Sicurezza su cellulari

[mirino]

Avendo da poco acquistato un nuovo cellulare (Android...finchè dura, ma domani lo riporto indietro), sono rimasto piacevolmente sorpreso dalla quantità di applicazioni/servizi che questo può contenere: tutti (o quasi), nel caso di Android, in mano a Google.

Ti registri con il tuo account, e il sig. Google ti mette a disposizione ricerche, Maps, Latitude, Talk, Mail, gReader e un fracco di altra roba, e aggiungiamo un discreto numero di diversi account di posta. La password, almeno per quel che ho potuto vedere, viene inserita all'atto dell'attivazione e poi mai più.

Credo di non essere particolarmente paranoico, però una mia "autenticazione" fissa su un dispositivo mobile mi inquieta un po'. Non parlo di ciò che il sig. Google possa fare dei miei dati (in ogni caso "agghiacciante" quando, aprendo Google Maps, senza alcun dispositivo di localizzazione attivo, mi ha centrato la mappa nel punto ESATTO in cui abitavo 3 anni fa: non in zona, nei dintorni..lì, proprio lì, e parlo di un posto a più di 10 km da dove vivo ora.....in questo caso non credo alle coincidenze!).
Mi riferisco a ciò che può accadere quando il telefono viene perso/rubato. Al di là del valore economico del terminale in questione, mi darebbe parecchio fastidio che il ladro potesse accedere a tutti i miei account di posta, a tutti i luoghi che frequento, alla mia agenda di impegni, ai miei account Skype! E tralascio, perchè per me meno fastidioso, la possibilità di accedere alla mia rubrica e all'elenco di SMS, o foto o quant'altro.

Come ci si comporta in questi casi? Anche mettendo un blocco che richieda PIN/PUK e quant'altro, il mariuolo in questione semplicemente cambiando la SIM potrebbe accedere alla vostra casella di posta personale. Esistono dei servizi per "sganciare" il vostro account dal terminale (per la Samsung, per esempio, ho visto che c'è un Remote qualcosa.....ma non ho guardato bene di che si tratta...) ? Ho visto che su Android è possibile disattivare ogni account "brutalmente" ripristinando il cellulare alle impostazioni di fabbrica (ho provato, funziona), ma ovviamente non potete farlo da remoto.

Non mi interessa recuperare il dispositivo, mi basta che la mia casella di posta torni in mano mia. Avete già sicuramente riflettuto sul problema, come avete pensato di risolverlo?

PS: pensandoci Google Mail di tanto in tanto chiede un numero di telefono da associare all'indirizzo di posta per dimostrare il possesso di quella casella: ora mi spiego il perché! Anche se in quei casi conviene non associare il proprio numero ma un altro... perché se vi fregano il cellulare siete punto e a capo!

[Lysor_o.O]

Aspetta un attimo, cos'hai preso? E lo riporti indietro perché? Per questo problema di sicurezza, o per altri problemi?

Comunque: da un lato puoi provare a rendere il tutto più sicuro imponendo per esempio che per sbloccare lo schermo si debba inserire un PIN o equivalente; se ti sembra scomodo so che ci sono alcuni modelli con un lettore di impronte digitali (Motorola Atrix) ma non so quanto sia veloce. In alternativa, con Android 4 c'è il Face Unlock, ti fai inquadrare dalla fotocamera, ti riconosce e si sblocca. Non vale molto come meccanismo di sicurezza (per esempio basta una foto per fregarlo), ma almeno qualcosina sì.

Penso poi che sia possibile dirgli di non salvare le password (lo scotto però è che devi inserirle ogni volta, quindi niente email, Facebook, Twitter & co in tempo reale!). Infine, ci sono dei programmi che fanno il "remote wipe" (cerca sul Market) del cellulare: se lo perdi ti connetti a un sito, identifichi il tuo cellulare, e dai il comando. Se è connesso alla rete e riceve il comando viene formattato. E magari, prima di farlo, ti fa sapere dove si trova. Puoi anche farlo squillare da remoto (utile se l'hai perso, ma anche se te l'hanno rubato: dato che non smette di squillare, potrebbe indurre il ladro a liberarsene per non attirare l'attenzione). Si può anche fare via SMS, così funziona anche se la connessione dati è spenta.

Comunque la risposta reale è che hai messo il dito su una piaga aperta: il problema esiste, e le soluzioni esistenti non sono veramente efficaci.

[Beavis]

Vuoi la verità nuda e cruda?
Qualunque cosa tu metta in internet o qualsiasi operazione tu faccia in internet non è sicura.
Una volta che tu metti un immagine in internet, anche se criptata, protetta da password o cose simili potrebbe essere resa pubblica.
Quando visiti un sito tutti potrebbero sapere che lo hai visitato.
Potrebbero sapere chi sei, dove sei, che strada fai la mattina per andare al lavoro, dove vai in ferie e tutto il resto.

La contro domanda è: ma a chi gli frega qualcosa?
Cioè non sei un personaggio famoso che la gente si sbatte per conoscere la tua vita, queste cose si possono fare ma costano ancora un po' di lavoro e fatica e quindi nessuno lo fa per farsi i cavoli tuoi.
Certo il signor google conosce tutte le tue abitudini, ma non gli frega di te ma di fare delle statistiche, quindi sei uno su un milione ed è come se nessuno sapesse cosa fai.

Certo se perdi il cell ed è completamente senza protezione la gente si può fare i cavoli tuoi gratis quindi magari metti il pin allo sblocco o una cosa simile.
Poi segnati il codice del telefono, non ricordo il nome esatto ma lo vedi sulla scatola, se te lo rubano o lo perdi puoi bloccare direttamente il telefono se viene connesso alla rete con qualsiasi sim.
Non ricordo bene come si fa, ma ricordo che si può, caso mai interessati.

Infine se proprio vuoi avere la sicurezza al 100% comprati questo al posto del cellulare.

[skazzo]

Per una volta quoto totalmente il buon beavis, dieri che sei paranoico, certo non ai livelli di snuffolo ma sempre paranoico
Coomunque se ti rubano o se perdi il cellulare te ne accorgi abbastanza in fretta direi quindi non ci dovresti mettere più di tanto quantomeno a cambiare le password salvate sul tuo cellulare no?

[snuffz]

Nelle ultime settimane ho cambiato il materasso. Ho abbandonato il vecchio materasso a molle e ne ho preso uno in lattice.
Visto che venivo da una serie di materassi a molle e non conoscevo il lattice e tutte le sue varianti (percentuale di lattice, schiuma di lattice, memory...) mi sono documentato un po' navigando su internet. Dopo un paio di giorni che navigavo, navigavo semplicemente, non mi sono iscritto\registrato da nessuna parte, mi è arrivata una mail della Fabricatore Materassi, sulla mia casella di posta. E’ la prima mail che ricevo, riguardo pubblicità di materassi, da quando ho creato questa casella, gennaio 2005.

Grazie al mio semplice “navigare” qualcuno ha saputo che in questi giorni stavo cercando un materasso in lattice, ha intercettato il mia casella di posta e mi ha mandato la sua pubblicità.

Certo, esistono tool o anche semplici pluggin per la navigazione anonima, e tutti quegli accorgimenti e impostazioni che siamo soliti attivare quando facciamo certe operazioni (ad esempio io quando mi collego alla banca mi blindo da vero paranoico).
Non mi metto ad attivare protezioni quando leggo Repubblica o cerco un materasso.
Eppure a qualcuno certi dati interessano.

Poi si può essere più o meno paranoici (ed io lo sono sicuramente). A qualcuno non frega un cazzo che altri sappiano certe informazioni "minori". A me dà sempre fastidio.

[skazzo]

beh se hai usato google per le ricerche è risaputo che si vende i tuoi dati di navigazione, che ti possa dar fastidio ricevere mail che non hai richiesto lo posso capire, ma davvero te ne frega qualcosa se qualcuno sa che hai ricercato dei materassi?
Nel senso è ovvio che sapere cosa fai tu utente x è di valore per chi di informazioni vive, ma nessuno sa davvero chi è l'utente x, sanno cosa visiti su internet e cosa compri, sei un numero con un tot di informazioni, a te che fastidio da? vorresti ricevere una % sulla transazione dei dati sulle tue abitudini internettiane?

[Bubillus]

Grazie al mio semplice “navigare” qualcuno ha saputo che in questi giorni stavo cercando un materasso in lattice, ha intercettato il mia casella di posta e mi ha mandato la sua pubblicità.

Quindi devo insistere nel cercare siti dedicati a Scarlett Johansson

[Beavis]

C'è da sottolineare che i browser adesso hanno l'opzione di anti-tracciamento dei dati personali, certo non sò perchè ma io di quella di chrome non mi fido molto

[Bubillus]

Che io sappia al momento l'anti-tracciamento consiste in una cosa del genere:
browser: "scusi signor sito, potrebbe evitare di tracciare i dati del client mentre sono sulle sue pagine?"
sito: "no"

Il problema degli smartphone risiede nel fatto che sono, appunto, cellulari. Se lo perdi lo perdi, la sicurezza deve essere un mix di prudenza personale (se ci memorizzi dati importanti devi essere consapevole dei rischi che corri e quanto meno fai dei backup di quello che interessa) e diavolerie software (pin, password, reset remoto via IMEI, etc etc).

[Mano[FA]]

beh se hai usato google per le ricerche è risaputo che si vende i tuoi dati di navigazione

Si, ma mettiamo dei distinguo: Un conto e' se Google fa sapere che il 32% degli utenti maschi che cercano materassi sono anche appassionati di peperoncini e torte fatte in casa. Io qui, direi che va bene.
Un altro e' se il sito di materassi, guardando ai tuoi cookies, scopre che TU guardi anche siti di peperoncini e di torte. Qui gia' meno bene, perche' e' un'informazione su di me che nulla a a che fare con il fatto che io voglio sapere di materassi. Altrimenti 7ede potrebbe vedere tutti i siti che ciascuno di noi visita, e lo considererei un'intrusione della mia privacy.
Che certamente NON va bene, e' che un'azienda di cui ho visitato il sito scopra il mio INDIRIZZO DI POSTA, che e' un'informazione MOLTO riservata.
E dubito che sia Google a fornirla. Sono sono uno specialista, ma credo che sia semplicemente illegale. Quindi la preoccupazione di snuff e' lecita, mi chiedo anch'io come possa avvenire e, se devo indovinare, secondo me hanno un modo per ottenerla illegalmente. Un'azienda di materassi, direttamente o indirettamente mette una pubblicita' su un sito di materassi (tipo un blog) che esegue del codice che riesce ad "uscire" dal browser e vedere con che email sei connesso o hai impostato di default e "spedirla a casa". Puo' anche darsi che l'azienda di materassi compri indirizzi di gente interessata a materassi senza essere coinvolta nel porcesso (certo dovrebbero chiedersi come facciano a saperlo)

ma davvero te ne frega qualcosa se qualcuno sa che hai ricercato dei materassi?
Nel senso è ovvio che sapere cosa fai tu utente x è di valore per chi di informazioni vive, ma nessuno sa davvero chi è l'utente x, sanno cosa visiti su internet e cosa compri, sei un numero con un tot di informazioni, a te che fastidio da?

A me non sembra un approccio corretto. Primo, non e' un utente x se ne sanno l'indirizzo di posta. Secondo quanto siamo disposti a sacrificare? Allora diamo a qualunque azienda o privato il diritto di leggere tutta la nostra posta, elettronica e non, sapere quanto guadagnamo, le nostre preferenze sessuali, la religione, se abbiamo malattie etc, etc… intanto "nessuno sa davvero chi è l'utente x" fino a che qualcuno scopre chi e' l'utente x.

Magari iniziero' a disattivare cookies e javascript con eccezione di pochi siti di cui mi fido…

[France]

a mio avviso le informazioni private dovrebbero rimanere private. Non è una scelta di stile nel senso: "Ah a me piace fare le cose di nascosto!" oppure "L'ultimo grido adesso è la privacy" ma molto più: "Io voglio essere protetto".

La protezione non arriva dal controllo statale totale come quello del Patriot Act negli USA che fondamentalmente scarifica molti diritti alla privacy in cambio di maggiore "sicurezza". La protezione arriva dal fatto che coscientemente decidiamo di dire a uno sconosciuto che passa per strada il proprio nome oppure no, o qualsiasi altra informazione.

Io credo che internet andrebbe regolamentato non nel senso della sopa e altre assurdità ma nel senso della tutela della privacy dei singoli individui. Rendere a qualsiasi persona chiaro, adesso sto dando informazioni oppure adesso non le sto dando. Odio il fatto che ci siano raggiri a scopo di lucro, politica o con intento di truffa e altri danni.

[Beavis]

Altrimenti 7ede potrebbe vedere tutti i siti che ciascuno di noi visita...

Mi ha detto 7ede di dirti di smetterla di freqeuntare youporn

France internet lo puoi regolamentare finchè vuoi, ma certe informazioni non devono circolare se no qualcuno che se ne approfitta salta sempre fuori.
Non puoi andare in giro con una maglietta con su il tuo nome pretendendo che nessuno lo legga.

P.s: per firefox provate DNT+

[Mano[FA]]

Non puoi andare in giro con una maglietta con su il tuo nome pretendendo che nessuno lo legga.

Io sono con France e il parallelo con la maglietta non regge.

Non e' un inevitabilita' tecnica che siamo "rintracciabili", al contrario. Molti dei "problemi" sono creati dal fatto che le aziende/privati che creano le pagine e soprattutto chi fa pubblicita' e marketing, vogliono poi sapere chi le visita e quindi hanno re-inventato i cookies, i cookies di terzi, implementano javascript per raccimolare piu' informazioni possibili. E poi alcuni le vendono. Lo stesso 7ede, da feticista ;) ha attivato Google analitics per il FoOrum in modo da sapere un sacco di cose. Ma non e' necessario. L'unica informazione "tecnicamente" necessaria e' l'IP (parzialmente geolocalizzabile).

Per fare il parallelo con la maglietta, vorrei poter indossare, "di default" una maglietta senza il mio nome sopra.

[Beavis]

Mi chiedo se usando la modalità anonima di firefox (ma c'è anche in chrome) il problema si risolve almeno parzialmente.
Poi però c'è il problema inverso, i siti non ricordano le password, le pagine già visitate e via dicendo.

Certo che poi se uno usa facebook o un qualsiasi social network è finita
E vedraiq uando esce windows8, appena accendi il pc si sincronizza tutto il mondo

[snuffz]

Io credo che internet andrebbe regolamentato non nel senso della sopa e altre assurdità ma nel senso della tutela della privacy dei singoli individui. Rendere a qualsiasi persona chiaro, adesso sto dando informazioni oppure adesso non le sto dando.

Esatto.
Se mi iscrivo a Facebook e pubblico col mio nome e cognome le mie foto della laurea, sto esprimendo una volontà di condividere certi contenuti (poi non è facile mantenere le foto nella cerchia ristretta e selezionata, ma almeno inizialmente c'è consavolezza di mettere in condivisione qualcosa sul web).
Se navigando su internet senza chiedere nulla a nessuno qualcuno estrae mie informazioni personali e senza che gliel'abbia fornita io ricava la mia mail e mi manda della pubblicità...beh, non credo di aver dato alcun assenso ai miei dati.
E a ragione mi sento controllato.

L'esempio del materasso, esempio concreto di quello che mi è successo una settimana fa, non invento niente, non rende l'idea perchè un materasso è tuttosommato un oggetto innocuo.
Mettiamola in un altro modo.
Diciamo che dopo aver navigato sul sito della Rolex per voi e dei diamanti Damiani per vostra moglie, senza alcuna vostra iscrizione vi arriva una mail pubblicitaria delle casseforti da appartamento e una mail pubblicitaria dei sistemi di allarme.
Vi sentite controllati?
Siete sereni a sapere che qualcuno ha registrato che voi avete a lungo sostato sul sito Rolex e poi su quello dei diamanti Damiani?

[Lysor_o.O]

Snuffz, quello che ti è successo è semplicemente allucinante. Se visiti dei siti di materassi è normale che i banner gestiti da Google presenti sui vari siti comincino a orientarsi in quella direzione (è il programma AdSense). Ma un conto è visualizzare dei banner sulla base dei cookies, ben altro è ricevere una mail al tuo indirizzo privato che tu NON hai fornito! Non vorrei che tu ti fossi beccato qualche porcheria sul pc, o forse era solo un sito bastardo ("solo" nel senso che magari sul tuo pc non c'è nulla, e il problema si ha solo quando visiti una determinata pagina), ma questo non è assolutamente un comportamento normale.

[mirino]

"Parlapà", guarda qui che casino ho scatenato!!!

Ora che ho ripreso il cellulare, e se una buona volta si mette a funzionare, ri-registrerò l'account. Intanto prima voglio fare un po' di prove smanettando coi cambi password (tanto mi hanno detto che non si diventa ciechi) e vediamo che segnalazioni da il dispositivo.
Insomma, provo io a spacciarmi per ladro e vediamo che cosa mi fa...

So bene che o digiti la password tutte le volte, rendendo di fatto scomodissimo l'uso del terminale, oppure "accetti" di sacrificare parte della sicurezza per un comodo utilizzo dello stesso. Alla fine, volenti o nolenti, si propende per la seconda ipotesi. Confidando che il sig. Google non si metta a vendere i nostri dati personali in giro (che almeno li raggruppi!). O perlomeno che non si faccia beccare!


Skazzo, io non sono mica paranoico , che poi tanto lo so che tu non sei tu ma sei 7ede travestito. Me lo ha detto Snuffz mentre la finanza portava via da casa sua un cassone di Rolex!!!

[skazzo]

Bah che possa essere grave secondo le attuali leggi per la tutela della privacy sono anche d`accordo, che me necale qualcosa del sentirmi controllato direi di no...
Me ne fregasse qualcosa non userei cellulari, mi rifiuterei di avere un conto corrente, non userei carte di credito, non piglierei l`autostrada, avrei documenti falsi da dare agli alberghi quando sono in vacanza, metterei un calzamaglia quando giro per strada per evitare le telecamere, ucciderei ogni commesso e testimone ogni volta che compro qualcosa e via così
Diciamo che le mie abitudini internettiane sono quelle di cui mi importa meno.... ma poi secondo me il discorso si è acceso perché mi sono dimenticato di citare mano tra i paranoici...muahahaha