Un hacker ci ha spiegato come navigare senza lasciare tracce

Molti di noi hanno paura dei Big Data: su Facebook c'è chi usa nomi finti per cercare di fregare Zuckerberg, cancelliamo i cookies e cerchiamo in tutti i modi di mandare solo email crittografate. Eppure, della navigazione anonima sappiamo poco niente.

Matthias Marx fa parte del popolo dei paranoici. Quando era al liceo ha hackerato l'account da amministratore dei computer della sua scuola. Dopodiché, si è messo alla ricerca di vulnerabilità in diverse Hacking Challenge e ha vinto una borsa di studio per un progetto di ricerca a Wolfsburg.

Oggi, ha 29 anni e lavora in un gruppo di ricerca su sicurezza e privacy dell'università di Amburgo. Con i colleghi dell'università di Dresda sta sviluppando un software per la navigazione anonima comodo e veloce. Gli abbiamo chiesto alcuni consigli per navigare in totale anonimato.

Motherboard: Onesto, navighi sempre in anonimo?
Matthias Marx: Dipende. Quando sono in giro e uso le reti Wi-Fi pubbliche spesso attivo un VPN o navigo con Tor per non fornire troppe informazioni sulla mia navigazione. A lavoro e a casa non sono quasi mai in anonimo.

Quali dati forniamo quando navighiamo senza tutelarci?
Quando visitiamo dei siti, li contattiamo in maniera diretta. Loro vengono a conoscenza del nostro indirizzo IP e capiscono più o meno dove ci troviamo. Riescono anche a capire che browser usiamo, quanto è grande il nostro schermo, che tipo di font usiamo, e molto altro.

Sembra noioso, ma con questi dati possiamo essere identificati, insieme ai nostri computer. Poiché siamo spesso su determinati siti, di noi si crea un vero e proprio profilo: dove lavoriamo, dove abitiamo, dove andiamo in palestra, dove andiamo a bere il venerdì sera. Molti siti utilizzano dei servizi di tracking e hanno dei plug-in di Facebook o di altri social network, e questo rende ancora più facile collegare i nostri movimenti con la nostra identità.

Quali sono gli aspetti negativi?
Nei regimi autoritari potrebbe essere possibile sapere chi, quando e dove critica il governo. L'anonimato, in questi casi, è questione di vita o di morte. Ma anche qui da noi ci sono delle conseguenze: se le assicurazioni, per esempio, sapessero tutto di me, potrebbero alzare i prezzi. L'industria della pubblicità analizza la mia cronologia e mi bombarda di pubblicità moleste.

I dati che vengono raccolti su di noi potrebbero finire nelle mani sbagliate: potrebbero emergere le nostre malattie, le nostre preferenze sessuali o i nostri flirt. Io sono convinto che in una democrazia sia importante poter esprimere il proprio parere anonimamente, senza rischiare rappresaglie.

Ora ci sono molti servizi che offrono l'anonimato online. Per esempio Ghostery, un add-on che blocca i tracker, è piuttosto popolare come mini-programma per il browser. Mozilla offre un browser speciale, Firefox Quantum, che fa qualcosa di simile. Con programmi del genere si può navigare senza lasciare tracce?
Questi add-on o plug-in bloccano i cookies, i nostri marchi di riconoscimento in rete, e i servizi di tracking. Quindi il browser non memorizza la cronologia. Questo ha senso, è una protezione superficiale perché l'IP non viene nascosto. Questo significa che il luogo in cui ci troviamo e i dati del browser vengono trasmessi.

Un po' più complessi sono i servizi VPN. A volte costano un paio di euro al mese, ma almeno promettono di proteggere la localizzazione. Questo ci rende anonimi?
Quando usiamo un servizio Virtual-Private-Network c'è un computer tra me e il sito che viene spento. Quindi posso usare i siti di streaming, che in alcuni paesi sono vietati. Con un VPN potremmo farci un abbonamento a HBO e guardare Game of Thrones, oppure la Champions League nei canali in chiaro che hanno i diritti, tipo la ORF-Mediathek austriaca. Per questo piattaforme come Netflix cercano di bloccare i VPN più conosciuti.

Quando si parla di anonimato, comunque, i VPN hanno un punto debole: devo avere fiducia nel fatto che il provider tenga al sicuro i miei dati. Ci sono stati casi in cui il fornitore di VPN ha trasmesso non solo pubblicità ma anche malware nei siti visitati. Forse il servizio ha interesse a vendere direttamente i miei dati oppure collaborano con le autorità. In tal caso, se faccio qualcosa in più che guardare delle serie, sono in pericolo.

Come si evitano questi rischi?
Io attivo molti computer allo stesso tempo e fornisco a ognuno di loro una parte delle mie richieste. Per trarre delle conclusioni sulla mia identità bisognerebbe unire tutti i computer coinvolti.

Tor utilizza questo principio e offre una buona protezione per l'identità, a meno che non ci si imbatta nell'NSA. Inoltre, crittografa i dati e cambia ogni tre minuti i tre computer intermedi. Per navigare in modo anonimo è la scelta migliore.

Molti paesi europei stanno sviluppando dei trojan di stato: un software con cui si possono sorvegliare sia gli smartphone che i computer. Tor ci tutela anche da questi?
Se i cosiddetti Trojan di stato riescono a penetrare una sola volta nei computer, non c'è anonimato che tenga. Si appropriano dei dati ancora prima che vengano trasmessi. Un trojan viene trasferito da un file direttamente al computer, per esempio cliccando sull'allegato di un'email. Oppure arriva da una falla nel sistema. Anche in questo caso, Tor non può fare niente.

Tor è a prova di idiota?
Tor sembra più complicato di quanto non sia in realtà. Si può semplicemente scaricare il browser e installarlo: è uguale a Firefox e lo si può usare allo stesso modo.

Può succedere che faccia qualcosa di sbagliato che mi penalizza?
Questo è possibile. Tor rende anonimo l'indirizzo IP, che rende pubblica la nostra collocazione. Ma gli altri dettagli possono comunque rivelare la nostra identità: i font installati, il tipo di browser e la grandezza delle finestre di navigazione. Il browser Tor indica infatti che è buona norma non tenere la finestra a schermo intero, ed è meglio seguire il consiglio.

Comunque, non bisogna loggarsi con l'account Facebook o Google se si vuole navigare in anonimo con Tor, anche con un account falso. Il servizio connette la nostra navigazione semplicemente con l'IP e i dati del browser con cui normalmente siamo loggati. In questo modo è possibile risalire all'identità.

I ricercatori dell'università di Dresda al Chaos Communication Congress parlano del loro software:

Non dovremmo nemmeno visitare dei siti privi del protocollo "https", altrimenti l'ultima connessione del computer del network di Tor può leggere i miei dati. Dovremmo agire così anche quando non navighiamo con Tor. In questo caso ci sono le estensioni del browser.

Se vogliamo davvero restare anonimi, non dovremmo nemmeno aprire né scaricare pfd, word e altri tipi di documenti. Il download va spesso al di fuori del browser. Per esempio Word o Acrobat accedono al documento e forniscono il nostro indirizzo IP.

Esiste un'alternativa a Tor?
Se vogliamo avere più di un nodo, per essere sicuri di navigare davvero in anonimo, allora dobbiamo usare Tor. Al momento non c'è quasi alternativa.

Secondo te perché è così poco diffuso?
Molti non sono consapevoli di lasciare dietro di sé così tante tracce. Altri lo sanno ma credono che usare Tor sia una roba da scienziati, e allora non lo installano. Altri ancora non lo trovano abbastanza comodo, quindi non lo usano per navigare. Ci sono dei motivi tecnici per questo. Esistono diversi livelli di crittografia attorno ai dati, il che significa che Tor ne invia volumi molto grandi e la velocità di trasmissione è spesso bassa.

Per questo quando guardiamo dei video in HD dobbiamo aspettare un po' prima che si carichino, e può essere irritante. Per la navigazione normale, però, è abbastanza veloce. Unica cosa: ci sono dei siti che bloccano gli accessi dal network di Tor. Per esempio, Wikipedia non permette di editare.

E se voglio navigare veloce ma anche in anonimo?
Ci stiamo lavorando. Vogliamo sviluppare un processo che l'utente può attivare direttamente dal proprio internet provider quando accede alla rete: un pulsante per tutte le evenienze. Questo processo offre una semplice protezione contro il tracking. Ci mettiamo contro una serie di grosse aziende.

Inoltre stiamo sviluppando un processo di anonimizzazione che somiglia a Tor. Ma i dati vengono trasmessi più in fretta, perché solo dei computer potenti e collaudati possono diventare parte della rete. Lo stesso vale per tablet e smartphone.

Segui Martin su Twitter.

Questo articolo è apparso originariamente su Motherboard Germania.