Obamacare e il cybercrime

A volte sembra che il mondo del crimine informatico, sia legato solo alle tecnologie, alla vendita di armi, droga e pedopornogrfia nel deep web.

Tutta roba più o meno da film, che ogni tanto emerge nella stampa mainstream, magari facendo di tutta l’erba un fascio per accusare tecnologie molto importanti che non si comprendono (successe qualche mese fa quando Tor fu accusato di ogni male possibile).

Però il cybercrime, essendo un’emanazione digitale del crimine organizzato fisico (cioè quello che ti brucia il negozio se non gli paghi il pizzo), è sempre molto aggiornato e, soprattutto, legato al mondo reale.

Vediamo quindi di analizzare un esempio molto concreto, partendo da una delle riforme più importanti fatte negli Stati Uniti negli ultimi anni: Obamacare.

obamacare

Discutendo su LinkedIn, Luca di Abissi ha segnalato come nel deep web ci sia un gran movimento di mercato legato alla compravendita di identità con annesso profilo e informazioni mediche.

Questo è stato poi confermato da esperti nel settore del furto di identità come Robert Siciliano: Healthcare Data under Attack.

Siciliano, citando uno studio dell’Istituto Ponemon, spiega molto chiaramente la situazione

in the world of black market information, a medical record is considered more valuable than everything else

Il mercato delle identità digitali è sempre stato molto florido, in particolare con la facilità con cui è possibile recuperare informazioni in un web popolato di social network. Anzi comprare stock di profili reali, carte di credito o addirittura documenti, per chi frequenta dei market nemmeno tanto nascosti è un’attività facile e abbastanza economica.

Ora però l’asse si è spostato su qualcosa di più pregiato, ovvero le identità complete di una persona ma senza i dati finanziari, bensì quelli necessari a stipulare un’assicurazione medica.

La grande riforma di Obama, essendo fondamentalmente un filtro governativo a tante assicurazioni sanitarie private, ha aumentato a dismisura il valore di queste informazioni e quindi il loro mercato nero parallelo.

Questo accade per il solito fondamentale problema: la mancata protezione di dati personali da parte di chi li tratta.

Ma mentre una carta di credito si può bloccare con una telefonata, e se siamo assicurati riusciamo anche a ottenere un rimborso, con i dati sanitari la cosa cambia drasticamente. Anche perché i numeri di carte di credito nascono e muoiono in poco tempo, il profilo sanitario resta molto più a lungo.

Comprando un’identità sanitaria è possibile infatti presentarsi ad una struttura come se si fosse la persona derubata, e i dati saranno aggiornati su quel profilo.

Se quindi venisse fatto un trattamento ospedaliero particolare, o anche una banale analisi del sangue, i dati sarebbero riportati sul profilo della persona reale. Che ignara di tutto magari si presenterà dopo qualche mese in una struttura sanitaria, necessitando di cure, e potrebbe rischiare grosso qualora nessuno si accorgesse dei dati errati.

Anche potenzialmente la vita.

Questa storia quindi conferma il rischio che la nostra identità digitale, e quindi sempre più quella reale, siano facilmente trafugabili. È sempre più importante quindi porre estrema attenzione al trattamento di dati sensibili come quelli sanitari.

In USA la situazione è davvero a rischio, in Italia per fortuna il Codice Privacy prevede norme stringenti per questo tipo di dati. In ogni caso con la proliferazione di banche dati e dispositivi è fondamentale non perdere mai di vista i rischi che si corrono.

Questo esempio poi conferma anche la sovrapposizione tra crimine “vero” e cybercrime. Cosa che gli addetti ai lavori dicono da anni, ma che ora si sta manifestando sempre di più, minacciando elementi fondamentali della vita di ogni persona, come la salute.

Annunci

Difendere la privacy è possibile

Di questi tempi ci viene ripetuto fino alla nausea: la privacy non esiste più.

Siamo nell’era del web 2.0, dell’internet of things, della geolocalizzazione ovunque e dei social network in cui noi stessi pubblichiamo notizie e foto che fino a qualche anno fa ci saremmo vergognati di far conoscere anche ai parenti più stretti.

C’è chi questa cosa l’ha intuita e ci ha costruito sopra un impero facendoci miliardi di dollari, Google e Facebook in primis.

E proprio loro stessi, guardando i loro bilanci sempre in attivo, ci dicono che l’era della privacy è finita, o che se non vuoi che qualcuno sappia qualcosa non dovresti farla.

Ma questa situazione è inevitabile? Non c’è davvero modo di opporsi a quello che viene definito un cambiamento culturale?

Non proprio. Questa immagine infatti fa molto riflettere

Google Streetview

L’Europa su Google Streetview – Cliccate per ingrandire

L’immagine mostra la copertura di Google Streetview in Europa, e quello che salta immediatamente all’occhio sono i due grossi buchi di Germania e Grecia.

La Germania è una nazione in cui la privacy ha sempre avuto un’attenzione elevatissima, molto probabilmente dovuta al periodo pre-unificazione in cui la Stasi operava un controllo assoluto su tutti i cittadini dell’Est (e non solo), come raccontato ad esempio nel bellissimo film Le vite degli altri.

Il Garante Privacy tedesco quindi reagì molto male quando si scoprì che le Google Car che giravano le strade raccoglievano anche dati in modo illegale, e oltre ad una multa molto salata impose grandi limiti alla pubblicazione dei dati proprio su Streetview.

Analogamente anche la Grecia ha ostacolato molto, e si vede bene dall’immagine, l’attività di Google. Chiedendo dettagli puntuali sull’uso dei dati raccolti dalle auto, e ponendo limiti e funzioni di rimozione per la loro pubblicazione.

Queste due nazioni dimostrano che è possibile imporre un limite all’attività apparentemente senza limiti dei giganti del web. E il limite può e deve essere imposto proprio in difesa dei propri cittadini.

Ma il resto dell’Europa?

La Commissione Europea è al lavoro da diverso tempo su un Regolamento Privacy (che ricordo, a differenza di una Direttiva è immediatamente esecutivo per gli stati membri) che sia in grado di recepire la necessità di difendere maggiormente i dati personali dei cittadini europei. Sia imponendo regole di trattamento più rigide, sia prescrivendo multe molto salate per violazioni o diffusioni illecite.

Anche perché, ed è bene ricordarlo, sia le due aziende di cui ho parlato all’inizio, sia innumerevoli altre sono tutte aziende statunitensi. Paese dove la sensibilità nel trattamento dei dati personali è molto minore, e spesso messa in secondo piano rispetto a logiche economiche più stringenti.

Naturalmente, visti gli altissimi interessi economici in gioco (basti pensare proprio ai bilanci dei big come Google o Facebook) i lavori vanno avanti tra mille ostacoli.

L’Italia, come gli altri stati, aspetta ovviamente la pubblicazione di una policy europea, anche se è sempre bene ricordare che il Codice Privacy Italiano è uno dei più avanzati a livello europeo, arrivando a definire addirittura la protezione dei dati personali come diritto fondamentale:

Art. 1. Diritto alla protezione dei dati personali
1.Chiunque ha diritto alla protezione dei dati personali che lo riguardano.

Non di ogni cittadino, ma di ogni persona.
La privacy è un diritto fondamentale di chiunque.

Anche in questi tempi di cambiamento culturale è sempre bene pensare a quanto sono importanti i nostri dati personali, a quanto in fondo raccolgono tutta la nostra vita.

Quindi ha ragione Schmidt a dire che se si vuole mantenere una cosa segreta, sarebbe meglio non farla.

Ma sta anche a noi difendere e trattare con cura le nostre informazioni personali, proprio perché i primi a essere danneggiati da una loro diffusione, i primi a sottovalutare un diritti fondamentale, siamo proprio noi.

Proteggi la tua privacy online con Tor

Trovate qui la traduzione italiana del mio articolo pubblicato sul numero 26 di ClubHACK Magazine.

Tor logo

Che cos’è Tor?

Iniziamo con spiegare cosa significa Tor: è un acronimo che sta per The Onion Router (Il Router Cipolla).
Un router è un dispositivo che gestisce e smista il traffico su una rete di computer. Quando scrivere una URL nel vostro browser, come http://chmag.in e date invio, inviate questa richiesta al router del vostro ISP, che la rigirerà ad un altro router esterno e così via, finché non raggiungete il router dell’ISP di CHmag, che vi invierà la pagina del sito. Ognuno di questi passaggi è chiamato tecnicamente un hop.

Tor funziona esattamente come questo sistema di router, però poi c’è la cipolla. Beh, la cipolla è… una cipolla! 🙂
La ragione per cui gli sviluppatori di Tor hanno usato questa metafora è che quando si usa il sistema di routing di Tor, i dati vengono inviati all’interno di diversi livelli di cifratura, esattamente come passare tutti gli strati di una cipolla!

La pagina di Wikipedia di Tor ha un’eccellente immagine che spiega il funzionamento.

TOR The Onion Network

Electronic Frontier Foundation “How Tor Works” – licensed CC Attribution 3.0

Ma c’è un sacco di gente lì dentro! Non dovrebbe difendere la mia privacy?

Può sembrare strano ma così si difende la privacy.

Prima di tutto, quando si usa il tradizionale sistema di router, la richiesta passa lo stesso attraverso un numero di hop, ma in più può essere intercettata, letta e modificata. Questo perché chi controlla quell’hop può vedere la richiesta inviata, e sapere cosa stava cercando chi l’ha inviata.

All’interno del network tor questo non può succedere. Poiché il percorso è scelto in maniera casuale ogni hop può solamente decifrare il piccolo livello cipolla di cifratura che gli compete, e poi passare al seguente salto.

Come si può vedere dall’immagine sopra solo l’ultimo passaggio è in chiaro, dal cosiddetto nodo di uscita fino al web server di destinazione. Questo è necessario perché l’ultimo nodo deve necessariamente conoscere il destinatario della richiesta e cosa chiedere. Ma la privacy di chi ha fatto la richiesta è comunque protetta, visto che anche sniffando (cioè intercettando i dati inviati sulla rete), il nodo di uscita non può sapere chi ha fatto la richiesta, quindi nessuno può identificarvi. Il server di destinazione vedrà solo l’indirizzo IP, che identifica univocamente ogni dispositivo sulla rete, del nodo di uscita.
Il funzionamento è molto più semplice di quanto sembri, lo vedremo tra poco.

Poiché l’uso di Tor è assolutamente gratuito, ogni utente che si connette diventa un membro della rete e contribuisce a passare “cipolle” su e giù di continuo. Ma non c’è da preoccuparsi, nessuno è obbligato a funzionare da nodo di uscita, è possibile farlo ovviamente, ma questa opzione deve essere abilitata volontariamente.

Sembra molto complicato… non sono un hacker! Non posso usarlo!

In effetti sì, il progetto Tor è veramente molto complesso nel suo funzionamento. Gli sviluppatori hanno tuttavia fatto, e continuano a fare, un lavoro eccellente di semplificazione nell’utilizzo dello strumento, e lo hanno reso accessibile a chiunque, in modo estremamente semplice.

Tor ha infatti un sotto-progetto chiamato Tor Browser Bundle. Il software non richiede installazione e permette di navigare in sicurezza con un semplice clic. Non essendo necessario installarlo è semplice da trasportare su una chiavetta USB, in modo da averlo disponibile su ogni sistema che utilizzate, sia il proprio pc, un hotel, un internet cafè o il computer dell’ufficio.

L’unica cosa da fare è scaricarlo dalla pagina del progetto, è disponibile anche una versione italiana e c’è per Windows, Mac OS X o Linux.

Una volta scaricato e scompattato l’archivio .exe avrete questa serie di icone

Tor Browser Bundle

A questo punto manca solo un clic dal navigare sicuro. Basta far partire “Start Tor Browser.exe” e Tor inizierà a connettersi alla rete protetta.

Nel giro di pochi secondi vedrete questa finestra:

Vidalia Control Panel

Non dovete preoccuparvi di tutti i bottoni e le funzioni all’interno del pannello di controllo di Vidalia, l’unica cosa che conta è la cipolla verde e le parole “Connesso alla rete Tor!“. Questo significa che ora siete protetti.

Ma la magia di questo strumento non finisce qui. Non appena stabilita la connessione con la rete Tor una versione speciale di Firefox, inclusa nel pacchetto, si aprirà automaticamente con questa schermata:

Firefox Tor Portable

Questo vuol dire che è tutto finito! Usando questo Firefox navigherete automaticamente all’interno della rete Tor, in modo del tutto anonimo e sicuro. Volete provare? Andate su http://whatsmyip.net sia dal Firefox incluso nel Tor Bundle sia dal vostro brower classico, e vedrete che gli indirizzi IP sono diversi. Questo significa che state usando l’IP del nodo di uscita, come spiegato in precedenza. Quando non vorrete più usare Tor, basta chiudere la finestra di Firefox, si chiuderà anche il pannello di controllo di Vidalia e la connessione alla rete Tor terminerà.

In conclusione, avete visto che è molto semplice usare Tor. D’ora in poi, se volete proteggere la vostra privacy online, non dimenticatevi di usare Tor Browser, e portatelo sempre con voi, specialmente su postazioni che non conoscete.

Proteggersi non è così complicato come sembra, anzi non è complicato per nulla! Basta seguire dei semplici passaggi ed è fatta. Questo è solo l’inizio di molti altri servizi che sono disponibili all’interno del progetto Tor, ma questo passo è quello che vi serve per navigare protetti.

Buona privacy e navigazione tranquilla a tutti!

Federico Filacchione
pubblicato originariamente come “Protect your privacy online with ’TOR” su ClubHACK Magazine numero 26.