Howe, l’industria del cyber crime sta crescendo e non sente più il bisogno di nascondersi nel deep-web
22 Settembre 2017
Business Monitoring: la nuova frontiera del monitoraggio
25 Settembre 2017

Strumenti per la privacy e l’anonimato online

La privacy sembra un concetto ormai del passato, chiunque usi un dispositivo elettronico connesso ad internet al momento non ha alcuna privacy. A molte persone non importa chi abbia accesso ai loro file, far sapere le proprie abitudini di navigazione o dove si trova, per altri questo può rappresentare un problema significativo. I governi hanno la capacità di monitorare qualsiasi cosa e tutto quello che le persone stanno facendo. La buona notizia è che ci sono metodi che si possono usare per evitare che ciò accada.

All’interno di questo percorso verranno accennate le tecniche per l’anonimato a più livelli in modo che il lettore possa scegliere quello più funzionale alle proprie esigenze con lo scopo di mettere la pulce nell’orecchio per riflessioni su come tenere uno standard medio/alto di privacy. Molti pensano che mettendo una password da 20 caratteri, avere un firewall o un IPS saranno sicuri da occhi indiscreti, ma nell’informatica essere in modalità paranoic è una cosa ottima e una virtù.

TOR/HTTPS

La prima cosa da fare è installare e usare Tor per proteggervi nella navigazione su internet. Tor è “The Onion Router” con AES a 128bit (Advanced Encryption Standard). Se il lettore si sta chiedendo se la NSA può decriptare questo algoritmo la risposta è probabilmente sì. Come nella sicurezza informatica non c’è un solo prodotto che sistema tutto, ma una conseguenza di elementi che rendono un sistema abbastanza sicuro. Nel circuito Tor si possono visualizzare sia siti internet come lo conosciamo www-ipv4/ipv6 sia indirizzi .onion, l’estensione che caratterizza i siti dentro al circuito Tor. Tor si basa su una rete di router con un nodo di entrata e un nodo di uscita dal quale, se si controlla l’indirizzo IP con cui si sta visitando un sito, apparirà l’IP dell’ultimo router, ovvero il nodo uscente e non il nostro originale. Rimando al sito del progetto per maggiori dettagli (https://www.torproject.org/).

Un ente governativo che volesse monitorare le connessioni in uscita potrebbe mettersi come nodo uscente di Tor, per questo non è consigliabile usare dati sensibili nel mondo Tor.

Il progetto Tor ha come icona una cipolla che sta a indicare un insieme di strati, quindi molti router della rete Tor nel quale viaggiano le connessioni, e i molti nodi uscenti che fanno cambiare indirizzo IP ogni volta ci connettiamo a Tor. Quindi, uno stesso sito che visualizziamo nel nostro browser vedrebbe sempre IP diversi anche se ci connettiamo da casa e con lo stesso pc.

Potrebbe accadere che qualche nodo della rete sia compromesso e possa decriptare il contenuto della comunicazione, ma fortunatamente, dopo i fatti di E. Snowden, i router Tor stanno aumentando. Evitare login in siti o numeri di carte di credito è obbligo quindi per rimanere tutelati.

Nel circuito Tor la buona cosa è che visitando siti .onion la crittografia è end-to-end. Usare siti che utilizzano connessioni sicure è già un buon punto di inizio. Sono riconoscibili da https. Questo sistema serve a crittografare le richieste del browser al server del sito web. Se per caso stessimo usando a nostra insaputa un nodo uscente compromesso il male intenzionato dovrebbe lavorare per de crittografare la comunicazione.

PGP, VM, DistroLiveLinux

Nel mondo internet in cui viviamo è pieno ormai di siti che tracciano gli utenti mediante cookie web o altre tecnologie. I cookie vengono usati dai siti come una sorta di gettone identificativo che come descrive benissimo wikipedia “..tale riconoscimento permette di realizzare meccanismi di autenticazione usati ad esempio per i login, di memorizzare dati utili alla sessione di navigazione come le preferenze sull’aspetto grafico o linguistico del sito, di associare dati memorizzati dal server..”.

Programmi che permettono di creare macchine virtuali, come il software gratuito virtualbox, sono un buon strumento per creare pc virtuali racchiusi in un file immagine disco e farvi avviare distro live linux per navigare in completo anonimato, poiché qualsiasi informazione venga scaricata dal pc, al riavvio del pc virtuale tutto si cancellerebbe, rendendo così la macchina virtuale come un PC che non abbiamo mai usato.

Programmi per la virtualizzazione tra i più famosi come virtualbox, vmware, qemu, permettono di creare PC virtuali senza HD lavorando solo sul CD Live. Tra le più famose distro live per la privacy cito la famosissima TAILS (https://tails.boum.org/) distro live basata su linux che permette in una macchina virtuale di navigare su Tor con browser firefox e usare tutti gli altri strumenti in modo anonimo. Il lettore tenga presente che l’uso di un CD/DVD di avvio live riduce il rischio di compromettere il computer da virus, malware e keylogger che potrebbero registrare le attività dell’utente.

Oggi usare l’email è necessario, e rendere le email private è un dovere. Un tool opensource viene in soccorso della privacy tra utente e utente: PGP (pretty good privacy). E’ un sistema che permette di inviare email tra due destinatari rendendo impossibile che un intermediario fra mittente e destinatario possa giungere al messaggio d’origine, ad esempio tramite metodo bruteforce. Questo software compensa la lacuna del sistema email classico di non avere un sistema di cifratura nativo.

VPN/TOR

Una soluzione per migliorare l’anonimato è usare Tor e VPN (Virtual Private Network) che permette di creare tunnel privati. Visitando un sito si viene identificati con l’IP del provider di VPN e non con quello di casa nostra. Ma questo è un discorso di privacy non di anonimato. Collegare Tor ad una VPN in MS Windows per esempio permetterebbe di non far sapere al provider VPN il nostro IP originale.

Molti siti riconoscono gli IP di nodi uscenti Tor come spammer; in questo modo usando con IP VPN si utilizzerebbero IP buoni. Accennavo a Windows in quanto solo per Windows esiste un software presentato ad una conferenza americana sull’anonimato: TORTILLA. Esso crea un socket per inglobare il traffico uscente di una macchina virtuale in un circuito Tor. Software come openvpn permettono di creare VPN da qualsiasi computer e avere una discreta privacy.

 

Questi metodi rallentano enormemente la navigazione e trovare un buon compromesso tra velocità e privacy è necessario in base alle attività che si svolgono. L’utente seccato dalla monitorizzazione dei siti si accontenta di una VPN o del solo uso di Tor.  L’utente che risiede in un paese che censura il web usa VPN per pubblicare su siti web. Discorso diverso per materiale ritenuto illegale da pubblicare perché scomodo, il sistema Tor è la base da cui iniziare.

Un evento curioso avvenuto pochi anni fa racconta di un noto provider di VPN che in una sentenza in cui l’FBI chiedeva i tabulati della navigazione, la provenienza di un account utente e il cliente che usava servizi VPN forniti da un sito noto che sponsorizza la velocità e la privacy, tramite il suo legale faceva osservare che il provider di VPN non doveva dare informazioni poiché sarebbe andato contro i suoi stessi interessi. Tutto finì con un uscita politica del provider di VPN che affermò, riassumendo, di tutelare i propri clienti ma non per attività illecite. Quindi servizi che vengono “sventolati” su internet come super sicuri non lo sono più quando un ente governativo và a bussare alla porta.

Motori di ricerca

Google è famoso per memorizzare, analizzare, catalogare e vendere le proprie informazioni per questioni di anonimato. E’ da usare solo se strettamente necessario e se non vi è alternativa.

Nuovi motori di ricerca come duckduckgo.com e startpage permettono ricerche con una modalità più discreta. Nelle note di duckduckgo è possibile leggere “..non raccoglie, non condivide informazioni personali..”. Nel contratto Google per aprire una casella di posta elettronica gmail si legge”..Quando utilizzi i servizi di Google, ci affidi le tue informazioni.

Le Norme sulla privacy ti consentono di capire meglio quali dati raccogliamo, perché li raccogliamo e come li utilizziamo. Sono informazioni molto importanti e ci auguriamo che le leggerai con attenzione. Informazioni sui log….Durante l’utilizzo da parte dell’utente dei nostri servizi o la visualizzazione di contenuti forniti da Google, raccogliamo e memorizziamo automaticamente alcune informazioni nei log del server. Queste informazioni comprendono: Dati sulla modalità di utilizzo del nostro servizio, come le query di ricerca. Informazioni sui log relativi alle telefonate, ad esempio numero di telefono, numero del chiamante, numeri di deviazione, ora e data delle chiamate, durata delle chiamate, informazioni sull’inoltro di SMS e tipi di chiamate. Indirizzo di protocollo Internet. Informazioni sulla attività del dispositivo quali arresti anomali, attività di sistema, impostazioni hardware, tipo di browser e lingua, data e ora delle richieste e degli URL di riferimento. Cookie che potrebbero identificare in modo univoco il browser o l’account Google dell’utente. Non forniamo informazioni personali a società, organizzazioni e persone che non fanno parte di Google, ad eccezione dei seguenti casi. Forniamo dati personali a società, organizzazioni e persone che non fanno parte di Google con il consenso dell’utente. Chiediamo il consenso per l’attivazione della condivisione di dati personali sensibili.” La privacy è riservatezza ovvero avere la possibilità di: solitude, intimacy, anonymity end reserve.

Chi cerca l’anonimato o la privacy non è un delinquente che deve nascondere qualcosa di illecito, come ogni strumento lo si può usare nel bene o nel male. Nel sistema in cui verte oggi internet tra tutti i sistemi di monitorizzazione, partendo dal pc quali cookies o history file, la nostra privacy viene violata continuamente.

Browser WEB Firefox Chromium

Considerando che Google guadagna con le informazioni degli utenti escludere Chrome è un atto dovuto per chi cerca privacy o anonimato, mentre Firefox di Mozilla è tra i più indicati (https://www.mozilla.org/en-US/privacy/). Tra le politiche di Mozilla la privacy è tra i fattori principali incrementata dai tool addon presenti per il browser open source free Firefox. Per android c’è Firefox focus che permette di navigare in incognito senza conservare cache di navigazione e altre info. Un’altro browser open source derivante da Chrome ma con meno invasività di funzionalità è Chromium. Apparentemente molto simile a chrome è un browser più discreto in termini di privacy in quanto non ha flash player, visualizzatori pdf, sistema automatico di aggiornamento, invio statistiche di utilizzo di crash report,..ecc. Questo browser alternativo a Chrome è presente in Linux, Windows e BSD una valida alternativa alla navigazione rispetto al fratello Chrome.

BITCOIN

Un accenno dovuto è alla cryptovaluta BITCOIN. Usata per transazioni anonime create da portafogli virtuali anonimi in cui è possibile scambiare tramite un database distribuito tra i nodi della rete che tengono traccia delle transazioni, sfrutta la crittografia per gestire gli aspetti funzionali come la generazione di nuova moneta e l’attribuzione della proprietà dei bitcoin. Valuta anonima perché è possibile creare un “portafoglio virtuale” da rete Tor il quale non permette al gestore di “portafogli” di sapere chi siete realmente non avendo il vostro indirizzo reale. La struttura peer-to-peer della rete Bitcoin e la mancanza di un ente centrale rende impossibile a qualunque autorità governativa il blocco dei trasferimenti, il sequestro di bitcoin senza il possesso delle relative chiavi, o la svalutazione dovuta all’immissione di nuova moneta.

Questi accorgimenti volevano essere uno spunto per incentivare il lettore alla privacy e all’ anonimato con strumenti che lo permettono. Concludo con la citazione del film Matrix del famoso morpheus “There’s a difference between knowing the path and walking the path”.

A cura di: Fabio Carletti aka Ryuw

Fabio Carletti aka Ryuw

Security Evangelist

Fabio Carletti aka Ryuw è un White Hat (Hacker) italiano.

Noto ai più per questioni legate alla Sicurezza Informatica ha ottenuto importanti apprezzamenti in attività investigative per conto di Carabinieri e Polizia Postale.

Dal 98 si occupa del mondo gnu/linux come security ITC evangelist.

Ospite di rilevanti eventi italiani riguardanti la privacy, linux/unix, hacker camp e software open source dedica le sue energie alla ricerca nella sicurezza informatica.

Oltre alla security ITC si occupa anche di Digital Forensics come perito di parte.

Download PDF
Condividi sui Social Network:

ISCRIVITI ALLA NEWSLETTER DI ICT SECURITY MAGAZINE

Una volta al mese riceverai gratuitamente la rassegna dei migliori articoli di ICT Security Magazine

Rispettiamo totalmente la tua privacy, non cederemo i tuoi dati a nessuno e, soprattutto, non ti invieremo spam o continue offerte, ma solo email di aggiornamento.
Privacy Policy