P2P/privacy/sicurezza

P2P: il vero nemico della privacy

http://www.flickr.com/photos/cloppy/276540410/

Riprendendo il discorso sull’importanza dei client nella messa in sicurezza di una rete va evidenziata l’importanza delle applicazioni P2P che contribuiscono in almeno due maniere all’insicurezza di un host:

  • vulnerabilità insite nell’applicazione
  • misconfigurazione e/o utilizzo non consapevole

Inoltre c’è da evidenziare anche il fatto che le reti P2P di nuova generazione sono difficilmente individuabili e isolabili.
Oltre a questo bisogna prendere in considerazione tutte le problematiche relative alla violazione dei copyright e all’utilizzo indiscriminato della banda (data la sua natura il P2P, se non limitato, in breve tempo prende possesso di gran parte della banda disponibile).

E` interessante soprattutto il secondo aspetto riguardante la non configurazione delle applicazioni P2P. Il problema è che queste applicazioni vengono spesso installate e configurate da utenti che ignorano completamente i concetti base delle reti e le minime misure di sicurezza. Spesso viene mantenuta la configurazione di default che in genere è molto permissiva per permettere il funzionamento in gran parte delle situazioni possibili, altre volte viene azzardata una configurazione che se è possibile peggiora ancora di più la situazione.

Uno dei misfatti più comuni è la condivisione dell’intero disco o di intere cartelle come Documenti e simili. E` di poche settimane fa lo studio della Tiversa Inc. che ha rilevato che sulla rete Limewire, ma non solo, sono in condivisione una gran quantità di documenti riservati del governo statunitense messi in condivisione da impiegati dei vari enti e agenzie.
Il CEO del Lime Group sottolinea che spesso queste condivisioni oltre che inconsapevoli sono anche involontarie in quanto indotte da malware nascosto, scaricato insieme a file regolari, che ha la funzione di indicizzare l’intero hard-disk.

Per curiosità ho fatto delle prove utilizzando le reti eDonkey, Slsk e Gnutella e in meno di mezz’ora di ricerca il risultato è stato allarmante, ho individuato:

  • hard-disk di una macchina interna alla rete del comune di Firenze interamente condiviso; e quindi archivi, lettere, incarichi, deleghe, appalti e dati personali in grande quantità;
  • cartella documenti condivisa di un commercialista di Milano con tanto di bilanci, contratti, bonifici, lettere a banche e Ministeri vari, estratti conto di clienti che ignorano che i loro dati sensibili circolano liberamente per la rete;
  • intero hard-disk di un’azienda agricola di Taranto completo di fatture, dati sui clienti, contratti e dati di conti bancari.

Oltre a ciò viene fuori una grande quantità di coppie username/password di account email e di forum ma anche dati relativi a conti correnti online (c’è chi è stato capace di salvare i propri dati bancari in un file dal nome FileImportante-Dati-PostePay.txt) e dati personali (copie di carte d’identità, tessere sanitarie, codici fiscali, passaporti…). E ancora:

  • file di configurazione dei browser web che ora permettono anche di salvare le password (non sono in chiaro ma facilmente decifrabili);
  • file di configurazione di client IM/IRC con tanto di log e password;
  • interi archivi email;
  • copie di backup di siti internet con tanto di database contenente dati (email, numero di CC) degli utenti iscritti.

Insomma data la diffusione del P2P la situazione non è confortante. Vista la natura del problema la soluzione deve prevedere contromisure tecniche e soprattutto contromisure comportamentali. Senza entrare nei dettagli, per chi gestisce grandi reti (università, biblioteche, enti pubblici, etc.) vista l’importanza dei dati in ballo le contromisure devono essere drastiche: oltre a bloccare (nei modi e nelle misure possibili) il traffico P2P occorre definire una politica rigida sull’installazione di software e bisogna educare i propri utenti alla sicurezza.
Gli utenti domestici, a cui nessuno può negare l’utilizzo di applicazioni P2P, invece devono prendere coscienza dei rischi a cui vanno incontro con un utilizzo security-free del P2P.

Lascia un commento

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...