computer in Internet ha o condivide un indirizzo IP. Questi indirizzi non sono degli indirizzi fisici, ma possono permettere ad un bravo amministratore di sistema di rintracciare il tuo indirizzo reale. In particolare, se lavori per un ISP puoi facilmente associare un indirizzo IP al numero di telefono che ha usato quell’IP in un certo momento. Così, prima di qualsiasi operazione anonima in Internet, bisogna mascherare il nostro IP.

Cosa fare se vuoi tenere un blog dal computer di casa o del lavoro:

a) Installa Firefox. Scaricalo dal sito di Mozilla ed installalo sul computer principale che usi.

Perché?

Internet Explorer ha dei discreti problemi di sicurezza che possono compromettere la tua sicurezza in rete. Questi problemi tendono a restare irrisolti molto più a lungo in IE che in altri browser. (Non ci credi? Chiedilo a Bruce Schneier) E’ il browser più vulnerabile allo spyware che si scarica inavvertitamente da siti web. Inoltre, molti degli strumenti per la privacy sviluppati ora sono stati scritti specificamente per funzionare con Firefox, come Torbutton, che useremo nei passi successivi.

b) Installa Tor. Scarica il programma dal sito web Tor. Se nel tuo paese l’accesso al sito web principale di Tor è bloccato, ci sono alcuni mirror in altri posti da cui scaricarlo. Puoi anche consultare la cache di Google per leggervi la pagina dei mirror cercando “site:torproject.org mirrors“.
Scegli l’ultima versione stabile per la tua piattaforma e scaricala sul tuo desktop. Segui le istruzioni indicate con un link a destra accanto alla versione scaricata. Installerai due pacchetti software e dovrai effettuare alcune modifiche alla tua installazione di Firefox.

Nel caso che la tua connessione a internet blocchi l’accesso al sito web Tor, puoi richiedere un pacchetto spedendo una email al robot “gettor” all’indirizzo gettor (AT) torproject (DOT) org. Nota bene: le email per gettor @ torproject . org devono provenire da un account Gmail, altrimenti non avranno risposta. Scegli uno dei seguenti nomi di pacchetti e scrivilo nel corpo dell’email:

• tor-im-browser-bundle
• windows-bundle
• panther-bundle
• tor-browser-bundle
• source-bundle
• tiger-bundle

Poco dopo l’invio dell’email, riceverai una risposta dal robot “gettor” col software richiesto in un file zip. Apri il file zip e verifica la firma.

Perché?

Tor è una rete molto sofisticata di proxy server. Essi richiedono le pagine web al tuo posto, in modo che il server web di destinazione non veda l’indirizzo IP originale del computer che ha richiesto la pagina. Usando Tor, usi a cascata tre particolari proxy server per recuperare ciascuna pagina web. Le pagine vengono cifrate nel passaggio tra i server Tor, ed anche quando uno o due dei server nel circuito fossero compromessi, sarebbe molto difficile capire quale pagina web stavi leggendo o su quale pagina stavi scrivendo.
Tor installa anche un altro software, Privoxy, che aumenta la sicurezza del tuo browser bloccando cookie ed altro software che consentirebbe il tracciamento. Blocca inoltre molta della pubblicità che si trova sul web.

c) Il pacchetto installa anche il plugin Firefox Torbutton. Chiederà semplicemente di potersi installare. Fai clic su “Installa Ora”, riavvia Firefox ed è pronto:

Perché?

Impostare manualmente Tor significherebbe doversi ricordare di cambiare le preferenze del browser ed usare un proxy server. E’ un processo lungo che spesso ci si dimentica di completare. Con Torbutton basta un clic del mouse ed è anche facile sapere se si sta usando o meno Tor, cosa molto utile.

Troverai che Tor rallenta l’uso del web – dipende dalle richieste Tor che vengono istradate attraverso tre proxy prima di raggiungere il web server di destinazione. Alcuni – me compreso – usano Tor solo quando è importante nascondere la propria identità, e lo spengono se non serve – con Torbutton è molto facile.

d) Attiva Tor in Firefox e provalo. Con Tor attivo, visita questo indirizzo). Se ottieni questo messaggio: “Congratulazioni. Stai usando Tor.”, allora tutto è stato installato correttamente e sei pronto per il prossimo passo.

Altrimenti otterrai il messaggio “Spiacente. Non stai usando Tor. Se stai cercando di usare un client Tor, leggi il sito web di Tor ed in particolare le istruzioni per configurare il client Tor.”

Perché?

E’ sempre bene verificare che il software installato funzioni, specie quando è così importante come Tor. La pagina che visiti controlla da quale indirizzo IP proviene la tua richiesta. Se proviene da un nodo Tor conosciuto, Tor funziona correttamente ed il tuo IP è nascosto – altrimenti, c’è qualcosa che non va e dovresti capire perché Tor non funziona correttamente.

Cosa fare se Tor non si connette mai?

Se hai difficoltà a collegarti alla rete Tor, leggi la FAQ sui problemi di funzionamento di Tor Nel caso in cui la tua connessione ad Internet blocchi l’accesso alla rete Tor, e nel caso che l’icona di Vidalia sia sempre gialla, puoi considerare l’uso dei bridgerelay. E’ il secondo passo logico per collegarsi alla rete Tor.

I bridge relay (https://www.torproject.org/bridges) (o “bridges”) sono relay Tor non elencati nella directory principale Tor. Non essendocene una lista completa, anche se il tuo ISP filtrasse le connessioni verso tutti i relay Tor conosciuti, probabilmente non riuscirebbe a bloccare tutti i bridge. Se sospetti che ti venga bloccato l’accesso alla rete Tor, puoi provare ad usare i bridge.

Puoi avere un bridge spedendo una email, da un account gmail, contenete “get bridges” nel corpo del messaggio, all’indirizzo bridges @ torproject . org . In breve riceverai una risposta automatica contenente i bridge. Si possono ottenere dei bridge anche da qui: https://bridges.torproject.org/

Apri il pannello di controllo di Vidalia, vai a Impostazioni > Rete e fai clic su “Il mio ISP blocca le connessioni alla rete Tor”. Aggiungi uno alla volta l’indirizzo di ciascun bridge incollandolo nella finestra “Aggiungi un bridge” e facendo clic sul segno “+”.

2: Crea un indirizzo email nuovo e difficile da rintracciare.

Molti servizi web, compresi quelli che ospitano blog, richiedono un indirizzo email per poter comunicare con i loro utenti. Per i nostri scopi questo indirizzo email non può essere collegato a informazioni personali e identificanti, come l’indirizzo IP che usiamo per iscriverci al servizio. Perciò ci serve un nuovo account email da creare usando Tor, facendo attenzione che nessun dato usato – nome, indirizzo etc. – sia collegabile a noi. NON devi usare un indirizzo email esistente – è probabile che ti ci sia iscritto da un indirizzo IP non nascosto, ed in genere i fornitori di webmail conservano l’indirizzo IP usato per la creazione.

a) Scegli un fornitore di webmail – Consigliamo Riseup.net e Gmail, ma fintanto che usi sempre Tor potresti anche usare anche Yahoo o Hotmail. Puoi anche registrarti un account webmail gratuito e rapido con fastmail.fm.

Perché?

La webmail è il modo migliore per creare un indirizzo email “usa e getta” che puoi usare per iscriverti ai servizi e poi ignorare. Molti utenti però usano la webmail anche come loro email principale. Se anche tu lo fai, è importante capire i punti di forza e di debolezza dei diversi fornitori di posta.

Hotmail e Yahoo hanno entrambi una “funzione di sicurezza” che disturba parecchio chi ama la privacy. Includono entrambi l’indirizzo IP del computer usato per inviare la posta. Ciò è comunque irrilevante se accedi a questi servizi via Tor, dato che l’indirizzo IP sarà un indirizzo IP Tor e non il tuo indirizzo. Inoltre Hotmail e Yahoo non offrono accesso sicuto (https) alla webmail – ancora, questo conta poco finché usi Tor ogni volta che usi questi servizi email. Ma molti utenti vogliono controllare la posta in circostanze in cui non hanno Tor a disposizione – per il tuo account email principale vale la pena scegliere un fornitore che abbia accesso https alla webmail.

Riseup.net offre una webmail con elevata sicurezza. Supportano la cifratura con PGP (Pretty Good Privacy) – molto utile se sei in corrispondenza con persone che usano PGP anch’esse. Puoi richiedere un account gratuito su www.riseup.net e chiedere ai tuoi corrispondenti di fare altrettanto.

Gmail ha alcune funzionalità di sicurezza interessanti anche se non si propone come un servizio di email sicuro. Se visiti questo indirizzo speciale https://mail.google.com/mail tutta la sessione con Gmail viene cifrata con https. Puoi anche visitare https://mail.google.com/mail/h/ che è una webmail Gmail sicura con interfaccia Basic HTML. (Io consiglio di segnare questo indirizzo nei segnalibri ed usarlo per tutte le sessioni Gmail.) Gmail non inserisce l’indirizzo IP nell’intestazione dell’email e puoi avere supporto PGP usando FireGPG, un’estensione Firefox che aggiunge crittografia forte a Gmail. FireGPG ha un’interfaccia per decifrare, cifrare, firmare e verificare la firma al testo di qualsiasi pagina web tramite GnuPG.

Un’avvertenza a tutti gli utilizzatori di account webmail – stai affidando tutta la tua posta all’azienda che gestisce il servizio. Se l’azienda viene compromessa da hacker, o se viene costretta dal governo a rivelare informazioni, altri avranno accesso al testo di tutte le email che hai ricevuto e spedito. L’unica alternativa è scrivere le tue email in un editor di testo, cifrarle sul tuo computer con PGP ed inviarle a qualcuno che usi PGP pure lui. Questo livello di sicurezza è al di là di ciò che la maggioranza di noi desidera e richiede, ma è importante ricordare che ti stai fidando di un’azienda che potrebbe non avere a cuore i tuoi stessi interessi. Yahoo in particolare ha la pessima abitudine di passare informazioni al governo cinese – alcuni dissidenti cinesi stanno facendo causa all’azienda per la comunicazione illegale dei loro dati. E’ qualcosa a cui pensare quando si deve scegliere di chi fidarsi…

b) Avvia Tor nel tuo browser, o avvia Tor Browser dalla tua penna USB. Visita il sito di email di tua scelta e iscriviti per un nuovo account. Non usare informazioni personali che ti possano identificare – pensa di diventare una persona dal nome banale in un paese con molti utenti web, come gli USA o il Regno Unito. Scegli una password robusta (almeno dodici caratteri, con almeno un numero e un carattere speciale) per l’account e scegli un nome utente simile al nome che userai per il tuo blog.

c) Controlla di riuscire fare login al servizio email ed invia una email di prova (non ad un indirizzo tuo o di conoscenti) con Tor attivo. Di solito Tor cambia circuito ogni 10 minuti e ciò potrebbe disturbare le operazioni della webmail, così puoi dedicare massimo 10 minuti a scrivere ogni email.

3: registra il tuo nuovo blog anonimo

a) Avvia Tor nel tuo browser, o avvia Tor Browser dalla tua penna USB. Visita WordPress.com ed iscriviti per un nuovo account facendo clic sul link “Sign Up Now!”. Usa l’indirizzo email appena creato e crea un nome utente che sarà parte dell’indirizzo del tuo blog: ilnomechescegli.wordpress.com

b) WordPress invierà un link di attivazione al tuo account webmail. Usa il browser con Tor per leggere quella email e fare clic sul link di attivazione. Così WordPress sa che hai usato un indirizzo email attivo e che può comunicarti aggiornamenti del servizio – il risultato è che renderanno pubblico il tuo blog e ti invieranno la tua password. Devi controllare ancora la webmail per recuperare la password.

c) Sempre usando Tor, fai login nel tuo nuovo blog usando username e password. Fai clic su “Il Mio Account” e su “Modifica Profilo”. Cambia la tua password con una password forte che riesci a ricordare bene. Aggiungi pure delle informazioni al tuo profilo… basta che non siano collegabili a te!

4: Scrivi sul tuo blog

a) Scrivi il tuo articolo offline. E’ un buon metodo per non perdere un post se il browser si blocca o il collegamento a Internet cade, ma serve anche a scrivere i propri articoli in un luogo più privato di un internet café. Un semplice editor come Blocco Note per Windows è spesso la scelta migliore. Salva i tuoi articoli come file di testo (dopo avere scritto sul blog ricordati di cancellarli completamente dal tuo computer con strumenti quali Eraser o Ccleaner che sono disponibili in molte lingue e cancellano i file temporanei automaticamente da tutti i browser installati e da altre applicazioni).

b) Avvia Tor, o usa Tor Browser dalla tua penna USB e fai login su WordPress.com. Fai clic su “Articoli > Add New” per scrivere un nuovo post. Copia e incolla l’articolo dal tuo file di testo alla finestra del post. Metti un titolo e scegli le categorie che vuoi.

c) Prima di fare clic su Pubblica c’è un passaggio cruciale. Fai clic sulla voce a destra che dice “Pubblica subito o Modifica“. Scegli una data di qualche minuto nel futuro – idealmente, scegli un intervallo casuale e usa un tempo diverso ogni volta. Questo ritarderà la pubblicazione del post sul tuo blog – WordPress non renderà pubblico il post finché non arriverà il momento indicato.

Modificando l’ora di pubblicazione ci si protegge da una tecnica per determinare la tua identità. Immagina di scrivere su un blog detto” alt=”” />

Modificando l’ora di pubblicazione questo attacco è più difficile per l’Internet Service Provider. Avrebbe bisogno anche dei log del server WordPress, che sono molto più difficili da ottenere. Si tratta di una protezione molto facile che aumenta la propria sicurezza.

5: Copri le tue tracce

a) Cancella in modo sicuro le bozze dell’articolo fatte sul tuo laptop o computer di casa. Se ti serve una penna USB per portare l’articolo all’internet café, devi cancellare anche quella. Non basta mettere il file nel cestino e svuotarlo – devi usare uno strumento di cancellazione sicura come Eraser o Ccleaner che sovrascrivono il vecchio file con dati che lo rendono impossibile da recuperare. Sul Macintosh questa funzione è nativa – metti un file nel cestino e seleziona “Vuota il cestino in modalità sicura” dal menu del Finder.

b) Cancella la cronologia di navigazione, i cookie e le password da Firefox. Dal menu Strumenti, seleziona “Elimina i dati personali”. Spunta tutte le opzioni e fai clic su “okay”. Potresti configurare Firefox per cancellare automaticamente questi dati ogni volta che esci – puoi farlo in “Modifica > Preferenze > Privacy” e spunta la voce che dice “Elimina sempre i dati personali alla chiusura di Firefox”. Se non puoi installare programmi sul computer, usa lo strumento IE Privacy Cleaner dalla penna USB per cancellare i dati temporanei del browser.

Perché?

E’ facile capire quali siti web hai visitato esaminando la cronologia del browser. Un esame più approfondito può rivelare la cronologia dai file di cache, che contengono le versioni delle pagine visitate. Questi dati vanno cancellati da un computer pubblico, in modo che il prossimo utente non li trovi. E vanno eliminati anche dal proprio computer, in modo che se venisse perso, rubato o sequestrato non sia possibile essere messi in relazione agli articoli che abbiamo scritto.

Alcune osservazioni conclusive:

• Non basta proteggersi mentre si scrive sul proprio blog. Se scrivi commenti su altri blog usando il nome del tuo blog anonimo, devi farlo usando Tor. Le piattaforme di blog registrano l’IP dei commenti – se non usi Tor, inviti chiunque gestisca quel sito a rintracciare il tuo IP ed il tuo computer. Tor è come un preservativo: non fare blogging insicuro.
• Anche se sei anonimo, puoi sempre abbellire il tuo blog. La voce “Aspetto” in WordPress ha molte opzioni da provare – template diversi, foto e personalizzazioni. Ma sii estremamente cauto se usi le tue foto – una foto contiene moltissime informazion su di te (se è stata fatta in Zambia, prova il fatto che eri in Zambia).
• Se sei veramente preoccupato della tua sicurezza, fai un altro passo per configurare il browser Firefox e disabilita Java. C’è un brutto difetto di sicurezza nella versione più recente di Java, che permette all’autore di uno script malizioso di capire qual’è l’indirizzo IP del tuo computer anche se stai usando Tor. Noi non ce ne curiamo troppo perché non pensiamo che WordPress.com o Google usino questi script, ma è qualcosa da considerare seriamente se usi Tor per altre ragioni. Per disattivare Java, vai in “Modifica > Preferenze > Contenuti” e togli la spunta ad “Attiva Java” (Tor Browser Bundle disattiva Java di default).

• Se sei l’unica persona del tuo paese ad usare Tor, è ovvio che l’utente che accede agli indirizzi IP legati a Tor è sempre lo stesso. Se vuoi usare Tor e ti preoccupa che un ISP indaghi sull’uso di Tor, potresti incoraggiare degli amici ad usare Tor – ciò crea quello che i crittografi chiamano “traffico di copertura”. Puoi anche usare Tor per visitare vari siti web, non solo scrivere sul tuo blog. In entrambi i casi significa che Tor viene usato per altre ragioni oltre a postare sul tuo blog anonimo, così se nei log di un ISP un utente accede a Tor ciò non indurrà automaticamente l’ISP a pensare che stia accadendo qualcosa di brutto.

Un’ultima considerazione sull’anonimato: Se non hai veramente bisogno di essere anonimo, non esserlo. Se il tuo nome è associato alle tue parole, è più facile che la gente prenda sul serio ciò che scrivi. Tuttavia, alcune persone hanno bisogno di restare anonime, ed è per questo che esiste questa guida. Solo, per favore non usare queste tecniche se non ne hai davvero bisogno.

fine. —

http://e-privacy.winstonsmith.info

La diffusione dalla Rete nella vita quotidiana e’ accompagnata da una sua manipolazione sia tecnologica che legale che permettera’ di ottenere un media facilmente censurabile e controllabile.

Con gli stessi mezzi e con un consenso impressionante la Rete viene trasformata in un mezzo di intercettazione preventiva di massa.
Il tecnocontrollo sociale ottenibile fa sembrare l’attivita’ delle polizie segrete dei paesi totalitari del passato un lavoretto artigianale ed improvvisato.

In Italia l’art.50 bis del pacchetto sicurezza obblighera’ gli ISP al filtraggio dei contenuti; la censura completa di qualsiasi contenuto scomodo sara’ ottenuta tramite l’estensione della fattispecie dell’apologia di reato. Il Parlamento europeo ha in cantiere attivita’, come il pacchetto Telecom, che elimineranno la neutralita’ della Rete trasformandola nel piu’ controllato e censurabile mezzo di comunicazione della storia dell’umanita’.

Questo avviene nel disinteresse generalizzato verso la difesa della propria ed altrui privacy, evidenziato non solo dalla indifferenza verso una data retention pervasiva ed obbligatoria per legge, ma anche dalla trascuratezza con cui blogger e partecipanti a comunita’ sociali digitali diffondono i loro dati personali in Rete. La passivita’ totale dei cittadini, soprattutto di quelli che vivono quotidianamente in Rete, verso queste iniziative legislative e tecnologiche rende il quadro se possibile ancora piu’ inquietante.

Durante il convegno avverra’ la consegna dei Big Brother Award Italia 2009 con la collaborazione di Privacy International; maggiori informazioni su http://bba.winstonsmith.info

La sede del convegno, Palazzo Vecchio e’ il Municipio  di Firenze in Piazza della Signoria 1.
E’ facilmente raggiungibile, 5 minuti a piedi, dalla stazione ferroviaria di Santa Maria Novella, dove e’ anche possibile arrivare in automobile, utilizzandone il parcheggio sotterraneo.
Dall’aereoporto Amerigo Vespucci sono disponibili taxi (10 minuti ca.) od autobus dedicato (costo 4 euro, partenze  ogni 30 minuti).

Il convegno e’ libero ma la capienza della sala e’ limitata; si consiglia quindi di effettuare una preregistrazione inviando una mail all’indirizzo convegno-e-privacy@firenze.linux.it

Il programma dettagliato del convegno e’ pubblicato sul sito.

Il convegno ed il premio sono organizzati dal  Progetto Winston Smith, un’associazione senza fini di lucro che si occupa della difesa del  diritto alla privacy in Rete e fuori, con la collaborazione di  Privacy International e di altre associazioni interessate alla  difesa dei diritti civili in Rete.

Programma del convegno

venerdi 22 maggio
09:00 – 09:20 —– Registrazione partecipanti
09:20 – 09:30 —– Saluto degli organizzatori – Alessandro Margaglio
09:30 – 09:45 – La privacy secondo Winnie: un anno di lavoro – Claudio Agosti, Marco A. Calamari
09:45 – 10:25 – Per i collaboratori di un’azienda: tutela o controllo? – Alessio L.R. Pennasilico
10:25 – 10:55 – L’enigma dell’identita’ personale nel secolo della Rete – Guido Scorza
10:55 – 11:10 —– break
11:10 – 11:30 – Pubblicita’ basata sugli interessi degli utenti – Marco Pancini
11:30 – 12:15 – Privacy e “Internet degli oggetti”: un rapporto difficile – Ernesto Belisario
12:15 – 13:00 – Liberta’ vs. dignita’. Due modi di concepire la privacy – Andrea Rossetti

13:00 – 14:15 —– pausa pranzo

14:15 – 15:00 – Facebook, YouTube, Blogs: rischi della nuova fenomenologia della Rete e sanzioni della L. 14/09 – Laura Lecchi
15:00 – 15:30 – La legge applicabile alle violazioni della privacy in rete: un “approdo sicuro” per i furbi? – Raffaele Zallone
15:30 – 15:45 — break
15:45 – 16:30 – Problematiche e insicurezze nel mondo del web 2.0 e del cloud computing – Fabio Nigi
16:30 – 17:15 – Voice security and privacy – Fabio (naif) Pietrosanti
17:15 – 18:00 – Contromisure tecnologiche all’escalation degli attacchi – Claudio Agosti

sabato 23 maggio
09:00 – 09:35 – Dimmi il tuo numero e ti diro’ dove sei – Alessandro (lord Scinawa) Luongo, Enzo (epto) Anci
09:35 – 10:10 – Grande Fratello VS Attivismo dentro e fuori dalla Rete – Enzo (epto) Anci
10:10 – 10:30 – Pirati o samaritani? Alla ricerca degli arcani confini del diritto d’autore – Giovanni B. Gallus – Francesco P. Micozzi
10:30 – 11:15 – Next Generation Network (NGN): dall’architettura alla neutralita’ della rete – Giuseppe Augiero
11:15 – 11:30 —– break
11:30 – 12:30 – consegna BBA Italia 2009
12:30 – 13:00 – Prevenire il computer quantistico: lo schema di firma digitale Lamport – Tommaso Gagliardoni

13:00 – 14:30 —– pausa pranzo

14:30 – 15:15 – Tor in the Web2.0: understanding and avoiding the new privacy pitfalls – Marco Bonetti
15:15 – 16:00 – Il diritto all’anonimato come principio cardine del sistema Data Protection – Paolo Mazzolari
16:00 – 16:15 —– break
16:15 – 17:00 – Tor nella normale attivita’ quotidiana: usabilita’ ed accorgimenti – Jan Reister
17:00 – 17:45 – Il controllo dei social network: non subirlo ma attivarlo – Monica Gobbato

Tra gli interventi della puntata:

Privacy in Rete: cos’è Tor?
Jan Reister ci illustra cos’è Tor e come può aiutarci a proteggere il nostro anonimato in Rete. Per chi fosse interessato: il progetto Tor; per scaricare il software: pagina di download Tor.

L’anonimato è un diritto tutelato dalla Costituzione
Marco Calamari, responsabile del Progetto Winston Smith, ci parla dell’anonimato e di come esso vada tutelato. Anche nel Web.

Intercettazione e Data Retention nel Web
Luca Lupària, docente di Diritto Penale presso l’Università di Teramo, ci parla di intercettazione e data retention.

L’intelligence nell’epoca di Internet
Alessandro Zanasi, docente di Knowledge Management e Data Mining presso l’Università di Bologna, ci illustra come sono cambiate le strategie dell’intelligence con la Rete e quali sono le tecniche per poter analizzare i dati raccolti.

La privacy e il controllo dei dati online
Giovanni Ziccardi, docente di Informatica Giuridica presso l’Università Statale di Milano, ci parla di diritto all’anonimato e delle strategie di controllo attuate dai governi per controllare informazioni personali.

In italia, nelle ultime settimane, abbiamo avuto anche noi più di un assaggio di come, per legge, dalla sera alla mattina, si possa limitare o, forse, sopprimere d’un colpo la libertà di manifestazione del pensiero attraverso il primo media dalla vocazione democratica della storia della comunicazione di massa.

Inutile ricordare che il momento in cui difendere questa nostra libertà fondamentale è OGGI e non DOMANI quando, come già accaduto per il sistema della Stampa e della Televisione, per legge, si saranno stabilite regole tali da consegnare la Rete ai Soliti Noti.

Oggi avrei molte cose da scrivere ma preferisco dedicare questo post a manifestare la mia adesione alla giornata mondiale contro la Cybercensura e suggerirvi di non perdere questo video. […]

Come dice il nome stesso, gli incontri degli Alcolisti Anonimi sono anonimi. Non occorre firmare nulla, né mostrare un documento d’identità, e nemmeno rivelare il proprio vero nome. Ma gli incontri non sono privati. Chiunque può parteciparvi. E chiunque è libero di riconoscervi: dal viso, dalla voce, dalle storie che raccontate. L’anonimato non vuol dire privacy.

Ciò è ovvio e poco interessante, ma molti sembrano dimenticarsene quando utilizzano un computer. Pensano “è sicuro” e si dimenticano che “sicuro” può voler significare molte cose diverse.
Tor è uno strumento gratuito che permette di usare Internet in modo anonimo. Sostanzialmente, entrando in Tor si entra a far parte di una rete di computer sparsa in tutto il mondo: le macchine appartenenti alla rete si passano il traffico Internet in modo casuale prima di inviarlo alla destinazione prescelta. Immaginatevi una ristretta cerchia di persone che si passano delle lettere.

Di tanto in tanto una lettera lascia il gruppo, spedita verso una certa destinazione. Se non potete vedere che cosa avviene all’interno di quella cerchia, non potrete stabilire chi ha inviato una qualsiasi lettera basandovi sull’osservazione delle lettere che lasciano il gruppo.
Ho tralasciato parecchi dettagli, ma questo è in sostanza il principio di funzionamento di Tor.

Viene chiamato “onion routing”, e fu inizialmente sviluppato al Naval Research Laboratory. Le comunicazioni fra i nodi di Tor sono cifrate in un protocollo a strati (di qui l’analogia con la cipolla), ma il traffico che lascia la rete Tor è in chiaro. Deve esserlo.

Se volete che il vostro traffico Tor sia privato, dovrete criptarlo. Se volete che sia autenticato, dovrete anche firmarlo. Il sito Tor dice persino:

“Sì, la persona che gestisce il nodo di uscita può leggere i byte che entrano ed escono da quel nodo. Tor rende anonima l’origine del vostro traffico, e garantisce la cifratura di tutto ciò che si trova all’interno della rete Tor, ma non cripta magicamente tutto il traffico di Internet”.

Tor ‘anonimizza’, niente più.

Dan Egerstad è un ricercatore di sicurezza svedese, che gestiva cinque nodi Tor. Nell’agosto 2007 ha pubblicato un elenco di 100 credenziali email (indirizzi IP di server, account email e le rispettive password) di ambasciate governi e ministeri di tutto il mondo; dati ottenuti effettuando lo sniffing del traffico in uscita alla ricerca di nomi utente e password dei server di posta.

L’elenco contiene soprattutto ambasciate del terzo mondo: Kazakhstan, Uzbekistan, Tajikistan, India, Iran, Mongolia, ma figurano anche un’ambasciata giapponese, l’ufficio di richiesta dei visti britannico nel Nepal, l’ambasciata russa in Svezia, l’Ufficio del Dalai Lama e svariati gruppi di Hong Kong per i Diritti Umani. E questa è solo la punta dell’iceberg: Egerstad ha ottenuto anche un migliaio di conti aziendali con lo stesso metodo di sniffing. Davvero preoccupante.

Presumibilmente molte di queste organizzazioni stanno utilizzando Tor per nascondere il proprio traffico di rete dalle spie dei loro paesi. Ma dato che chiunque può aggiungersi alla rete Tor, gli utenti di Tor passano necessariamente il proprio traffico a organizzazioni di cui potrebbero non fidarsi: svariate agenzie d’intelligence, gruppi di hacker, organizzazioni criminali e così via.

È semplicemente inconcepibile che Egerstad sia la prima persona ad aver effettuato questo tipo di intercettazione; Len Sassaman ha pubblicato uno studio su tale attacco qualche mese fa. Il prezzo che si paga per l’anonimato è esporre il proprio traffico a persone infide.
Non sappiamo realmente se gli utenti di Tor esposti fossero i legittimi proprietari degli account o se si sia trattato di hacker introdotti in quegli account con altri mezzi e che si stavano servendo di Tor per cancellare le proprie tracce. Ma di certo molti di questi utenti non hanno compreso che anonimato non significa privacy. Il fatto che la maggior parte degli account elencati da Egerstad fossero di piccoli paesi non sorprende: proprio da quei paesi c’è da aspettarsi una serie di pratiche di sicurezza più deboli.

È difficile conseguire un anonimato completo. Come possiamo essere riconosciuti in un incontro di Alcolisti Anonimi, così si può essere riconosciuti anche in Internet. Vi sono molte ricerche volte a rompere l’anonimato in generale, e quello di Tor nello specifico, ma in alcuni casi non è neanche necessario fare grossi sforzi. L’anno scorso, AOL ha reso pubbliche 20.000 query di ricerca anonime come strumento di ricerca. Non è stato molto difficile risalire alle persone partendo dai dati.

Un progetto di ricerca chiamato Dark Web, finanziato dalla National Science Fundation, ha persino tentato di identificare scrittori anonimi dal loro stile:

“Uno degli strumenti sviluppati da Dark Web è una tecnica chiamata Writeprint, che estrae automaticamente migliaia di caratteristichemultilingue, strutturali e semantiche per determinare chi sta creando contenuti ‘anonimi’ online.Writeprint può esaminare un post in un forum online, per esempio, e confrontarlo con altri scritti trovati altrove in Internet. Analizzando queste caratteristiche specifiche, può stabilire con più del 95% di accuratezza, se quell’autore ha prodotto altri contenuti in passato”.

E se il vostro nome o altre informazioni che possano identificarvi si trovano in solo uno di quegli scritti, è possibile risalire a voi.

Come tutti gli strumenti di sicurezza, Tor viene utilizzato sia da persone oneste che da malintenzionati. Perversamente, proprio il fatto che qualcosa si trovi all’interno della rete Tor significa che qualcuno, per qualche ragione, vuole nasconderlo o nascondere il proprio operato.
Finché Tor sarà un magnete che attira traffico “interessante”, Tor attirerà anche coloro i quali vogliono intercettare quel traffico, specialmente perché più del 90% degli utenti di Tor non lo cripta.

Questo articolo è precedentemente apparso su Wired.com. Traduzione italiana a cura di Communication Valley

Se esiste un dibattito che sintetizza la politica post-11 settembre, è quello della sicurezza contro la privacy. Quale delle due è più importante? A quanta privacy siete disposti a rinunciare per la sicurezza? E poi, ci possiamo davvero permettere la privacy in quest’epoca di insicurezza? Sicurezza contro Privacy: è la battaglia del secolo, o almeno di questo primo decennio.

In un articolo del “New Yorker” del 21 gennaio Michael McConnell, direttore della National Intelligence, parla di un progetto proposto per monitorare tutte (proprio così, TUTTE) le comunicazioni Internet a fini di sicurezza. Un’idea talmente estrema che l’aggettivo “orwelliano” è un eufemismo.

Nell’articolo è contenuto questo passaggio: “Perché il cyberspazio possa essere controllato, l’attività in Internet dovrà essere rigorosamente monitorata. Ed Giorgio, che sta collaborando con McConnell al progetto, ha affermato che ciò significherebbe dare al governo l’autorità di esaminare il contenuto di ogni email, di ogni trasferimento di file o ricerca Web. ‘Google possiede registri che potrebbero essere di grande aiuto in un’indagine cibernetica’, ha detto. Giorgio avverte, ‘Abbiamo un detto in questo mestiere: la privacy e la sicurezza sono un gioco a somma zero’”.

Sono certo che abbiano quel detto nel loro mestiere. Ed è esattamente per questo che, quando un governo viene guidato da gente del loro mestiere, si converte in uno stato di polizia. Se la privacy e la sicurezza fossero davvero un gioco a somma zero, avremmo assistito a un’immigrazione di massa verso l’ex Germania dell’Est e verso la Cina di oggi. Se da un lato è vero che in stati di polizia come questi il crimine di strada è minore, nessuno ha dimostrato che i loro cittadini siano essenzialmente più sicuri.

Ci è stato detto che dobbiamo giungere a un compromesso fra sicurezza e privacy così tante volte (in dibattiti sulla sicurezza e sulla privacy, in concorsi di scrittura, sondaggi, articoli ragionati e retorica politica) che molti di noi non mettono nemmeno in discussione l’essenziale dicotomia.

Ma è una falsa dicotomia.

La sicurezza e la privacy non sono gli estremi opposti di un’altalena: non occorre accettare meno di una per ottenere di più dell’altra. Pensiamo a una serratura, a un allarme antirapina e a una recinzione molto alta. Pensiamo alle pistole, alle misure anti-contraffazione delle banconote e a quello stupido divieto sui liquidi negli aeroporti. La sicurezza influisce sulla privacy soltanto quando si basa sull’identità, ed esistono dei limiti a quel genere di approccio.

Dall’11 settembre, tre cose hanno potenzialmente aumentato la sicurezza aerea: l’irrobustimento dei portelli della cabina di pilotaggio, i passeggeri che hanno capito che devono reagire e, forse, la presenza di sky marshal. Tutto il resto, tutte le misure di sicurezza che vanno a intaccare la privacy, si tratta semplicemente di una messinscena di sicurezza e di uno spreco di risorse.

Analogamente, molte delle misure di “sicurezza” anti-privacy che oggi vediamo (documenti d’identità nazionale, intercettazioni senza mandati, data mining su larghissima scala, ecc.) fanno ben poco per migliorare la sicurezza, e in certi casi addirittura la compromettono. E le dichiarazioni di successo da parte del governo sono sbagliate oppure riguardano false minacce.

Il dibattito non è “sicurezza o privacy”, ma “libertà o controllo”.

Lo si può vedere nei commenti di funzionari del governo: “La privacy non deve più significare anonimato”, sostiene Donald Kerr, vice direttore principale della national intelligence. “Invece, la privacy dovrebbe comportare che il governo e le imprese proteggano in modo adeguato le comunicazioni private delle persone e le loro informazioni finanziarie”. Avete capito? Ci si aspetta da voi che rinunciate al controllo della vostra privacy per affidarlo ad altri, i quali, presumibilmente, finiscono col decidere quanta privacy meritate. Ecco che cos’è la perdita della libertà.

Non deve sorprendere che la gente preferisca la sicurezza alla privacy: 51% contro il 29% in un recente sondaggio. Anche se non vi identificate nella gerarchia di bisogni di Maslow, è ovvio che la sicurezza sia più importante. La sicurezza è cruciale per la sopravvivenza, non solo delle persone, ma di ogni essere vivente. La privacy è una caratteristica che riguarda solo gli esseri umani, ma è un bisogno sociale. È essenziale per la dignità personale, per la vita di famiglia, per la società, per ciò che ci rende umani, ma non per la sopravvivenza.

Se si imposta la falsa dicotomia, è naturale che le persone sceglieranno la sicurezza a scapito della privacy, soprattutto se prima le spaventiamo. Ma rimane una falsa dicotomia. Non esiste sicurezza senza privacy. E la libertà richiede sia sicurezza che privacy. La nota massima attribuita a Benjamin Franklin dice: “Chi è pronto a dar via le proprie libertà fondamentali per comprarsi briciole di sicurezza momentanea non merita né la libertà né la sicurezza”. È anche vero che chi rinuncia alla privacy per la sicurezza finirà probabilmente senza l’una né l’altra.

Questo articolo è originariamente apparso su Wired.com. Traduzione italiana a cura di Communication Valley.

La lettera (testo, pdf) fa riferimento ad un atto di annullamento fatto dall’Irlanda nel 2006 e sottolinea che, oltre ai motivi formali portati dall’Irlanda, la direttiva è soprattutto illegale di fatto. Secondo il documento, la data retention viola il diritto al rispetto della vita privata e della corrispondenza, la libertà di espressione, e il diritto alla protezione della proprietà privata per i fornitori di accesso. “Mentre minaccia di infliggere gravi danni alla società, i suoi benefici potenziali sembrano complessivamente minimi. Solo in pochi casi, generalmente di importanza secondaria, la data retention può servire a proteggere i diritti individuali. Non è prevedibile un effetto permanente nella riduzione della criminalità.” Con l’applicazione della data retention, “i cittadini rischiano che i dati delle loro comunicazioni portino a false incriminazioni, e abusi da parte delle autorità o di privati. Per questo la data retention minaccia le libere comunicazioni nella società intera.”

La lettera è firmata da 43 organizzazioni per le libertà civili, fornitori di accesso ad Internet, telefoni di sostegno, giornalisti e associazioni della stampa. La lista completa dei firmatari è pubblicata online.

Informazioni e approfondimenti:

I dati sulle comunicazioni permettono di sapere chi ha contattato chi via telefono, cellulare o email. Nel caso delle telefonate dal cellulare o di SMS, viene registrata anche la posizione dell’utente. Questi dati permettono di conoscere gli spostamenti dei cittadini e di controllare i contatti personali o di lavoro. Possono anche essere ricavate informazioni sul contenuto delle comunicazioni stesse, come gli interessi personali ed altri aspetti della vita privata individuale.

L’ONG tedesca Gruppo di Lavoro sulla Data Retention (Arbeitskreis Vorratsdatenspeicherung) ha organizzato nel 2007 una protesta contro questo progetto, a cui più di 15.000 persone hanno partecipato a Berlino. L’ONG ha organizzato anche una class action sostenuta da 34.000 cittadini. A marzo la Corte Costituzionale Federale tedesca ha stabilito che, in attesa di un pronunciamento, i dati raccolti possono venie utilizzati solo per perseguire gravi reati. Il Gruppo di Lavoro sulla Data Retention prevede che la Corte di Giustizia Europea annulli la direttiva sulla data retention nel corso di quest’anno, permettendo così alle corti nazionali di annullare le leggi che la recepiscono. Uno studio commissionato dagli attivisti a febbraio rivela che la data retention agisce da serio deterrente all’uso di telefoni, cellulari, posta elettronica ed Internet.

Original text: European NGOs ask Court to annul data retention directive (2008-04-08); translation: Jan Reister; translation license: Creative Commons by-nc-sa 2.5

Tra i firmatari italiani: ALCEI, Progetto Winston Smith .

[il testo della lettera (testo, pdf), lungo ma articolato e scorrevole, merita una lettura anche per la confutazione dei principali argomenti a favore della sorveglianza tecnologica nella società. JR]

L’installazione del router Tor è ora a portata di mano, con pochi piccoli passi: Marco Calamari con la nuova lezione spiega come attivare il sospirato strumento di tutela e difesa della privacy. Ecco cosa fare

La scorsa settimana molte persone si sono fatte un’idea più precisa di cosa è un router Tor e di cosa significa decidere di crearne uno, sia dal punto di vista filosofico e morale, sia da quello legale. Prima di proseguire parlando di tecnica, è necessaria una precisazione che penso risponderà ad alcuni dubbi espressi sul forum della settimana scorsa. Per quanto riguarda l’ampia esperienza del nostro gruppo e degli amministratori di router Tor con cui siamo in contatto, l’unica tipologia di interazione avvenuta con indagini di polizia in Italia è stata quella descritta nella scorsa rubrica.

Questo non puo’ ovviamente escludere che siano avvenute, o possano avvenire, altri tipi di interazioni, come ad esempio perquisizioni e sequestri di materiale informatico che la magistratura ha l’autorità di far eseguire quando ritenga che possano sussistere ipotesi di reato. Per quanto ci è noto, negli ultimi due anni c’è stato un unico caso, avvenuto in Germania, in cui almeno 3 operatori sono stati oggetto di perquisizioni nell’ambito di una stessa indagine che pare riguardasse (non è nemmeno il caso di dirlo) una questione di pedopornografia, e che non ha portato nessuna imputazione e tantomeno condanna degli operatori Tor coinvolti.
Nello stesso periodo, come tutti sappiamo, ci sono state invece migliaia di perquisizioni e di sequestri di materiale informatico legate a semplici scambi di mail rilevanti per indagini di polizia, a copia di materiale protetto da copyright e per utilizzo illegale di reti peer-to-peer.

È comunque senz’altro vero che esistono passatempi decisamente più tranquilli che gestire un router Tor, come ad esempio collezionare etichette di vino, o farsi semplicemente e su scala industriale gli affari propri e basta. Ma rientriamo in tema; alcune persone, sperabilmente molte, avranno preso in considerazione l’impresa di realizzare un router Tor, e sono percio’ in attesa di questa puntata; altre magari avranno preso la palla al balzo e, valendosi delle ottime istruzioni sia per Windows che per Linux, reperibili sul sito Tor di EFF, si sono già messe all’opera.

Quasi tutti avranno notato che lavoro abitualmente solo su Linux, e che dove necessario descrivo le applicazioni in ambiente Windows “per differenza”. Con gioia degli utenti con solo “finestre”, oggi invertirò il mio punto di vista, descrivendo l’installazione di un router Tor in ambiente Windows. Questa scelta non è dovuta solo al numero degli utenti Redmond-centrici, ma soprattutto alla disponibilità di un bundle (un gruppo di programmi, che si configura praticamente da solo come client, ed in maniera elementare come server). Gli utenti *nix e GNU/Linux d’altra parte sono abbastanza smaliziati per poter seguire queste semplicissime istruzioni, e se specialmente usano Debian sono distanti solo un paio di apt-get dal risultato.

Poche volte in vita mia mi sono trovato di fronte ad un’applicazione server cosi bene integrata e leggera come il bundle Tor/Privoxy/Vidalia/TorButton scaricabile da questa pagina.

L’installazione e l’avvio sono indolori; è pero’ d’obbligo ricordare che dovete trovarvi su un’ADSL flat, con un IP pubblico e che non sia filtrata. Servono infatti due porte TCP, di solito 9001 e 9030 (ma si possono cambiare) raggiungibili da Internet. Tor è comunque in grado di verificarlo da solo, come potete vedere facendo attenzione ai messaggi di log quando farete partire il vostro nodo come server. Per renderle raggiungibili è necessario anche avere un nome host pubblico, ma questo non è un problema.

Bastano infatti pochi minuti per registrare gratuitamente il vostro su uno dei tanti provider come ad esempio DynDNS ed installare il client dyndns che “battezzerà” l’indirizzo ip dinamico del vostro PC con un nome a vostra scelta. Vi ricordo che la lista e-privacy è come sempre a disposizione per indicazioni e chiarimenti.

Appena terminata l’installazione, eseguita selezionando la lingua italiana (caso raro ma piacevole) Tor, Privoxy e Vidalia partiranno automaticamente e vi si presenterà la finestra del pannello di controllo di Vidalia, che permette di gestire anche Tor. Aprite le finestre dei log, della mappa e della banda, lanciate il vostro Firefox, ben configurato nelle precedenti lezioni (non vorrete mica usare Internet Explorer, vero?) e vi troverete davanti ad un desktop come questo:

Prima di proseguire, abbiate cura di controllare che sia possibile raggiungere Internet sia normalmente che attraverso la rete Tor, collegandovi all’oramai notissimo Torcheck e cambiando stato utilizzando il pulsante di TorButton.
Ponete un occhio ai messaggi di log che scorrono durante la navigazione e seguite l’apertura e la chiusura delle connessioni utilizzando la mappa zoomabile. Per vedere sulla mappa la rappresentazione di uno dei quattro circuiti che in ogni momento Tor tiene aperti per voi e che sono elencati sotto la mappa, vi basterà selezionarli con il mouse.

Allora ci siamo; attiviamo l’iperguida e diventiamo server. Nel pannello di controllo di Vidalia:

Cliccate sull’icona Server e spuntate l’anonima casellina “Scambia traffico per la rete Tor” che vi si presenterà. Inserite un nickname per il vostro server ed un indirizzo di posta per contatti amministrativi (ambedue facoltativi). Non spuntate per adesso la casella “Copia la directory del server”; vedremo poi perché.
Andate ora sulla linguetta “Limiti di banda”:

e selezionate il valore 256K. Non preoccupatevi per la vostra banda, è un valore di picco che non viene mai raggiunto. In ogni caso, se notaste prolungati rallentamenti potete diminuirlo, avendo cura di non scendere sottoi i 150K.

Infine, giusto per volare un po’ più bassi, selezionate la linguetta “Policy delle uscite”

e togliete il segno di spunta da “altri servizi”. Anche su questo torneremo prossimamente.
Un click sull’icona Salva ed abbiamo finito.

Contrariamente a quella del Millennium Falcon, se l’Impero non vi ha nel frattempo intercettato filtrato, la vostra iperguida sarà in piena attività, ed il vostro router Tor starà fornendo privacy a centinaia di navigatori.

Ora è il momento di leggersi religiosamente tutta l’ottima documentazione italiana presente sul sito e se necessario chiedere lumi ad amministratori navigati. Nella prossima puntata un po’ di dettagli e di tuning.

Buon lavoro.

—

Pubblicato su Punto Informatico Anno XII n. 2879 di venerdì 16 novembre 2007

Licenza Creative Commons Attribuzione-Non commerciale-Condividi allo stesso modo 2.5 Italia