FYI.

This story is over 5 years old.

Forse qualcuno ti sta spiando dalla webcam del tuo computer

Abbiamo chiesto a Ron Moriz, esperto di cybercrimine, quanto dobbiamo preoccuparci per le informazioni personali che immettiamo, anche involontariamente, online. E la risposta non è stata affatto confortante.
9.10.15

Foto dell'utente Flickr

Zodman

Se stai leggendo questo articolo è troppo tardi: vuol dire che stai navigando su internet, e quindi sei fottuto. Non so se te ne sei accorto, ma i tuoi dati personali sono spesso raccolti da terzi che, grazie a losche e spesso confuse liberatorie sulla privacy, ti hanno fregato, facendosi autorizzare a trattare molti più dati di quanti pensi.

Anche se non hai mai provato a lavorare per il governo federale o a registrarti su Ashley Madison per tradire tua moglie, è possibile che qualcuno ti conosca, perché conosce i tuoi dati personali. E il punto non è nemmeno che tutti i siti in cui immetti i tuoi dati personali ne fanno un uso sbagliato; al contrario sono compagnie note come data brokers che aggregano tutte le piccole informazioni che hai sparso per il mondo virtuale, le elaborano e le vendono agli inserzionisti.

Come ci ha spiegato l'esperto di cybercrimine Ron Moritz, i data brokers "hanno più dati di quanti la CIA e la NSA siano mai state in grado di raccogliere." Se una banca dati di una compagnia di data brokers venisse hackerata come è successo con Ashley Madison, mi ha detto Moritz, "l'intera civiltà occidentale correrebbe un grosso rischio."

Moritz è un veterano del settore, che dai primi anni Novanta si occupa di sicurezza informatica. Attualmente dirige la BioCatch, un'azienda di cybersicurezza biometrica, e ha visto il mondo virtuale diventare un motivo di preoccupazione per la razza umana.

Nel corso di un'intervista telefonica qualche giorno fa, mi ha spiegato che gli utenti continuano a condividere i loro dati personali senza preoccuparsi del modo in cui verranno usati. Oggi come oggi, mi ha detto, la sicurezza della password dovrebbe essere l'ultimo dei nostri problemi. Dovremmo invece preoccuparci del modo in cui i nostri dati vengono utilizzati, e delle effrazioni alla nostra privacy. Per esempio, mi ha confermato che qualcuno potrebbe hackerare la camera del tuo MacBook.

VICE: Quali informazioni dovremmo preoccuparci di non farci rubare?
Ron Moritz: Tutte e nessuna. Il problema non è tanto quando inseriamo tutte le nostre informazioni negli appositi spazi, quanto le piccole informazioni su di noi che disseminiamo ovunque. Le nostre azioni, i nostri comportamenti: ogni dato che diffondiamo su di noi importa. E ti assicuro che c'è sempre qualcuno che cerca dati su di noi per assemblarli e ricreare "come siamo fatti".

Quanto spesso immettiamo online informazioni su di noi senza rendercene conto?
Penso che sia più comune di quanto si pensi. La gente dovrebbe pensarci su prima di acconsentire al trattamento dei dati, soprattutto quando scarica contenuti ricreativi, per esempio un'app. Molto spesso quello che succede è che pacchetti di nostri dati sono vendute alle agenzie di data broker, che li assemblano. Poi li vendono agli inserzionisti.

I data broker possiedono il più vasto bagaglio di informazioni personali sugli utenti, più della CIA e della NSA. Hanno più dati del governo americano. I nostri dati diventano di proprietà di compagnie su cui non sappiamo assolutamente nulla.

Da quello che dici, mi pare di capire che non dovremmo mai inserire i nostri dati online.
È tutta una questione di consapevolezza, in termini psicologici devi essere consapevole di quello che fai, dell'informazione che stai regalando, delle liberatorie a cui hai acconsentito, delle persone che sono in possesso dei tuoi dati.

Qual è la cosa peggiore che possono rubarti?
Le informazioni sulla tua salute. Una tessera sanitaria ha un valore "sul mercato" di 50 dollari. Una carta di credito, invece, ne vale circa cinque. Ci sono numerosissime frodi in cui i dati sanitari, e quindi l'accesso alle cure, vengono rubati. E in questi casi chi commette il crimine può evitare la condanna, perché è un fenomeno nuovo.

E in che altri modi le persone "regalano" i propri dati senza accorgersene?
Per esempio quando ci registriamo su un sito utilizzando il nostro account LinkedIn o Facebook; in questo modo creiamo connessioni automatiche. In questo caso, i nuovi siti hanno il permesso di usare a loro vantaggio le nostre connessioni su Facebook, le cose che abbiamo fatto, la nostra storia, le nostre foto. Più connessioni crei, più permetti che le tue informazioni personali si perdano nei meandri del web. E anche se abbandoni il servizio, tali connessioni continuerebbero ad esistere. Sono rischi molto difficili da far capire agli utenti.

Quindi, quando pubblichi qualcosa su un social network, crei una sorta di mappa delle tue azioni, che porta a capire chi sei e cosa fai.
La cosa che succede più spesso quando setti una password è che ti venga richiesto di inserire una domanda per il recupero della password. La gente pensa, "Ma che figata! A parte me, chi conosce il cognome di mia nonna o il nome del mio primo animale domestico? Ma in realtà, molte di quelle informazioni noi stessi le abbiamo rese pubbliche su Facebook. Magari nostra nonna è su Facebook, o abbiamo una foto del nostro primo animale domestico.

Ma almeno la navigazione in incognito funziona?
Mi piacerebbe molto crederci [ride]. Non la uso spesso, ma solo in certi casi quando non voglio far sapere cosa faccio. Ma non risolve nulla. Ti evita solo di dover cancellare manualmente la cronologia, ma non impedisce la condivisione di informazioni. Ti fornisce privacy extra, ma solo a un livello superficiale. Nel senso che se tua moglie usa il tuo computer e sbircia le pagine che hai consultato non trova niente. M il sito o il servizio a cui ti sei connesso, di fatto, può ancora tranquillamente sapere la tua identità.

È possibile hackerare il computer di qualcuno in modo da poterlo osservare attraverso la sua webcam?
Guarda, negli anni Novanta lavoravo per una startup, la Finjan. Una delle cose di cui ci eravamo resi conto era che bastava che un utente accedesse a un sito poco sicuro per infettare qualsiasi computer. Oggi è considerata una cosa normale, ma negli anni Novanta era una cosa nuova. Basta che un codice convinca il tuo computer che va tutto bene, e chi vuole potrà accedere al tuo computer.

All'epoca avevamo creato una demo per far vedere quanto fosse facile: bastava che un utente entrasse anche solo una volta in un sito perché noi fossimo in grado di controllare il microfono del suo computer. In sostanza, avevamo creato un bug. "Non abbiamo più bisogno di inserire una microspia in una stanza," spiegavamo allora, "possiamo utilizzare il microfono di un computer per registrare tutto." Per dimostrarlo, ci eravamo impossessati del microfono del computer del CEO della nostra stessa azienda.

Succedeva 18 anni fa. Se già allora era possibile, capisci bene che oggi possiamo controllare una webcam e qualunque altro dispositivo.

Cosa si può fare per rendere una password più efficace?
In generale, niente. E nemmeno in futuro, credo. Una password, oggi, può essere compromessa in un attimo, non è un protocollo di sicurezza particolarmente importante. È una semplice serratura blindata che compri e metti alla tua porta. La maggior parte delle persone che proveranno a romperla non riusciranno a farlo, ma non sarà affatto un ostacolo per chi è davvero in grado di farlo.

Ultima domanda. Se qualcuno rubasse tutti i dati contenuti su Facebook o Google, saremmo tutti fregati?
Direi che sarebbe un bell'inconveniente, ma non un completo disastro. Non perché questi servizi non siano di primaria importanza per la nostra vita, ma non sono "fondamentali". Non è grave come se tutti gli sportelli bancomat andassero fuori uso, perché questo comporterebbe una corsa agli sportelli, e le banche non avrebbero abbastanza liquidi da distribuire. In più, Facebook e Google non sono gli unici data broker. Quelli di cui dovremmo preoccuparci davvero sono le agenzie che non hanno grandi nomi, quelle che restano tra le quinte. Ed è questa la cosa più inquietante.