skip to main | skip to sidebar
28 commenti

Google Street View ha sniffato password e mail via Wifi

Wifi e Street View, Google ha sniffato troppo


Ricordate la polemica a maggio di quest'anno intorno alla scoperta che le automobili di Google Street View, il servizio che permette di percorrere virtualmente le strade delle città del mondo, avevano raccolto i dati trasmessi dagli apparati Wifi non cifrati di privati e aziende in più di 30 paesi?

Google aveva dichiarato che la raccolta, finalizzata a catalogare identità e posizione delle reti Wifi per i propri servizi gratuiti di localizzazione, era stata effettuata in modo errato ma comunque poteva riguardare "normalmente... solo frammenti" di dati, perché le sue auto si spostano continuamente, uscendo quindi rapidamente dal raggio d'azione della singola rete Wifi, e i ricevitori installati nelle auto di Google "cambiano automaticamente canale circa cinque volte al secondo".

Successivamente è emerso che in quei "frammenti" di dati ci sono password ed e-mail degli utenti, secondo l'ente francese CNIL (Commission nationale de l’informatique et des libertés), che ha avuto accesso ai dati raccolti da Google. E c'è una domanda di brevetto, depositata da Google a novembre del 2008, che può essere interpretata come un tentativo di brevettare proprio questo genere di raccolta ed analisi di dati Wifi, secondo i legali di una class action avviata negli Stati Uniti contro Google da un gruppo di utenti che temono di essere stati intercettati. Google dice che il brevetto non ha nulla a che vedere con lo sniffing (intercettazione) di pacchetti Wifi.

La situazione è molto confusa: le autorità irlandesi, austriache, britanniche e danesi hanno chiesto a Google di cancellare i dati raccolti in quei paesi (cosa che Google ha fatto in presenza di verificatori indipendenti), ma altri stati, come Germania, Spagna, Francia, Belgio, Nuova Zelanda, Italia e Svizzera, hanno chiesto di conservarli per un esame. E altri ancora, come l'Australia, devono decidere che fare, mentre negli Stati Uniti ci sono varie iniziative a livello dei singoli stati e a livello federale. C'è ancora da capire se sia stato commesso un reato secondo le leggi vigenti nei singoli paesi e nell'Unione Europea.

Google ha pubblicato un rapporto, redatto da una società di sicurezza, che getta luce sul funzionamento del software di sniffing utilizzato dalle auto di Street View e sembra confermare che l'intercettazione ha riguardato soltanto i dati che venivano trasmessi dai sistemi Wifi degli utenti in forma non cifrata e non protetta. Questo significa che quei dati erano intercettabili da chiunque e che gli utenti sono responsabili di non aver rispettato le regole fondamentali della sicurezza delle reti senza fili.

Cosa deve fare un utente preoccupato? Innanzi tutto cifrare la propria rete Wifi usando le apposite funzioni descritte nel manuale degli apparati di rete, e poi cambiare le proprie password. Naturalmente, se l'utente ha la propria casella di posta su Gmail o ha un account per altri servizi di Google, cambiarne la password potrebbe essere una misura lievemente superflua.

Fonti: Infoworld, Ft.com, Punto Informatico, NY Times, The Register.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (28)
Primo! :P
(va bene, va bene, non si vince nulla, ma non capita spesso... sono malato, lo so)
Toglimi una curiosità, Paolo, ma "sniffare" in quest'articolo può essere interpretato diversamente? :) Me lo chiedo soprattutto per il sottotitolo, mentre il titolo mi resta criptico... se non l'ha fatto via Wifi, a cosa ti riferisci?
Non mi è chiara una cosa, come hanno fatto a sniffare password se praticamente tutti i siti minimamente importanti ridirezionano il login su https://? Non riesco a pensare a qualche servizio che spedisca login in chiaro! (a parte FTP, o se si usano i protocolli di posta senza TLS).
@SysReg, lo sniffig di dati può anche esserefatto non via WiFi, per esempio anche si rete cablata o direttamente dal pc vittima tramite cavalli di troia e simili software.
@FenderJazz se non sbaglio, connettendosi via client di posta elettronica ad un server POP3 / SMTP / IMAP sulle porte 110, 25, 143, le password non vengono crittografate.
> se non sbaglio, connettendosi via client di posta
> elettronica ad un server POP3 / SMTP / IMAP sulle
> porte 110, 25, 143, le password non vengono
> crittografate.

POSSONO esserlo anche su connessioni in chiaro, ma nessuno lo fa e comunque il resto del payload passa in chiaro.

E TLS lo usano in pochi....

Quando ho provato a forzare gli utenti ad usare la crittografia è stato un bagno di sangue.

Ci riproverò, comunque....
Bah, semplicemente ridicolo.
Quei dati sono stati intercettati quando passava l'automobile di Google.
Ma l'automobile seguiva un suo percorso e si spostava di zona in zona raccogliendo frammenti di comunicazioni sostanzialmente inutili.
Se avesse voluto veramente raccogliere informazioni avrebbe dovuto mantenere una posizione fissa e non muoversi per un bel po' di tempo.
Sono d'accordo che i dati sono da distruggere e che il sistema non deve essere in grado di registrare questo tipo di comunicazioni, ma, allo stato dei fatti, mi sembra un problema del tutto irrilevante.
abbastanza d'accordo
OT: finalmente sono tornati i gatti!
:-)
Sai quanti se ne trovano di reti aperte? Ce n'era uno che sta intorno all'ufficio di omissis, al quale a suo tempo gliela chiusi ed è rimasta con le pwd che IO avevo messo a tutt'ora... Questo vuol dire che ha un router wireless ma lui lo usa cablato... Quando ho acceso il portatile aveva la rete aperte e la pwd di default sul router... Se fossi stato un malintenzionato avrei potuto salvarmi tutto il contenuto del suo HD o mettermi a fare il man in the middle... Gli ho voluto MOLTO bene...
Quindi uno passa per strada, becca frammenti di max 5 secondi di wifi aperto con dati aperti sopra, incluse password aperte, e ci si lamenta della cosa? Quando questo significa che chiunque puo' essere passato di li' con intenzioni molto piu' ostili ed averti svaligiato il conto in banca senza che tu neppure lo sappia (fino all'estratto conto)?

COme dire, semino banconote per strada pensando di passare a raccoglierle più tardi, tanto non passa mai nessuno, uno ne raccatta una e me la porge gentilmente e io mi incazzo perché avrebbe potuto rubarmela?
ma la gente che mette in giro queste cose sa come funzionano almeno un po le reti senza fili e le reti in generale? sono intercettazioni di pochissimi istanti di reti NON PROTETTE... pochi pacchetti TOTALMENTE INUTILI... se non qualche rarissimo caso fortunato... (raro al pari di trovare un quadrifoglio in una campo di 40 centimetri quadrati XD)

un allarme e un attacco alla grande G per nulla...
Non sono d'accordo con i commenti precedenti. Se io lascio l'auto aperta non vuol dire che i ladri sono legittimati a rubarla. Il furto e' reato, sia quando la vittima prende delle precauzioni sia quando stupidamente non fa nulla.

Sul fatto di "trovare un quadrifoglio in una campo di 40 centimetri quadrati". La differenza e' che Google Street View ha mappato una zona leggermente piu' estesa di 40cm^2.
Per Fra

Non sono d'accordo con i commenti precedenti. Se io lascio l'auto aperta non vuol dire che i ladri sono legittimati a rubarla. Il furto e' reato, sia quando la vittima prende delle precauzioni sia quando stupidamente non fa nulla.

So che il ladro godrà delle massime attenuanti, e se l'auto è assicurata contro il furto, l'assicurazione non paga.
x Accademia dei pedanti

Guarda che e' esattamente il contrario. L'auto aperta e' un'aggravante (si chiama "esposizione a pubblica fede", aggravante speciale nei casi di furto).
Per Fra

Guarda che e' esattamente il contrario. L'auto aperta e' un'aggravante (si chiama "esposizione a pubblica fede", aggravante speciale nei casi di furto).

Non proprio: esposizione a pubblica fede, art. 625 n. 7 del codice penale, significa solo che un bene privato si trova, per esigenze connaturate al suo uso, esposto in un luogo pubblico non custodito: nel caso di un'auto, la pubblica via; nel caso di merci, negozi e supermercati nell'orario di apertura.
Per inciso, ci sono sentenze contrastanti in merito: la Corte di Cassazione ha sancito che tale aggravante non sussiste nel caso di una bicicletta priva di lucchetto (sez. V, 17 gennaio 2006, n° 8450), e che invece sussiste nel caso di un'auto lasciata con le portiere aperte e le chiavi inserite (sez. II, 9 novembre 1988, e pure sez. III, 8 maggio 2007). Sono pazzi questi giudici di cassazione! :-)

Chissà come si muoveranno nel caso di dati carpiti dalle reti Wi-fi: sono più simili a una bicicletta senza lucchetto o a un'auto aperta con le chiavi nel cruscotto?
In entrambi i casi e' reato (con aggravante o meno).

Certamente il fatto che le vittime siano ingenue o indifese non e' una attenuante (e chi non ha competenze informatiche non e' stupido ne' ingenuo ma solo indifeso). Altrimenti dovremmo giustificare i tassisti che truffano i turisti stranieri, chi malmena o raggira i bambini, chi truffa gli anziani, etc.
Per Fra

In entrambi i casi e' reato (con aggravante o meno).

Mai detto il contrario.
L'analogia fra sniffare i dati Wi-fi e il furto è abbastanza debole, carpire dati altrui non comporta un aumento della bolletta per l'intestatario, e se questi dati non vengono usati per operazioni dubbie, non provoca alcun danno diretto all'utente: solo, forse, una lesione della privacy. Un furto toglie sempre qualcosa, anche senza valore.

Certamente il fatto che le vittime siano ingenue o indifese non e' una attenuante (e chi non ha competenze informatiche non e' stupido ne' ingenuo ma solo indifeso). Altrimenti dovremmo giustificare i tassisti che truffano i turisti stranieri, chi malmena o raggira i bambini, chi truffa gli anziani, etc.

Anzi, sono aggravanti.
Io però non riesco a provare alcuna forma di solidarietà per chi lascia accessibile a tutti la propria connessione Wi-fi; vari commenti su articoli analoghi suonavano: "Non sai usare il computer? Lascia perdere!". E io approvo.
Io però non riesco a provare alcuna forma di solidarietà per chi lascia accessibile a tutti la propria connessione Wi-fi; vari commenti su articoli analoghi suonavano: "Non sai usare il computer? Lascia perdere!". E io approvo.

No, io proprio questo non approvo. I deboli a maggior ragione vanno tutelati. E in questa storia "debole" e' chi ha bisogno di usare internet (ad esempio per comprare un biglietto aereo senza pagare 40 euro di diritti di agenzia) e non si intende di protocolli di rete.

In ogni caso io non parlo di solidarieta' o compassione, ma di far rispettare la legge. Google si e' appropriata indebitamente di informazioni potenzialmente sensibili riguardanti milioni di persone. L'accesso abusivo ad un sistema informatico, la violazione della privacy, il fatto di aver prelevato i dati senza informare gli interessati (norme di trasparenza), sono tutti reati penali. Indipendentemente dal fatto che le connessioni fossero aperte o protette.
Per Fra

...il fatto di aver prelevato i dati senza informare gli interessati (norme di trasparenza), sono tutti reati penali. Indipendentemente dal fatto che le connessioni fossero aperte o protette.

Tu quoque, Fra? Reati penali non esiste! Reati.
Le indagini sono ancora in corso, ma par di capire che se le connessioni fossero state protette, Google street view non sarebbe mai venuto in possesso di dati illeciti: le sue finalità erano ben diverse. Si tratta di una lesione della privacy colposa, ancorché punibile.
però il segnale radio usato come strumento di comunicazione privato si può espandere anche in casa mia..

faccio un esempio: il vicino ha una rete wireless NON crittografata: rete che probabilmente verrà usata da tanti scrocconi :) io mi piazzo nella mia casetta e mi sniffo tutti i dati che gli scrocconi fanno viaggiare in questa rete... password, carte di credito, cazzi und mazzi, eccetera, tutto quello che riesco a estrapolare

faccio un abuso? in fondo 'sta roba l'ho trovata in casa mia...
Per theDRaKKaR

...io mi piazzo nella mia casetta e mi sniffo tutti i dati che gli scrocconi fanno viaggiare in questa rete... password, carte di credito, cazzi und mazzi...

TheDrakkar, hai studiato nei collegi femminili dalle suore orsoline di un tempo. E perdindirindina, questo è un weblog per famiglie!
La cosa si fa interessante... se "i dati del vicino" entrano nella mia casa, caso mai disturbando la mia rete wi-fi configurata correttamente un anno prima, ma disturbata dal "c+-ti+o" di turno, sono io che commetto un reato o è il mio vicino?

Ma soprattutto la domanda da farsi su questo caso è: "Come mai stati come Germania, Spagna, Francia, Belgio, Nuova Zelanda, ITALIA e Svizzera, hanno chiesto di conservarli per un esame? Qui c'è puzza di intercettazione!!!
Ciao Paolo,volevo segnalarti che non è solo google ad aver violato questi dati.C'è stato già chi ha fatto "un censimento digitale" ANCHE dei dati wi-fi (oltre che dati gsm,gps).Lo dico da diretto interessato in quanto ho partecipato alla raccolta.. L'azienda in questione è SKYHOOK WIRELESS che ha praticamente censito tutte le maggiori città del mondo (o almeno quelle delle nazioni a cui ha avuto libero accesso..).Qui maggiori info: http://www.skyhookwireless.com/howitworks/coverage.php
Se vuoi maggiori info o doc in merito contattami pure,sono a tua gratuita e completa disposizione.
Con stima, un lettore affezionato
Segnalo la notizia di oggi: il garante per la privacy Francesco Pizzetti ha imposto al servizio Google street view di annunciare ai cittadini luogo e data in cui passeranno le automobili per le vie.

http://tinyurl.com/2wjwohr

L'avviso dovrà comparire sulle pagine di cronaca locale di almeno due quotidiani ed essere letto da un'emittente radiofonica locale.
Non sarà un po' eccessivo?
Qui il provvedimento,notevole la premessa:
6 vista/viste
12 considerato/e
5 ritenuto/a
4 rilevata
1 tenuto conto
2 riservato/a

E qui il comunicato stampa

Ciao
VB
Per ValterVB

Qui il provvedimento,notevole la premessa:
6 vista/viste
12 considerato/e
5 ritenuto/a
4 rilevata
1 tenuto conto
2 riservato/a


Quante storie, un po' di burocratese. Quando io scrivo all'amministrazione pubblica faccio lo stesso, e riesco a superarli in quanto a stile involuto.
Quante storie, un po' di burocratese

Una delle tante palle ai piedi di questo paese.

Mi viene in mente il classico confronto impietoso tra l'uso anglosassone e quello italiano...
@ Drakkar:

dillo