8113 5092 7332 di Gianluca Ferrara Quaderni di Informatica Giuridica e Diritto dell Informatica
8113 5092 7332 Probabilmente vi starete chiedendo cosa significhi il titolo di questo articolo, e credo facciate bene a porvi questo interrogativo; vi dico allora che tale numero rappresenta lunico anello di congiunzione tra me e il mondo esterno che mi circonda, nel senso che adesso andrò a spiegarvi. Un pomeriggio di circa una settimana fa mi trovavo tranquillamente in giro alla ricerca di mobili per la mia casa; entrando in un negozio di arredamento e design, mi vengono chiesti i miei dati personali a fini statistici; la richiesta ingiustificata dei miei dati personali mi ha sempre creato un senso di fastidio, come un volere da parte di qualcuno cotrollare quello che faccio e quello che cerco; così, decido di evitare di lasciare qualunque dato e mi ripropongo, visto latteggiamento irremovibile del gestore del negozio, di continuare la mia ricerca altrove. Riflettendoci in seguito mi sono reso conto che in realtà nella nostra vita noi, volenti o nolenti, lasciamo sempre traccia di quello che facciamo, dei posti che visitiamo, delle nostre abitudini etc, etc. In fondo, se compro un nuovo telefonino mi chiedono un documento per la registrazione della sim; a quel punto qualunque telefonata faccio indicherà il luogo in cui sono e quello che sto facendo; se compro con una carta di credito o ritiro da un bancomat dico esattamente dove sono, quando e perché; se viaggio per lavoro o svago, lascio i miei dati per comprare il biglietto, per la stanza del mio albergo, per i controlli alle dogane; se entro in un negozio di mobili rischio di dover lasciare comunque i miei dati per visitarlo. Gli esempi potrebbero essere infiniti, ma esiste un posto dove tutto questo non è più vero, dove posso contattare chiunque SENZA che si sappia chi sono, dove posso telefonare a chiunque senza essere rintracciato, dove posso scrivere qualunque cosa senza specificare chi sono né lasciare tracce evidenti, in maniera legale e semplicissima. Per dimostrarlo, munito di volontà e pazienza, mi sono recato in uno splendido negozio al centro della mia città, Roma, con due euro nel portafoglio. E uno dei 28 internet point presenti sul sito delle pagine gialle, ma a Roma ne esistono almeno 10 volte tanti. Mi sono recato alla cassa automatica e ho deciso di comprare un ora di navigazione; inserendo i due euro nella macchinetta, ho ottenuto un biglietto con sopra questo numero di accesso alla rete : 8113 5092 7332. Un signore gentilissimo, a cui mi sono rivolto, mi ha spiegato che, se avessi voluto, avrei potuto anche connettermi con il mio portatile al costo di 5 euro, sia in modalità wireless che wire. Provo subito una postazione al centro del locale, e come per incanto, inserito il numero di accesso, mi ritrovo a navigare in internet ad una velocità molto alta; mi dirigo allora sul sito di un noto gestore di posta gratuita e mi creo la mia casella di posta elettronica sul web; ovviamente, le credenziali che devo fornire sono simili a quelle richieste dal gestore del negozio di mobili: né un numero di documento, né un codice fiscale, ma solo nome, cognome e indirizzo; scrivo dei dati falsi e mi trovo possessore di unemail del tutto gratuita e anonima. Decido allora di mandare la mia prima email del tutto anonima. Ricapitoliamo : al modico costo di due euro ho ottenuto un accesso ad internet e mi sono fornito di un indirizzo di posta elettronica del tutto anonimo e discreto; lunico legame tra il mondo virtuale e Gianluca Ferrara risiede nellormai famoso codice 8113 5092 7332 stampato nel biglietto che porto nel mio portafoglio. Sono riuscito a fare tutto questo solo con le cognizioni tecniche di saper accendere un computer (in realtà era già acceso!!) e navigare in internet; lho fatto in maniera del tutto normale e legale. Se qualcuno avesse voglia di capire da dove arriva lemail che ho spedito potrebbe aprire lheader del messaggio di posta e vedere da quale sito arriva; dopo una ricerca (breve) si riuscirebbe ad intercettare il negozio internet point da cui è partita lemail. Se si chiedesse al gestore della posta da cui è partita lemail chi è in possesso di quellindirizzo di posta risulterebbe un nominativo non corretto, e lindirizzo IP (ammesso che il gestore di posta abbia effettuato un log dellindirizzo da cui è partita la richiesta di registrazione) del pc che ha creato lemail non sarebbe altro che ancora il famoso internet point di cui sopra; se linternet point fosse un gestore serio di accessi ad internet (come probabilmente è) si potrebbe risalire a quale delle 250 postazioni ha effettuato la richiesta di creazione della casella email, ma niente di più. - 1 -
Gianluca Ferrara Chiaramente, una semplice email non può nuocere a nessuno più di tanto né creare alcun tipo di problema reale. Poniamo però il caso che io, invece di scegliere uno dei 250 pc presenti in sala, avessi optato per il mio portatile personale, aumentando il budget per questa impresa da 2 a 5. Allora, con un internet scanner, sempre in maniera del tutto anonima, sarei potuto andare alla ricerca di porte aperte, trojan installati o altro nei pc in internet, senza che nessuno potesse in qualche maniera risalire a me. Con un semplicissimo SMTP server installato sul portatile, avrei potuto inondare di email un singolo utente o migliaia di utenti, creando il più semplice degli attacchi possibili. Forse, se fossi stato un malintenzionato, avrei potuto diffondere worm o virus nella rete, senza che nessuno riuscisse a capire chi sono. Avrei potuto utilizzare tools gratuiti e semplici tipo Nessus per portare oltre 1200 attacchi diversi più o meno potenti alla rete. Avrei potuto chattare con chiunque senza che si potesse risalire a me, avrei potuto telefonare via web a chiunque in maniera del tutto anonima, senza il rischio di un controllo o altro. Se fossi stato un patito di musica o video, se linternet point non ha misure di prevenzione in merito, avrei potuto scaricarmi comodamente, alla velocità della della fibra ottica (come recita una pubblicità di uno di questi Internet Point), filmati o canzoni da siti P2P, alla faccia di decreti e leggi più o meno condivisibili. Il tutto a 5 euro, nel centro di Roma, nellora di punta, con altri 250 perfetti sconosciuti in 800mq di spazio. Inutile dire poi che esistono altri mille modi per rendere ancora più sicuro il mio anonimato in rete, e mille altre cose che si potrebbero fare in maniera anonima, non esattamente legale, sul web; esistono dei siti che permettono la navigazione anonima passando per loro; basta digitare ad esempio http://www.anonymizer.com per trovarsi a navigare in maniera anonima sul web. Se si è un po più preparati, con lutilizzo di un proxy anonimatizzante (tipo squid) fornito da molti anonymizer site e Stunnel (per criptare le informazioni tra voi e il proxy) potete navigare sul web in maniera del tutto anonima e, ancora una volta, legale. Stesso discorso ovviamente per la posta, con un semplice remailer anonimo che vi potrebbe consentire di nascondere la vostra identità come mittenti. Se tutto questo si può fare addirittura da un punto di accesso libero e anonimo, capite che le possibilità di rintracciare qualcuno sulla rete che vuole nascondersi diventano pressochè nulle. Discorso a parte merita la possibilità di riuscire a sfruttare buchi di sicurezza di alcune reti per accedere ad internet senza il consenso del detentore del collegamento; esistono semplicissimi portachiavi che indicano se si è in presenza di reti wireless raggiungibili pigiando un bottone (29 ); se la rete in questione non dovesse essere dotata delle misure di sicurezza adatte, ci si potrebbe tranquillamente collegare ad internet sfruttando la connessione altrui. Io stesso mi sono trovato tempo fa in una clinica, con il mio inseparabile portatile dotato di connessione wifi, ed ho scoperto che esisteva una rete wifi non protetta; lascio immaginare a voi le conseguenze che potrebbero scatenarsi in situazioni del genere. Senza andare troppo lontano, in molti aeroporti sono disponibili terminali per laccesso ad internet ed aree di accesso wifi; stesso discorso per fiere, convegni, ecc. ecc. A Roma, ad esempio, sarebbe facilissimo connettersi ad internet per un anno intero ogni giorno da un posto diverso, tutti anonimi e tutti irragiungibili in maniera del tutto legale. - 2 -
8113 5092 7332 Mi chiedo se laccesso ad internet non debba invece essere disciplinato e regolato da misure precise che vadano ad individuare in maniera univoca e precisa ogni utente collegato alla rete, responsabilizzando e sensibilizzando tutti i soggetti detentetori di collegamento ad Internet; se la rete fosse solo utilizzata per giochi online o ricerca di informazioni di vario genere forse la situazione attuale potrebbe anche essere accettabile; ma se la mia banca mi consente di operare da casa con un collegamento online, il mio negozio preferito mi offre la possibilità di comprare on line materiale, la società della mia carta di credito mi chiede di controllare il mio conto on line e così via, allora forse sapere che nella stessa rete ci sono anche soggetti anonimi (volenti o nolenti) non facilmente rintracciabili mi lascia almeno un senso di perplessità addosso. Tornando a casa mi collego ad internet dal mio computer e vado sul sito del gestore di posta della famosa prova di anonimato; mi creo una nuova casella di posta, questa volta con il mio nome e cognome, e al momento di scegliere la password scrivo : 8113 5092 7332 Ho lasciato una traccia che può ricondurre a me; mi sento improvvisamente più tranquillo. - 3 -
Gianluca Ferrara Note - 4 -