CRITTOGRAFIA….un po’ di storia

Si tratta di un argomento che come me affascina migliaia di persone sperse per il mondo. Innanzitutto la parola stessa crittografia deriva dall’unione di due parole greche: kryptós (nascosto) e gráphein (scrivere); in sostanza la crittografia si riferisce alle “scritture nascoste”, quindi ai metodi per rendere un messaggio “offuscato” (il c.d. crittogramma)in modo da non essere comprensibile a persone non autorizzate a leggerlo, che non sono in quanto tali in possesso del codice di crittazione.

La crittografia ha origini antichissime e mi sembra interessante fare qui riferimento ad alcuni ceni storici su questa tecnica antica quasi quanto l’uomo. Infatti già gli ebrei facevano ampiamente uso di precisi codici per tenere nascosti i loro messaggi più riservati, come il codice atbash. Si tratta questo di un cifrario a sostituzione monoalfabetica in cui la prima lettera dell’alfabeto è sostituita con l’ultima, la seconda con la penultima, e così via

Nell’attuale alfabeto italiano, questo significa:

Testo in chiaro: a, b, c, d, e, f, g, h, i, l, m, o, p, q, r, s, t, u, v, z

Testo in chiave: Z, V, U, T, S, R, Q, P, O, N, M, L, I, H, G, F, E, D, C, B, A

Il sistema spartano di comunicazione dei messaggi segreti era invece la scitala (piccola bacchetta in legno). Il messaggio veniva scritto su di una striscia di pelle arrotolata attorno alla scitala. Una volta srotolata e tolta dalla scitala era impossibile capire il messaggio riportato sulla striscia di pelle; la decifrazione era possibile solo se si aveva una bacchetta identica alla scitala del mittente: vi si arrotolava nuovamente la striscia di pelle ricostruendo la primitiva posizione. Questa tecnica spartana costituisce il più antico metodo di crittografia per trasposizione attualmente conosciuto.

Ma il più noto cifrario dell’antichità è senz’altro quello di Cesare, nato per proteggere un messaggio segreto rivolto a Cicerone. Il cifrario di Cesare è sicuramente il più antico algoritmo conosciuto; si tratta di un cifrario a sostituzione monoalfabetica, per cui ogni lettera del testo in chiaro è sostituita nel testo cifrato dalla lettera che si trova un certo numero di posizioni dopo nell’alfabeto (3 posizioni in quello di Cesare).

Lo schema era pertanto il seguente:

Testo in chiaro: a, b, c, d, e, f, g, h, i, l, m, n, o, p, q, r, s, t, u, v, z
Testo cifrato: D, E, F, G, H, I, L, M, N, O, P, Q, R, S, T, U, V, Z, A, B, C

Ecco un esempio di messaggio cifrato:

Testo in chiaro: stasera aperitivo da Giorgio
Testo cifrato: VZDVHUD DSHUNZNBR GD LNRULNL

Ma in conclusione è bene ricordare quanto sostenuto da Kerckhoffs nel suo libro del 1883 “La Cryptographie Militaire”:

“La sicurezza di un crittosistema non deve dipendere dal tener celato il crittoalgoritmo. La sicurezza dipenderà solo dal tener celata la chiave.“

Privacy e Password

Volendo affrontare il tema della privacy e della sicurezza sotto un diverso punto di vista ritengo interessante soffermarsi su di un argomento che per certi versi puo risultare banale ma che risulta necessario proprio per il nostro crescente bisogno di sicurezza: le password. Con la crescita esponenziale di servizi offerti dalla rete(mail, chat, forum, e-banking, acquisti on-line e chi più ne ha più ne metta!!!!) aumenta il numero di password che dobbiamo creare e di conseguenza ricordare!

Ognuno di noi utilizza password che definire banali sarebbe riduttivo: nomi di familiari, date di nascita, nome del proprio animale domestico, sport preferito o ancora più scontato la propria squadra del cuore !!!Evitare di utilizzare questo tipo di password sarebbe quantomeno opportuno dato che sono argomenti di cui tutti parliamo con amici, conoscenti o peggio ancora nelle chat e nei propri blog. é anche vero che inventarsi ogni giorno nuove valide password non e’ facile!!!

Navigando in vari blog ho scoperto che esistono appositi software in grado di generare password casuali semplicemente impostando la lunghezza della password, la composizione(alfanumerica, solo numerica, solo alfabetica), l’ utilizzo o meno dei caratteri speciali (@ / ! ? < ^ …); l’ utilizzo delle lettere maiuscole e minuscole.Tra i tanti in circolazione vengono citati in particolare Password generator (programma gratuito ed Open Source per tutti i sistemi operativi Windows) e Quicky Password Generator

.

Entrambi i software, inoltre, sono in grado di esportare le password, generate anche grazie a dati random che sono forniti dall”utente con il semplice movimento del mouse, in un file di testo da stampare e conservare gelosamente in un luogo sicuro…….con la speranza che una password del tipo Hsq43zRT?43a^p offra maggiori garanzie di un Ciro1984

La localizzazione del cellulare

Si tratta di una tematica che considero piuttosto interessante che si ricollega sempre all’amato discorso relativo alla privacy e di quanto siamo siamo esposti nel momento in cui facciamo uso di internet o cellulari. Ricollegandomi a quanto scritto sotto (“Il volto dell’IP”) vorrei porre l’attenzione su uno strumento ormai diffusissimo quale il telefono cellulare.

Spulciando qua e là su vari siti internet e blog ho raccolto molte notizie interessanti per quanto riguarda la localizzazione delle persone tramite il cellulare, nonchè alla possibilità di intercettazione di chiamate, il tutto acquistando semplici “microspie GSM” o scaricando software spesso grautiti. Tutto quello che fino a qualche anno fa era prerogativa esclusiva delle forze dell’ordine, ora sembra ormai alla portata di tutti…quindi, non solo scovare criminali ma anche controllare gli spostamenti del proprio/a partner per qualche persona eccessivamente gelosa…

Ad esempio I.Amhere è un servizio su web per una localizzazione geografica in tempo reale tramite l’utilizzo di un celluare con GPS. Ciò ha luogo sia tramite una registrazione in tempo reale del percorso dell’utente “controllato”, sia tramite una registrazione a posteriori dello stesso, inviato successivamente al sito.

Sono necessari alcuni requisiti, come un cellulare con windows mobile, un sistema GPS, una connessione internet sul cellulare e il sofware gratis GooMap (sender che si occupa di inviare i dati al servizio I.AmHere su internet).

Per qualche informazione più tecnica: http://www.tonycrypt.com/Sicur/Cell.htm

Il volto dell’IP

da flickr.com “Bl@ck Coffee”

Un dibattito piuttosto acceso che seguo da un po’ in rete e’ se l’IP sia o meno un dato personale.
L’Internet Protocol e’ un numero che rappresenta univocamente l’indirizzo dei computer presenti sulla rete. In altre parole e’ l’indirizzo di ogni nodo che, pero’, non rimane necessariamente uguale nel tempo.

Ricordate le connessioni 56k? Ad ogni connessione, ovvero ogni volta che si effettuava una chiamata al provider, ci veniva assegnato un IP differente (tant’e’ che il problema di allora erano i dialer) mentre oggi, con la diffusione dell’ADSL e della fibra ottica, gli indirizzi sono nella maggior parte dei casi statici.

Visitando il sito www.mostraip.it potrete scoprire un sacco di informazioni che riguardano la connessione, il computer e anche il browser che vi appartengono. Non male eh? Questo che vedete l’ho appena fatto:

Teniamo presente poi che queste sono le tracce piu’ elementari che lasciamo, semplici informazioni che hanno poca rilevanza. Non si discute che pero’ di informazioni si tratta. Nel mio caso: qualcuno/a che si connette dall’Italia, che ha acquistato un Mac e che preferisce Firefox ad Explorer.

La domanda se dunque l’IP sia da considerare come un dato personale e’ molto delicata. In ambito europeo e nazionale l’atteggiamento e’ in questa direzione, ma il trattamento e’ meno chiaro.

L’approfondimento devo pero’ rinviarlo, cosi’ come l’introduzione dell’IP spoofing.

da flickr.com “SMILING PUG”

Ma per finire inserisco un’immagine allegra, cosi’… dopotutto..che ci costa?

Roberto

Cookies

L’ultima volta il tema è stato il profiling degli utenti. Come gia’ detto quest’attivita’ puo’ avvenire implicitamente, senza che l’utente abbia necessariamente un ruolo attivo.
I cookie (letteralmente “biscottini”) sono piccoli file di testo che i siti web utilizzano per immagazzinare alcune informazioni appartenenti al computer dell’utente (fonte: wikipedia.org). I cookie trasmettono inoltre informazioni riguardanti il sito visitato e fanno in modo che il browser dell’utente sia in grado di riconoscerlo nelle visite successive, nelle quali infatti queste vengono nuovamente spedite al sito.
Le possibili applicazioni dei “biscottini” sono molteplici e tra queste ricordiamo ad esempio: memorizzare il login (cosi’ da evitare noiosi e ripetitivi inserimenti di login e password), personalizzare la home page (iGoogle ad esempio) e, ovviamente, tracciare il percorso del visitatore.

Ora, volendo scartare il qualunquismo del “tanto si sa che ci controllano” o cose di questo genere, a parer mio potrebbe essere molto interessante approfondire questo argomento.

Ad esempio e’ curioso scoprire che la gestione dei cookie non e’ completamente nelle mani degli utenti (ovviamente non mi riferisco ai piu’ esperti – da cui io disto anni luce). I browser controllano infatti la gestione dei cookie in toto e, se programmi open-source come Mozilla Firefox offrono maggiori possibilita’ di intervento, che dire del diffusissimo Internet Explorer?
Cosa fa dei cookie? Nessuno sa quali comandi esegue quando e’ in funzione, voglio dire, nessuno ha letto il sorgente di explorer…a parte gli sviluppatori, beninteso. Ok, sono un po’ paranoico, pero’…resta il fatto che di certo non si sa e non si puo’ sapere nulla di preciso.

Lo stesso quesito me lo pongo pensando a Google, che e’ il motore di ricerca piu’ famoso del mondo, che personalmente utilizzo e che mi offre iGoogle come home page, Gmail, Gcalendar, YouTube (si’, e suo) e chissa’ quant’altro ancora. Limitandoci a quanto dice wikipedia Google “spedisce un cookie che immagazzina dati riguardanti le ricerche, le parole chiave delle ricerche e le abitudini dell’utente”.

Percio’ ecco due nuove idee per i prossimi post: vorrei approfondire un po’ di piu’ il presunto potere di Google, cercando di escludere quanto piu’ possibile derive e deliri ossessivi. Ma, come si suol dire, daro’ un colpo al cerchio e uno alla botte, presentandovi Tor.

Roberto

Primi passi

Oggi voglio aggiungere un appunto per i lavori a seguire. Leggendo qua e la’ ho trovato il termine profilazione (profiling), ovvero quell’attivita’ di raccolta ed elaborazione di informazioni appartenenti ai navigatori allo scopo di generare la segmentazione dell’utenza in gruppi omogenei di comportamento.

I dati che sono interessati da quest’attivita’ sono vari, ma i piu’ importanti sono senz’altro quelli riguardanti (1) le scelte di navigazione effettuate dall’utente in uno specifico sito; (2) l’esplicita dichiarazione di preferenze e interessi eseguita tramite registrazione; (3) i dati demografici; (4) le risposte degli utenti identificati a promozioni particolari.
I risultati hanno molta importanza in ambito commerciale dato che attraverso opportune correlazioni possono fornire informazioni decisamente appetibili per le aziende. Ad esempio quali sono gli insiemi di contenuti maggiormente visualizzati dagli utenti su uno specifico sito (content affinities), o quali insiemi di contenuti sono tendenzialmente visti durante sessioni commerciali suggellate dall’acquisto e quindi dal successo (content effectiveness). Infine e’ possibile ricavare quali sono gli insiemi di prodotti che piu’ spesso vengono acquistati insieme (product affinities).

L’attivita’ di profilazione puo’ avvenire esplicitamente o implicitamente. Nel primo caso i dati vengono ottenuti tramite procedure di registrazione, in cui vengono compilati appositi moduli contenenti i dati personali dell’utente. Nel secondo caso viene tracciato il percorso di utenti anonimi durante la visita ad un sito (tramite IP o cookie).

L’attivita’ di profilazione e’ dunque una delle molteplici occasioni in cui agenti esterni e (potenzialmente) non riconoscibili facilmente dall’utente acquisiscono informazioni economicamente appetibili. Quali implicazioni per la privacy degli utenti, ovvero di tutti noi? Si tratta di paranoia oppure sara’ possibile riportare dubbi e quesiti fondati su solide ambiguita’ ?
Ecco pertanto la prima linea guida dei successivi post.

Roberto