Dettagli

Sappiamo davvero a chi stiamo affidando la nostra “vita digitale”? Quanto sono affidabili le garanzie di protezione dei dati?

Portarsi comodamente dietro documenti, dati e programmi, poterci lavorare ovunque si vada. Un’esigenza comune, a cui si potrebbe dare una risposta ovvia: il portatile. Basta comprarne uno, installarci le applicazioni che servono, e il gioco è fatto. Ancora meglio se si sceglie un netbook, piccolo, leggero, ma ancora troppo scomodo da portarsi quotidianamente dietro.

Un palmare o uno smartphone sposano sicuramente il concetto di comodità in termini di facilità di trasporto, ma pagano un prezzo troppo elevato alla versatilità e praticità (per non parlare del costo d’acquisto) che sono notevolmente più ridotte, senza considerare poi l’hardware limitato e il ridotto parco applicativo.

Molti avranno pensato alla classica chiavetta USB in cui salvare quanto meno i dati (fino a qualche anno fa questo ruolo lo rivestivano i CD o i DVD riscrivibili). Comodissime (occupano uno spazio irrisorio), pratiche e anche con un ottimo rapporto capacità / prezzo data l’elevata diffusione, ma anche lente e con cicli di scrittura limitati.

D’altra parte ogni soluzione presenta pregi, ma anche difetti. Anche qui, come in altri casi e settori della tecnologia, la pietra filosofale non è stata ancora inventata. E il cloud computing non fa certo eccezione…

Il “cloud computing” è la nuova tecnologia che rappresenta il futuro dell’informatica[1].

“Cloud”, in inglese, significa “nuvola”. E una nuvola non è un’entità unica: è composta da tante particelle d’acqua messe assieme. Potremmo dire che tutte “lavorano” all’unisono, collegate tra loro, per formare la nuvola. Ora immaginate di sostituire a ciascuna particella un computer, e di fare in modo che tutti siano connessi. In questo modo si aggrega la potenza di calcolo di ciascun elaboratore, creando un super-computer pronto a eseguire qualsiasi tipo di programma.

In soldoni, una serie di computer collegati tra loro elaborano i contenuti richiesti dal software di turno, e li inviano all’utente finale, via Internet. Questo è libero di elaborarli, ovviamente, ma il concetto portante è che il programma non è eseguito nel suo computer, bensì nel “cloud”. Il computer dell’utente, quindi, diventa un semplice terminale che si collega a un centro di calcolo dislocato chissà dove, al quale accede tramite Internet. E non importa se la potenza del terminale è esigua: basta che sia sufficiente per collegarsi a Internet, e il resto è fatto dal “cloud”.

Questa tecnologia non è legata solo a questioni di calcolo, ma anche di archiviazione dei dati. Infatti, i centri di cloud computing sono dotati di dischi fissi pronti a ospitare i file degli utenti, che così possono utilizzarli in ogni angolo del mondo, tramite un qualsiasi dispositivo connesso a Internet.

Siamo quindi passati dal concetto di programma da far girare localmente sul proprio computer, a quello di servizio accessibile tramite un comunissimo browser (e, quindi, su qualunque altra macchina e s.o.). Infatti questo approccio viene chiamato anche software as a service (SAAS).

Ed è qui che il cloud computing dimostra il suo principale punto di debolezza, inteso come protezione dei dati personali. Chi garantisce, insomma, che i dati memorizzati in dischi fissi altrui, siano davvero al sicuro da sguardi indiscreti?

E’ così importante conoscere chi e come sta facendo girare i servizi che sto usando? Dove stanno i dati? Quali risorse sto impiegando? Sembrerebbe di no: l’importante rimane sempre il risultato finale; che poi è ciò che serve effettivamente.

In sintesi quindi, Cloud Computing significa semplicemente gestire esternamente (online) le applicazioni e le attività, invece che all’interno delle proprie mura domestiche.

I vantaggi di questo servizio non sono pochi. Rinunciando a chiavette Usb e dispositivi mobili si risparmia spazio e si viaggia leggeri. Ma soprattutto, con la tecnologia cloud si possono creare degli archivi raggiungibili in qualunque momento. Dalle fotografie delle vacanze ai documenti aziendali fino alle cartelle sanitarie: tutto è a portata di mano.

Inoltre, c’è anche un “hosting service provider” esperto che gestisce tutta l’architettura informatica al proprio posto. Ciò significa che, tutto quello che l’utente deve fare, è accedere ai propri documenti e programmi via Internet. Inoltre i servizi in hosting consentono di beneficiare di servizi IT normalmente riservati solo alle grandi aziende a costi decisamente inferiori.

A tutti questi vantaggi però, come spesso accade, vanno aggiunti gli svantaggi, o meglio, i rischi a cui può andare incontro chi utilizza servizi di questo tipo.

Il rischio più grosso è che, in caso di blackout o di incidenti ai server, i servizi siano impossibili da raggiungere. Non uno scenario apocalittico: ad aprile del 2011 una scintilla nel quartier generale di Aruba, ad Arezzo, ha mandato in tilt migliaia di siti web e pochi giorni più tardi un attacco hacker contro la Sony ha messo in pericolo i dati personali (dal codice della carta di credito alle coordinate bancarie) di milioni di clienti. Per i sostenitori del software libero, capeggiati dall’attivista americano Richard Stallman, i problemi sarebbero invece legati alla privacy e alla censura: il potere – è la tesi di Stallmann – rischia di essere concentrato nelle mani di pochissimi grandi gruppi, in grado bloccare il ciberspazio per le voci scomode.

Affrontando nel dettaglio il tema della sicurezza e dell’affidabilità di queste “cloud”, va menzionato un articolo (febbraio 2013) di Mat Honan, giornalista e collaboratore della rivista Wired.com, intitolato “Le password hanno fallito. Nessuno può sentirsi al sicuro”; nel quale, lo stesso Honan racconta di come sia caduto vittima di un hacker.

Honan evidenzia come la leggerezza con cui, ormai, si immettono in rete dati personali, foto, documenti e quant’altro, ha permesso agli hacker di poter sfruttare queste informazioni per poter accedere, in maniera alquanto semplice e scaltra nelle cloud degli utenti. Gli hacker, infatti, non hanno avuto bisogno di forzare sistemi di sicurezza o accedere abusivamente al server, ma anzi hanno scelto la via più semplice e “legale” possibile: usando le informazioni personali che sono già pubbliche su un servizio, hanno indotto con l’inganno gli operatori di servizio clienti delle cloud, a resettare le password di accesso al relativo servizio.

La sua incredibile storia mette allo scoperto molte delle falle dei servizi online utilizzati da milioni di persone. Bastano poche sviste, per rischiare di vedersi cancellare dalla Rete (foto e dati importanti compresi)

Nel giro di un quarto d’ora, Mat Honan ha perso tutto. O meglio, ha perso ogni singolo frammento della sua vita digitale. Il suo account di Gmail, il suo profilo Twitter, un’intera montagna di file salvati su iCloud, qualsiasi dato avesse archiviato sul suo iPad, sul suo iPhone, sul suo MacBook. Tutto spazzato via da un hacker attraverso poche semplici mosse.

Ecco com’è andata: Mat Honan, sta giocando con sua figlia in un tardo pomeriggio di agosto. A un certo il suo iPhone si spegne improvvisamente. Honan lo rimette in carica, lo accede e vede comparire una schermata di setup. Senza scomporsi, decide di accedere al suo account di iCloud dove ogni notte salva un backup del suo smartphone, ma l’accesso gli viene negato. Lo stesso succede con Gmail, con la differenza che qui il suo account risulta essere stato cancellato. Nel giro di altri dieci minuti scopre che anche il suo iPad e il suo Macbook sono stati ripuliti. Digitalmente parlando, Mat Honan è sul lastrico.

Ma cos’è successo? Mat Honan è stato hackerato da un ragazzino di 19 anni che si nasconde sotto lo pseudonimo di Phobia. A rivelarglielo è stato l’hacker stesso. Contattandolo tramite Twitter, Phobia ha spiegato a Honan come lui e un suo amico sono riusciti a mandarlo gambe all’aria. E soprattutto, perché.

Il tutto è avvenuto in maniera imbarazzantemente semplice. L’obbiettivo dei due hacker (almeno, quello dichiarato) era prendere possesso dell’account Twitter di Honan. Come prima cosa sono andati sul suo profilo Twitter, qui hanno trovato il suo sito personale, e sul sito il suo indirizzo Gmail. Attraverso l’indirizzo Gmail di Honan, Phobia è riuscito a risalire all’indirizzo secondario di recovery, un indirizzo .me relativo a un account AppleID. Da qui, la strada è stata  in discesa. Utilizzando uno dei vari progammi di tracking, come Spokeo , Phobia ha ottenuto l’indirizzo di casa di Honan. A questo punto aveva una mail Apple, un nome e un indirizzo di casa, per poter chiamare Apple Care e ottenere tutti i dati che gli servivano, mancavano solo le ultime 4 cifre della carta di credito. Per ottenerle, Phobia ha fatto così: ha chiamato il supporto clienti di Amazon affermando di avere un account Amazon e di voler cambiare il numero di carta di credito associato, per farlo è necessario fornire un nome, una mail e un indirizzo. Inserito il nuovo numero di carta, Phobia ha chiamato di nuovo il supporto clienti affermando di non riuscire ad accedere all’account, Amazon gli chiede un nome, indirizzo di casa e un numero di carta di credito, Phobia associa all’account Amazon un nuovo indirizzo mail. Accedendo all’account Amazon di Honan, l’hacker è stato allora in grado di ottenere il vero numero di carta di credito, che è parzialmente oscurato, con l’eccezione degli ultimi 4 numeri, esattamente quelli che servono per autenticarsi chiamando Apple Care.

Nel giro di un quarto d’ora, Phobia ha cancellato i dati su iCloud, l’account Gmail, ha ripulito per bene ogni dispositivo Apple posseduto da Honan, infine, ha fatto quello che voleva fare fin dall’inizio: utilizzare l’account Twitter di Honan per diffondere messaggi illeciti (l’account è stato presto sospeso, Honan l’ha recuperato qualche giorno dopo). Una bravata, in sostanza, ma di quelle che ti tolgono anni di foto e di ricordi per sempre.

In conclusione, e che qui suona come una sorta di “morale della favola”, quello che serve, è imparare a proteggere meglio la propria sicurezza in Rete che, in tempi di cloud, assume un significato sempre più importante. La regola numero uno, e che molti sottovalutano, è quella di non utilizzare mai la stessa password per due servizi.

Un’altra regola: usare password difficilmente intuibili o, meglio, affidarsi a un servizio di gestione password.

Condividere meno dati possibile sul proprio indirizzo di casa, sul numero di telefono, su qualunque cosa possa aiutare uno dei tanti Phobia a impossessarsi della nostra identità.

Infine, se si utilizza Gmail, bisogna assicurarsi di aver attivato l’opzione 2-step-verification. Honan non l’aveva fatto e, l’ha ammesso, se l’avesse attivato il suo calvario si sarebbe probabilmente spento sul nascere.

Per concludere: è vero che internet e i nuovi strumenti hanno notevolmente migliorato il modo di vivere, di comunicare e di relazionare tra persone, ma bisogna anche ricordarsi sempre di non sottovalutare quali rischi si possano correre in futuro senza un attento e consapevole utilizzo del web.

Il Garante della Privacy ha elaborato un opuscolo sui social network e sui rischi derivanti da un utilizzo non corretto, una sorta di linee guida per un utilizzo consapevole del web.

L’opuscolo è consultabile e scaricabile qui: scarica/download

[1] Riccardo Meggiato, articolo tratto dalla rivista Wired.com di Ottobre 2009, consultabile al seguente link