skip to main | skip to sidebar
62 commenti

L’NSA raccoglie i dati di Microsoft SkyDrive. Se usate SkyDrive per i dati dei clienti, avete un grosso problema

Questo articolo vi arriva grazie alla gentile donazione di “stefano.bene*” e “antoniopri*”.

Mikko Hypponen di F-Secure ha tweetato oggi quest'immagine tratta dal nuovo libro di Glenn Greenwald, No Place to Hide (“nessun posto dove nascondersi”), che documenta con nuove informazioni quello che sta facendo l'NSA con i nostri dati.

Fondamentalmente, risulta che a partire da marzo 2013 il sistema PRISM raccoglie i dati di Microsoft Skydrive. Questo è il risultato, dice il testo, di “molti mesi di lavoro dell'FBI con Microsoft per stabilire questa soluzione di tasking e di raccolta”. In altre parole, non è che i servizi di sicurezza USA prendono i dati degli utenti da Microsoft Skydrive di nascosto e contro il volere di Microsoft. C'è una collaborazione consapevole da parte sua.

Se la vostra azienda, il vostro studio medico, il vostro studio legale gestisce informazioni passando tramite Skydrive (magari perché usate un Windows Phone), avete un problema: non potete garantire ai vostri clienti la riservatezza di queste informazioni. Questo potrebbe avere implicazioni legali non banali.

Diciamola com'è: un governo straniero ci spia in massa. Lo sospettavamo da tempo, ma grazie a Edward Snowden ora lo sappiamo in dettaglio e sappiamo quanto è vasta e pervasiva questa rete a strascico di spionaggio da parte di un paese “amico”. Vogliamo continuare a far finta che sia il problema di qualcun altro?
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (62)
In effetti come si risolverebbe il problema dal punto di vista della legge sulla privacy per un'azienda che usa SkyDrive o altri sistemi analoghi?

Posso indicare nell'informativa che uso SkyDrive.
Sicuramente dovrei indicarlo nel "Documento Programmatico per la Sicurezza dei dati (per fortuna non più obbligatorio: era l'apoteosi della burocrazia e che solo i burocrati, gente che non ha mai lavorato in un'azienda in cui si ottimizza tutto all'estremo e si contano pure i minuti per andare al cesso, potevano concepire). Ma poi dovrei nominare Microsoft responsabile del trattamento dei dati.
Immagino cosa ne farebbe Microsoft della mia lettera d'incarico.

E come farei con i dati sensibili? La normativa prevede la distruzione dei supporti quando i dati in essi contenuti non sono più necessari.

In questo caso cosa dovrei fare?

Lanciare un missile verso i datacenter Microsoft?

E quanto mi costerebbe un'operazione del genere?

Chi mi presterebbe un lanciamissili?

Sicuramente dovrei affittarne uno.

Forse la soluzione migliore è non usare mai questi servizi se non per contenere dati non riconducibili a qualcuno.
> Lanciare un missile verso i datacenter Microsoft?
> Chi mi presterebbe un lanciamissili?

Perché il missile già ce l'hai?

:-o
Non so in Svizzera ma la normativa italiana mi risulta essere restrittiva al punto che i servizi di archiviazione o di backup cloud i cui server siano collocati all'estero non possano essere impiegati per la gestione di dati sensibili. In altre parole il problema prima dell'accesso da parte dell'NSA (peraltro improbabile, a meno che non abbiano tre o quattrocento milioni di impiegati che non hanno nient'altro da fare che rovistare in una valanga di dati dal loro punto di vista irrilevanti) è che si è fuorilegge, e su un tema delicato.
Per inciso, qualcuno qui crede davvero che mettendo qualsivoglia dato su server altrui in una rete globale questi possano esser reputati al sicuro da occhi indiscreti? Fosse solo l'NSA il problema, ci farei la firma.
Detto questo la mia regola personale è battersene, tanto se c'è qualcuno che tiene a te in un modo o nell'altro ti frega. Meglio se rovista nei server di MS piuttosto che nel mio ufficio.
Ho messo delle trame di GdR su skydrive.. Uhm... rischio che i Fed vengano a suonarmi il campanello?
Ora, non so se nel contratto d'uso di skydrive si faccia cenno alla riservatezza dei dati, in caso affermativo si tratta di una palese violazione (da parte loro) della licenza, cosa per cui probabilmente possono essere denunciati. Sulla custodia dei dati sensibili invece.. in quanto tali non bisogna memorizzarli su supporti non raggiungibili fisicamente.
Fx,

la mia regola personale è battersene

Quest'indifferenza è la migliore alleata di ogni forma di sorveglianza governativa.

Se questo è il tuo atteggiamento, dovresti avvisare i tuoi (eventuali) clienti che te ne freghi della loro privacy e della loro sicurezza.
Domanda, magari lo spieghi nel video ma... strategie per evitare di farsi spiare, a parte non mettere niente di compromettente online?
E' da quando ho visto "Nemico pubblico" (quello con W. Smith e G. Hackman) che ho cominciato a prendere in seria considerazione l'ipotesi che la privacy fosse solo una chimera. Distopico? Nel 1998 si. Oggi triste realtà.
@Donato
Perché il missile già ce l'hai?

No, ma se ce l'avesse la Microsoft sarebbe perfetto. Glielo chiederei in prestito con l'impegno di... restituirglielo quanto prima. :-)
I complottisti direbbero che :
Se gli utenti volontariamente inseriscono dati sulla rete,
che poi non si vengano a lamentare della privacy.
Daltra parte basta accettare l'EULA per acconsentire a tutto e di più.
I complottisti direbbero che :
Le varie "Agenzie" sono interessate anche a violare
i sistemi chiusi, cioè senza connessioni con l'esterno.
E probabilmente in questi casi si impone al mercato di vendere solo
periferiche che abbiano wireless e backdoor embedded nel silicio,
oppure aree riservate di memoria accessibili solo con alcune
chiavi crittografiche nascoste.
I complottisti direbbero che :
Si può realizzare l'hardware sicuro ? certamente si.
Lo si vuole realizzare ? sicuramente no.
I profitti generati da virus e antivirus, pisching,
hardware crakkato, hard disk malfunzionanti,
periferiche riflashate da remoto,
fruttano milioni di dollaroni all'anno.
Inoltre pensiamo all' effetto strategico di bloccare
milioni di PC solo con un comando wireless da satellite.
Neanche la più potente pompa atomica sarebbe capace
di fare altrettanto.
Refuso: rete a strascio.
Applichiamo questa cosa alla realtà italiana.

Non è che siccome Glenn Greenwald scrive nel suo libro che la NSA accede a SkyDrive allora automaticamente le aziende che utilizzano SkyDrive violano le leggi sulla riservatezza.

Perché succeda questo l'affermazione di Greebwald deve essere accertata dalla magistratura.

In altre parole un cliente dovrebbe portare in giudizio la ditta che usa SkyDrive, la Microsft e la NSA.

Quando comincia il processo chiamatemi, perché sono un tantinello interessato.

Per ora, però, a parte la paura abbastanza remota di essere citato in giudizio per conservare dati di clienti su SkyDrive (ripeto: chiamatemi) altre implicazioni legali non ce ne sono.

Ce ne sono di pubbliche, nel senso che davanti a una affermazione del genere, ben documentata, molti potrebbero (e dovrebbero) abbandonare il servizio.
Paolo, hai risposto all'utente Fx:
"Se questo è il tuo atteggiamento, dovresti avvisare i tuoi (eventuali) clienti che te ne freghi della loro privacy e della loro sicurezza."

Paolo, non puoi sempre rigirare il discorso come ti pare, probabilmente per dare maggior peso alla notizia.
L'utente Fx ha premesso la restrizione dei dati sensibili collocati su server al di fuori del territorio nazionale. E' questo il punto centrale della questione. Nel momento in cui depositi dati altrove stai già mostrando i primi segni di quello che tu definisci menefreghismo.

Inoltre l'utente Fx ha pienamente ragione riguardo al fatto che nel momento in cui collochi dati sensibili su un server, nazionale, estero o extraterrestre, nessuno al mondo può garantirti che questi dati non saranno violati da esseri umani o da software di analisi come nel caso di Google Drive e via discorrendo.

Se usi questi servizi per co tenere dati sensibili che non siano criptati magari anche più di una volta e da sistemi diversi sei un pollo. Io uso g drive per foto e poco altro, qualche file word ( versione google) e qualche foglio di calcolo altro sta in una nas accesa solo quando serve e non connessa a internet se si leggono i dati forse ricavano che sono un capo scout e le date e i posti dove far passare il satellite per spiarmi ma altro nulla. Se mi avvertono posso pure fare ciao ciao con la manina...
Se usi questi servizi per co tenere dati sensibili che non siano criptati magari anche più di una volta e da sistemi diversi sei un pollo. Io uso g drive per foto e poco altro, qualche file word ( versione google) e qualche foglio di calcolo altro sta in una nas accesa solo quando serve e non connessa a internet se si leggono i dati forse ricavano che sono un capo scout e le date e i posti dove far passare il satellite per spiarmi ma altro nulla. Se mi avvertono posso pure fare ciao ciao con la manina...
e ovviamente, al solito, l'articolo cita solo MS.
ma ricordiamo che, QUALUNQUE società DEVE consegnare QUALUNQUE COSA il governo chieda.
NSA chiede? loro sono più che obbligati a consegnare.
In italia non cambia molto: la magistratura chiede? le società DEVONO consegnare. TUTTO: dai tuoi SMS, alle tue chat, alle tue mail, navigazione, passaggio ai caselli. TUTTO.
Paolo: sul discorso privacy e sicurezza, non è una novità, abbiamo due visioni completamente diverse. Partiamo da due punti di vista differenti, e ciò dipende anche dalle rispettive professioni. Perdonami se sono un po' brusco ma tu le vedi dall'esterno; hai il merito di avere una preparazione tecnica adeguata per affrontare le questioni che tratti ma dal mio punto di vista manca il quadro complessivo.
Faccio un parallelo per spiegarmi. Sicurezza in automobile. Certo, le cinture, il telaio a deformazione programmata, i 18 airbag, il seggiolino con isofix, la frenata assistita, l'abs, l'esp, eccetera. Prendiamone uno per esempio. Tu mi dici quanto fa e quanto è importante l'isofix, per me l'isofix è una sega mentale se poi il genitore lascia che il bambino, quando si addormenta nel seggiolino, si accasci di lato rendendo praticamente superflua la cintura. Così come lo è l'esp, se poi il conducente al primo imprevisto si fa prendere dal panico, sbaglia manovra e finisce nella scarpata.
In altri termini quello che rilevo è che manca la visione complessiva della "filiera", per arrivare a preoccuparmi dell'NSA significa che tutti i passaggi precedenti sono stati verificati, risolti e certificati. Partiamo da te che vai al bagno e lasci il computer aperto sul tuo account, alla sicurezza fisica del computer e di tutta l'infrastruttura di rete, alla certificazione che non ci siano altre persone che hanno accesso alla rete che possano tirare giochi mancini, alla sicurezza informatica del computer (altra risata), alla sicurezza che l'operatore non caschi in trappole di ingegneria sociale (ridiamo di nuovo), eccetera eccetera E ANCORA NON SIAMO USCITI DALL'UFFICIO! Pensa te poi tutto quello che c'è dietro.
E poi tutto questo per cosa? Per difenderci dall'hacker che ci vuole fregare la carta di credito? No, dal governo. A parte che vorrei vedere quanti medici direbbero di no a agenti della NSA che si presentassero nello studio chiedendo di vedere la cartella di un paziente.

Faccio sintesi: se s'è fatta fottere la stessa NSA dal primo Snowden che è capitato (dico così perché ha usato sistemi veramente terra terra per trafugare i documenti, tuttavia si trovava nel punto giusto della filiera), secondo te l'utente medio, ma anche la grande azienda, che possibilità ha di "certificare" la riservatezza del dato? Può dichiarare come tratterà i dati, ma nessuno si sognerà mai di certificarlo. Già solo avere qualche garanzia in più incrementa di un ordine di grandezza o due le cifre del servizio.

Mia opinione personale, forse già detta: fai bene a segnalare la notizia perché è di interesse, ma - sempre IMHO - eviterei di creare apprensione e preoccupazione per dei rischi che potenzialmente ci sono ma che praticamente sono incredibilmente irrilevanti rispetto alla consistenza (e insistenza) di tutta un'altra serie di problemi - di cui peraltro parli.

Il giorno che un cliente ci porterà davanti al tribunale perché l'NSA ha avuto accesso ai suoi documenti grazie all'accordo segreto con chi ci fornisce il tal servizio vado a Genova, compro una teglia di focaccia e vengo da te a offritela come sacrificio propiziatorio. =)
ad Fx:
in Italia non è consentito archiviare dati sensibili in cloud che hanno i datacenter all'estero? Non lo sapevo (non faccio ironia, potrebbe essere davvero!).
Io ho usato Aws (Amazon web service) per fare analisi di big data (sempre loro, BIG DATA!) per conto di un'assicurazione, e lo storage è ovviamente nei server Amazon (in Irlanda). Per la nostra legge ho fatto qualche violazione della privacy (l'Irlanda è estero anche se è nella UE?), considerando che ci sono anche dati sensibili?
Tutto è protetto, ho messo chiavi e mi fido dei tecnici di amazon in fatto di sicurezza, non ritengo che ci siano rischi che questi dati vengano trafugati o manipolati.
Ad Fx:
non sapevo che per la legge italiana non si potessero archiviare dati sensibili all'estero. (Non faccio ironia).
Se usassi Aws di amazon per un analisi big data (magari per un'assicurazione...) dovrei archiviare i miei dati in Irlanda (o negli Stati Uniti, o in asia). Per la legge l'Irlanda è estero anche se appartiene alla UE?
Altrimenti cosa dovrei fare? Dire al cliente: "niente analisi, compriamo un supercomputer, il cloud computing è illegale", oppure telefonare ad amazon e chiedere che mettano un datacenter in Italia?
Mi sembra una situazione irrealistica (e antieconomica, MOLTO antieconomica).
la parziale soluzione è usare dati criptati con strumenti quali boxcryptor o truecrypt
@Adriano G. V. Esposito

Per ora, però, a parte la paura abbastanza remota di essere citato in giudizio per conservare dati di clienti su SkyDrive (ripeto: chiamatemi) altre implicazioni legali non ce ne sono.

Io al posto tuo non dormirei tranquillo.

Se i tuoi clienti sono tutte brave persone hai ragione, non corri rischi :-)

Però, dal punto di vista normativo, stai conservando dei dati personali su di un server remoto di un'altra azienda che non hai formalmente incaricata del trattamento di quei dati.

Se i dati, poi, sono anche sensibili ti possono spillare tanti soldini: una parte, magari piccola, andrebbe ai tuoi clienti come risarcimento; l'altra, quella grossa, andrebbe allo Stato come sanzione (fino a 50.000 "Euri" se non ricordo male) per la mancata osservanza delle misure minime da adottare durante il trattamento dei dati personali.

Senza considerare le conseguenze penali.

Se qualcuno dei tuoi clienti volesse metterti i bastoni tra le ruote per impedirti, ad esempio, di partecipare ad una gara d'appalto o di riscuotere un credito che hai nei suoi confronti, potrebbe aggrapparsi anche a queste inadempienze.
@Sebastiano Pistore
non sapevo che per la legge italiana non si potessero archiviare dati sensibili all'estero.

Non è impossibile, basta una lettera d'incarico all'azienda straniera che dovrebbe adeguarsi alle richieste delle leggi italiane (e stando all'estero vorrei vedere come sarebbe possibile).

Ovviamente nessuna azienda, soprattutto grande, si adeguerebbe.

Un'alternativa sarebbe mandare all'azienda straniera i dati in modo tale da non renderli riconducibili alle persone a cui tali dati si riferiscono (e addio analisi :-) )

Bello no? :-)
Sebastiano: i termini della questione sono piuttosto complessi, ne avevo parlato casualmente proprio con una persona che curava la gestione dei backup delle agenzie di una compagnia assicurativa. Il concetto di fondo non è tanto estero o non estero ma se all'estero viene rispettata la normativa della privacy che vige in Italia.

Puoi leggere qualcosa di più dettagliato qui: http://www.iavvocato.eu/?p=510#25

Se hai usato i server di Amazon in Irlanda, non dovrebbero esserci problemi di sorta.

Certo è che per essere in una botte di ferro dovresti, prima di fare qualsivoglia operazione di questo tipo, consultare un avvocato specializzato in quest'ambito (è un tema delicato, non ci si può affidare a quello che si legge in Internet). Usalo come modo per fare upsell, vendi alla compagnia di assicurazione la tua consulenza e quella dell'avvocato per la gestione della privacy. A loro fai capire che affronti le questioni a tutto tondo, e per convincerli dici "se volete evitare la valutazione, dato che io non voglio responsabilità, mi firmate la liberatoria". Voglio vedere se ti dicono di no =) Dopotutto un conto è se stai vendendo il servizio alla bottega dietro l'angolo, un conto è se si parla di una compagnia di assicurazioni.
Adriano,

refuso corretto, grazie!
Andrea,

e ovviamente, al solito, l'articolo cita solo MS.

Perché la notizia resa pubblica da Greenwald parla di Microsoft.
Giuseppe,

infatti io stavo commentando la frase di Fx " la mia regola personale è battersene, tanto se c'è qualcuno che tiene a te in un modo o nell'altro ti frega."

In particolare, non concordo con la visione di Fx secondo la quale l'intrusione è ineluttabile e quindi tanto vale non opporvisi.

Primo, l'intrusione è perlomeno ostacolabile. Presumo che Fx non tenga la porta di casa spalancata e i gioielli sulla soglia perché tanto se c'è qualcuno che ci tiene in un modo o nell'altro glieli frega, per cui prendere precauzioni è inutile. Presumo che Fx prenda misure ragionevoli come deterrente contro i ladri. Idem si può fare per i dati, usando strategie come il cloud non in USA (o Five Eyes) e la crittografia forte.

Secondo, l'atteggiamento di Fx implica abdicare a un diritto fondamentale di qualunque società civile (non "democratica": civile), ossia il diritto che uno possa farsi i fatti propri finché non fa nulla di illecito.

Quello che si contesta, in tutto il Datagate, è il concetto di sorveglianza preventiva di persone innocenti su scala massiccia. Nessuno contesta la sorveglianza mirata di persone sulle quali gravano sospetti ragionevoli.

Se accettiamo che esista la sorveglianza preventiva, tanto vale allora andare a vivere in Cina.
Fx,

manca la visione complessiva della "filiera", per arrivare a preoccuparmi dell'NSA significa che tutti i passaggi precedenti sono stati verificati, risolti e certificati.

Al contrario: ho ben chiara la filiera. Quello che sto cercando di dire, e mi scuso se non sono chiaro, è che una situazione come quella del cloud ceduto massicciamente all'NSA significa che i dati dei tuoi clienti non possono essere considerati al sicuro (se li metti in un cloud di paese NSA-friendly) nemmeno se tu, con bravura, riesci a verificare, risolvere e certificare i passaggi precedenti.

Anzi, il tuo "tanto se li vengopno a prendere" dà l'impressione che dal tuo punto di vista sia fondamentalmente inutile verificare, risolvere e certificare e che la sicurezza sia inutile di fronte a NSA, GCHQ e simili. Mi permetto di dissentire.
Adesso si chiama OneDrive.
L'informazione è verificata? Microsoft ha qualche statement ufficiale in proposito?
Articolo breve ma conciso. Linkato!
quello che dice quello screenshot non e' altro che un'automazione relativa alla PL110–261 del Luglio 2008 (http://www.intelligence.senate.gov/laws/pl110261.pdf). Non c'e' niente di illegale, oscuro o che dovrebbe stupire. D'altronde anche in Italia le forze dell'ordine possono chiedere di accedere a dati privati con le opportune autorizzazioni... e la legge del 2008 di autorizzazioni parla.
Si, ma il punto è che in qualsiasi modo tu "tuteli" la riservatezza dei tuoi documenti, dal momento in cui questi documenti esistono, non sono più riservati. Sembra banale detto così, ma qualsiasi esperto di sicurezza lo conferma.

A quanto so, l'NSA in quanto agenzia governativa può leggerli comunque, indipendentemente dal fatto che Microsoft gli dia il permesso o meno. Si, in *teoria* ci sono delle garanzie costituzionali, eccetera eccetera (ma un certo tizio che si faceva chiamare Condor non sarebbe molto d'accordo :p) ma si possono scavalcare. Certo, un conto è se lo fa avendo magari dei sospetti e un conto se lo fa sistematicamente, comunque per essere ragionevolmente sicuri dei propri documenti non bisogna metterli sul computer e tenerli in copia cartacea chiusi a chiave.
A Fx: Grazie, sembrava assurdo non poter salvare i dati all'estero. Di queste cose (le questioni legali) io non mi occupo molto, faccio solo l' "uomo dei fili" e obbedisco agli ordini quando non sono troppo assurdi o fisicamente impossibili da attuare.
Però a volte ho l'impressione che i manager non abbiano una visione troppo chiara di cosa stiano facendo. E la cosa preoccupa.

Riguardo alla discussione sulla protezione dei dati dal controllo: io faccio quello che posso per garantire (nei limiti del budget e della praticità) la sicurezza dei dati, perchè non è detto che un governo che spia i dati sia il MIO governo e faccia i MIEI interessi. Anzi... sai i russi e i cinesi...
Se il mio governo vuole leggere i dati che custodisco per qualche motivo non ha che da chiedermelo e mostrarmi il mandato, mi fido dello stato e della magistratura. Se invece i dati li leggono spiandoli vuol dire che non hanno un motivo legale per farlo, e quindi mi opporrò.
Con tutto il rispetto, ma condivido molto di più quello che dice FX. Pur evitando i servizi di cloud, mi preoccupa molto meno l'NSA dell'idiota di turno che mi entra dentro la posta elettronica di gmail, settando forward ad minchiam per il puro gusto di crearmi un danno e con l'evidente rischio che pubblichi i miei affari privati. Mi è successo e mi ha fatto passare più di qualche nottata in bianco, oltre a costringermi a cancellare tutta la mia posta pregressa. Per l'NSA conto come una mosca su una merda e dubito vi siano operatori che dopo essersi letti la mia posta, decidano di farmi dei danni, dato che mi risulta che la loro mission sia quella di beccare i terroristi e non dei signori nessuno come me. Non per questo sarei disposto a consegnare le mie chiavi di casa ad un servizio segreto qualsiasi, ma per questioni diverse dalla semplice privacy: nessuna nazione può arrogarsi il diritto di intrufolarsi nella mia vita, fosse anche solo per sapere che sono una brava persona.

Sintetizzando: non approvo in alcun modo la gestione allegra del NSA e l'intrusione nella vita privata di tutti i cittadini, sono piuttosto persuaso del fatto che "la sicurezza nazionale" si debba porre dei limiti; ma quello che mi spaventa di più è sempre l'idiota di turno, un tipo di persona che non pone mai dei limiti alla propria malizia.
Paolo, ti chiedo un consiglio nella tua veste di traduttore. Come renderesti questa frase?

"This new capability will result in a much more complete e timely collection response from SSO for our Enterprise customers"

In particolare sono perplesso riguardo agli "Enteprise customers": a prima vista immaginavo si riferisse ai fornitori di dati nell'ambito di PRISM, tuttavia quelli più che "customer" sarebbero "provider". Le diapositive della NSA lo confermano: http://en.wikipedia.org/wiki/File:Prism_slide_5.jpg

"for our Enteprise customers", ammesso che chi scriva sia la NSA, mi fa pensare ad aziende clienti che usano i dati raccolti tramite PRISM. Non ho mai sentito qualcosa del genere prima d'ora.

Grazie,

Paolo
Paolo: la mia posizione è che c'è talmente tanto da fare prima (tant'è che manco la stessa NSA ce la fa a badare a tutto, anche perché una serie di cose semplicemente non te le immagini nemmeno o non ci sono soluzioni efficaci) che non viene fatto che fa sorridere preoccuparsi di problemi non verificati, che riguardano comunque agenzie governative e non il pinco pallino chiunque (permettimi, se la cartella clinica dove si fa riferimento ai miei problemi di erezione finisce in mezzo ai duecento miliardi di documenti che la NSA ha intercettato e ai quali comunque accede se ne ha motivo mi preoccupo il giusto, a differenza se casualmente finisce in mano al conoscente perché casualmente è un tecnico informatico e altrettanto casualmente ha sistemato un portatile del figlio del mio andrologo in cui casualmente c'è l'accesso automatico alla rete wireless dello studio e casualmente ne ha approfittato).

Non solo: di quello che c'è da fare il 90% non dipende da te. Tu NON PUOI verificare e certificare i passaggi precedenti, a meno che tu non sia Dio, in tal caso mi scuso per l'irriverenza. =) Al di là della battuta puoi CERTIFICARE che:
- non hai keylogger hardware / software
- l'hardware e il software che usi o che ha accesso alla tua rete o alle reti dove ci sono computer su cui memorizzi dati (pc, server, router, firewall, stampanti, cellulari, eccetera) non abbia delle backdoor e impieghi dei sistemi di sicurezza tali da renderli impenetrabili (in tutta una serie di punti puoi permetterti di fare attacchi brute force che nessuno se ne accorge)
- tu non sia oggetto di sorveglianza attraverso sistemi specializzati (c'è da sbizzarrirsi, il primo creativo che mi viene in mente? microfono laser alla tua finestra e algoritmo per stimare cosa stai scrivendo sulla base del suono emesso dalla tastiera - sto parlando di cose tecnicamente fattibili)
- chi ha accesso al tuo computer (si rompe: a chi va in mano? E per le persone più "utonte" di te le occasioni si moltiplicano: deve configurare la posta, a chi va in mano?) non tocchi niente che non deve
- gli algoritmi di cifratura siano davvero efficaci e affidabili e non esistano exploit / backdoor / debolezze intrinseche / hardware specializzato in grado di violare la cifratura in tempi ragionevoli (c'è il lucchetto, VAI TRANQUILLO, ci pensa openssl), che gli algoritmi di cifratura siano sicuri nel tempo (ho dei tuoi dati crittografati che OGGI non riesco a decifrare, ma tra un anno o due chissà? non è detto che l'interesse di certi dati sia limitata nel tempo. Il dato sensibile del pisello moscio rimane sensibile anche tra anni)
- il dato non venga intercettato lungo tutto il percorso che lo separa da dove viene archiviato
- la miriade di persone che hanno accesso ai vari punti che separano il tuo computer dall'hard disk in cui viene memorizzato il dato siano tutte persone integerrime e affidabilissime e/o che tutte le millemila aziende che ci sono di mezzo abbiano delle politiche e delle procedure estremamente restrittive per impedire accessi non autorizzati
- non ti stiano facendo attacchi man in the middle sufficientemente raffinati da essere del tutto trasparenti
- tu non commetta errori macroscopici o banali che comportano l'esposizione o indicazioni su password e account
- tutte le persone che hanno accesso a punti dai quali si potrebbe compromettere la sicurezza del sistema / la riservatezza dei dati siano incorruttibili o non ricattabili
Potrei andare avanti un altro quarto d'ora, ma avrei comunque un limite: ti direi solamente delle cose che mi vengono in mente. Poi ci sono tutte quelle che non mi immagino nemmeno. Ah, non so se hai sentito le recenti dichiarazioni di uno dei boss di Symantec, per il quale gli antivirus sono del tutto inefficaci di fronte alle nuove minacce. Eh, "ma ho l'antivirus", son tranquillo

Nella sicurezza informatica c'è un potenziometro lineare che ha da un'estremità la parola PARANOIA e dall'altra la parola SEMPLICITA'. Per mia esperienza e sensibilità tendo ad andare verso la seconda opzione, per il semplice motivo che ogni volta che si va un po' più verso la paranoia comunque offri un livello di sicurezza un po' più alto ma non puoi comunque garantire nulla, e dall'altra va a finire che se sbagli qualcosa le possibilità di bruciarti il dato irrimediabilmente salgono notevolmente.

Poi spiegalo tu ai clienti che si, i loro dati sensibili sono persi ma si è fatto di tutto per ostacolare l'accesso da parte della NSA. Che, ironia della sorte, a quel punto sarebbe stata l'unica ad averne una copia di backup.
Scusami La Haine, ma quello che hai scritto non è grosso modo quello cha afferma Paolo Attivissimo? L'intercettazione preventiva non dovrebbe essere ammessa nei paesei civili.
Anche io ho l'impressione di non avere ancora visto una singola soluzione praticabile (ovvero che non impedisca un gran numero di funzionalità) per evitare violazioni sistematiche della mia privacy quando uso un computer connesso ad internet.

A quello che ha detto Fx vorrei aggiungere una cosa. Ci sono due aspetti da considerare:
(1) violazioni della privacy consistenti con le norme di legge (per esempio il fatto che le pubblicità dipendono chiaramente da quello che cerchi su internet o che scrivi via e-mail credo sia legale).

(2) violazioni della privacy illegali. Qui il discorso si complica. La mia impressione è che sia talmente facile nascondere intrusioni nella vita privata di chi naviga su internet che non mi stupirei se scoprissi che gran parte di chi può farlo (google? l'internet o il mobile phone provider?) in realtà lo fa.

Personalmente io parto dal concetto che

(1) la mia privacy viene violata sistematicamentei. Non solo da NSA (che non so cosa se ne possa fare), ma anche da varie imprese main-in-the-middle.

(2) la difesa più efficace è in realtà l'effetto "diluizione", ovvero il fatto che se i miei dati vengono raccolti con quelli di un altro miliardo di persone, è improbabile che qualcuno si interessi proprio a me, cioè che usi dati non accorpati ma relativi a me e alla mia vita.

Finora non ho visto una sola proposta tecnica che sia in grado di proteggere la mia pratica. Non parlo di minacce di conseguenze legali ma di qualcosa che sia in grado di impedire a priori che almeno qualche man-in-the-middle non sia in grado di sapere tutto della mia vita SE lo desidera.

Parlo di proposte tecniche, non della volontà di farlo o meno.

Quando compravo il giornale dal giornalaio, a meno che non ci fosse un investigatore a spiare proprio me, nessuno sapeva se mi interessava di più la politica o lo sport, se ero di sinistra, cattolico o se soffrivo di stipsi o di coliche. Tutte queste informazioni sono ora alla portata di chiunque le voglia avere se visiti un giornale online o se compri qualcosa online.

Tempo fa ho provato a cercare una cosa specifica su internet per vedere quanto tempo ci metteva la pubblicità a "capire" e modificarsi di conseguenza. E' stata una questione di un attimo: siti che non avevo visitato, come LinkedIn hanno modificato immediatamente il loro comportamento di conseguenza, permettendomi di misurare che "qualcuno" era al corrente di cosa stavo cercando. Stessa cosa con tripadvisor. Cioè alcune informazioni sono state immediatamente riversate da un impresa (google) alle altre.
@pgc
violazioni della privacy illegali. Qui il discorso si complica. La mia impressione è che sia talmente facile nascondere intrusioni nella vita privata di chi naviga su internet che non mi stupirei se scoprissi che gran parte di chi può farlo (google? l'internet o il mobile phone provider?) in realtà lo fa.

No, no. Loro lo fanno legalmente: ti chiedono il permesso con l'accettazione delle condizioni d'utilizzo. :-)

Io credo che gran parte dei problemi dipendano dal fatto che la legge italiana, e non solo, parla di trattamento dei dati personali, non di tutela dei dati personali.

Questo implica che se un'azienda, tipo Google o FB, ti chiede il permesso nell'informativa utilizzare i tuoi dati personali come meglio crede e tu, utente, acconsenti, per la legge va tutto bene anche se l'uso che l'azienda farà dei tuoi dati andrà oltre il "comune senso della riservatezza".
ma non credo sia difficile comprendere che l'articolo di Paolo sia contro l'"intercettazione preventiva"
non motivata da indagini ufficiali (per una causa, giusta o sbagliata che sia, per crimini vari...),

l'"intercettazione preventiva" è approfittare dei database oggi di Microsoft, domani di Facebook, dopodomani di Google, per redarre un bel database di tutti noi:
questo si chiama schedare la persona, registrando dati sensibili non consentiti e non autorizzati.

e non c'entra un bel nulla che Fx e chi come lui non sia preoccupato:
non si può fare a prescindere.

e non c'entrano un bel nulla le migliaia di esempi di intrusione e violazione dei dati elencati da Fx:
se il ladro ti entra in casa nonostante il tuo allarme, non è un buon motivo per dire chi se ne frega delle rapine,
come l'altro tuo esempio del seggiolino IsoFix che, come dice Fx, in qualche ci si fa male lo stesso.
Le precauzioni, fisiche o informatiche servono per limitare i danni, arginare/limitare i pericoli: la sicurezza al 100% non esiste lo sappiamo già tutti, grazie.

Ma chiarisco, se è liberamente ammmissibile e lecito pensarla come Fx,
altro conto è dimostrare che veramente si agisce in quel modo menefreghista delle sicurezza (lo ritengo improbabile) e che non sono solo parole scritte per diverirsi a trollare e giocare al contraddittorio..
quindi tu Fx (e chi la pensa come te) per COERENZA con tutti i tuoi esempi di sicurezza fallita e inutile, ci puoi dichiarare che tu:
-quando parcheggi la macchina non la chiudi,
-quando esci di casa non chiudi la porta,
-la tua rete Wi-Fi è senza password,
-il tuo cellulare è senza PIN,
-il tuo pc è senza password,
...tanto qualcuno se vuole fregarti,..un modo lo trova!

grazie in anticipo per la tua dichiarazione di coerenza.
Yuri, non so se ti riferisci anche a me ma in tal caso io non ho mai affermato che siccome la violazione della privacy è generalizzata, è inutile adottare precauzioni. O che Paolo nell'articolo abbia affermato qualcosa di errato. Le due cose sono indipendenti. Farò tutto il possibile per difendere la mia privacy. Tuttavia credo che si debba resistere ad una falsa sensazione di sicurezza.

Sempre nell'ambito di certi paragoni: metto il lucchetto alla porta, chiudo le finestre quando esco, ma i gioielli li tengo in una cassetta di sicurezza in banca. Sono stato più chiaro adesso?

Il problema è che mi pare che la violazione della privacy sia INTRINSECA per come è fatta la rete. E che fino ad oggi non mi pare di avere visto soluzioni pratiche che abbiano almeno una parvenza di essere sicure. Le leggi mi sembrano di fatto, ma mi posso sbagliare, inattuabili perchè semplicemente usano la minaccia (di essere presi, quando è di fatto quasi impossibile) in luogo dei mezzi. Sempre come paragone, è come fare una legge per cui è vietato rubare le macchine in un mondo in cui non sono stati inventati i lucchetti.
Chi vuoi che scalzi il primato di Internet Explorer 6 all'80% dello share di utilizzo? [Firefox e Chrome]
Chi vuoi che riesca a minare l'installato di WordStar 4.0? [WordPerfect prima, Word poi]
Chi vuoi che sia cosi' incosciente da usare un NOS peggiore di Novell NetWare 3? [Windows NT 3.x]
Chi vuoi che scalzi il primato di Netscape? [Internet Exploder]
"The Network is the computer", i server Sun vinceranno sempre nel mondo *NIX. [poi sono arrivati Linux e FreeBSD]
Nessuno puo' dare uno smartphone migliore di iPhone.

Devo continuare? Si', con l'ultimo: chi vuoi che riesca a sconfiggere l'NSA!

Messaggio per Fx (di cui rispetto la posizione, ci mancherebbe) e per quelli come lui: se avete dati che mi identificano sui vostri sistemi di memorizzazione cancellateli immediatamente, per favore, perche' VOI siete il punto debole per la tutela dei miei dati personali.

Yuri: mi sembra di esser stato sufficientemente esplicito nell'ultimo post. Ripeto il concetto. Nella sicurezza informatica c'è da una parte la paranoia e dall'altra parte quella che ho chiamato semplicità ma è più appropriato chiamare "praticità". Tutto da dimostrare che andare verso la paranoia dia i risultati immaginati e soprattutto non introduca una serie di controindicazioni (l'esempio che ho fatto è l'impossibilità per lo stesso proprietario di leggere i propri dati). Quello che ho detto è che io, per esperienza personale - aggiungo, professionale, è bene stare dalla metà verso la praticità piuttosto che dalla metà verso la paranoia. Non ho mai detto, e infatti mi sembrava strano che nessuno aveva ancora frainteso, che il tema della sicurezza informatica sia da ignorare. E' da considerare ma con buon senso e per l'appunto senza troppe paranoie, perché altrimenti non se ne esce più e tanto in ogni caso non consideri altre centomila variabili. Il punto è che a me interessa evitare a) attacchi automatici (dai virus ai bot) b) attacchi da parte di ragazzini che giocano a fare gli hacker. Per gli attacchi da parte di qualcosa di più (hacker con i controcazzi e ovviamente enti governativi) so già in partenza, facendo quello di lavoro, che è una partita persa. I sistemi sono troppo complessi, troppe parti sono esposte, troppe armi hanno a disposizione per poter resistere alla pressione di qualcuno di preparato che insiste ad entrare. In due parole: sicurezza senza farne una malattia. Perché altrimenti devi mettere in piedi un'attività che fa solo quello, e comunque preparati a essere sconfitto (cosa che succede regolarmente ai big della sicurezza al mondo).

Hai fatto il parallelo degli antifurti. L'antifurto non serve a impedire l'accesso a chi vuole entrare, se questo è sufficientemente preparato. Serve a rallentarlo.

In particolar modo la cosa di cui per me non ha senso parlare è della GARANZIA della riservatezza dei dati. Solo un pazzo si impegnerebbe in tal senso, proprio perché va a garantire una cosa che dipende da lui solo parzialmente. Ci sono gli SLA, ci sono le procedure, ci sono le normative: nei contratti si mettono questi.

Curiosità per ridere: hai citato la mia macchina. E' nel cortile qui sotto, non solo è aperta ma ha anche le chiavi nel cruscotto! =) C'è un cancello, siamo in una zona tranquilla e dubito che a qualcuno interessi. Tanto se dovesse davvero interessare a qualcuno, me la fregherebbero comunque, anche fosse in un garage chiuso, chiusa con l'allarme inserito. :)

Comunque è come per l'omeopatia: se a usare la tal ricetta credi di essere al sicuro... benissimo. Al sicuro del tutto non sei lo stesso e non lo saresti comunque, però per lo meno ti senti tranquillo =)
Tutto ciò che è sui server Americani è soggetto a leggi diverse dalle nostre: EverNote,, OneNote, SkyDrive, DropBox. La posta: Yahoo Outlook.com Gmail. Nel momento in cui i dati passano da terzi e noi usufruiamo al servizio in automatico acconsentiamo al trattamento dei nostri dati . NSA li può raccogliere analizzare farci quello che vuole ma non pubblicarli ovviamente. Nel 2014 ancora ci stupiamo se il postino ha aperto la lettera prima di consegnarcela. Per quanto mi riguarda Microsoft delle tre aziende ammiraglie rimane la + seria e affidabile. saluti.
Fx, Praticamente il tuo contraddittorio contro gli avvisi di Attivissimo ad esortare una maggior attenzione alla propria privacy è come dargli del paranoico, x usare un tuo termine. Ti faccio anche notare che se ritieni plausibile l'allarme auto x 'rallentare' e quindi ostacolare il ladro sei in contraddittorio con te stesso nel vantarti della tua lasciata a libero accesso. Stare in mezzo tra due modi di agire come indichi tu è accettabile, ma Scagliati contro chi ti disinforma, non chi fa il disinformatico !!
Yuri: Scagliati contro chi ti disinforma, non chi fa il disinformatico !!.

Scusa Yuri, ma sei sicuro che qualcuno qui si sia scagliato contro il Disinformatico? A me pare di avere letto semplicemente delle considerazioni che non sono in contrasto con quanto scritto da Paolo, ma al contrarioi lo complementano.
Yuri: non so se tu lo faccia consapevolmente o meno, ma il risultato è che fraintendi per il gusto di fraintendere.
Punto uno: una cosa è la contestazione, un'altra è il confronto. Quest'ultimo, per lo meno per quanto mi riguarda, tra l'altro prevede che ci sia della stima per la parte con la quale ti confronti ed è per l'appunto quello che provo nei confronti di Paolo. Se non ci fosse questo mi limiterei a qualche commento sarcastico senza perder tempo ad argomentare.
Punto due: nello specifico, la questione che ponevo era legata a) all'impossibilità di garantire la riservatezza delle informazioni in senso assoluto b) al modestissimo rischio che IMHO l'accesso da parte della NSA rappresenta rispetto ai mille mila che ci sono. Questo non significa "allora non badiamo a privacy e sicurezza" ma "badiamo prima ai rischi più importanti". A me il disordine sulla scrivania non turba, quello mentale si: privacy e sicurezza non sono argomenti che si possono affrontare a macchia di leopardo sulla base delle notizie, come ha fatto notare qualcuno peraltro manco confermate (la peer review ce la ricordiamo solo quando fa comodo, eh? vergogna! :D ), che trapelano sui giornali. La mia idea è che è un tema che va affrontato in modo organico, con un'analisi ragionata dei rischi, di quanto siano effettivamente concreti, del rapporto costo / beneficio dalla quale partorire una lista di priorità. Questa permette quindi di ottimizzare l'azione volta a limitare i danni. Sempre con ben chiaro in mente che si tratta di un "tendere a", non potrai mai dire di essere sicuro al 100%, e che comunque non vale la pena farne una malattia perché tanto hai ben poche possibilità di rimanerne indenne se c'è qualcuno di preparato che vuole i tuoi dati. In ogni caso, e l'ho già scritto, Paolo ha già scritto numerosi articoli dove vengono affrontati problemi molto più terra terra e quindi molto più in alto nell'ipotetica classifica di rischio privacy e/o sicurezza. Nel contesto attuale, anche in funzione di chi legge il blog, è molto più efficace parlare di cose magari anche apparentemente banali ma molto concrete piuttosto che di rischi prettamente potenziali come quello di oggi. Anche perché rischia di distrarre dai rischi principali.

Per quanto riguarda l'auto certo che l'allarme serve per rallentare, però esiste anche un contesto che ho ben specificato per cui il rischio di un furto è inferiore dov'è, pur essendo aperta con le chiavi nel cruscotto, piuttosto che fosse in qualche grande città chiusa e con l'allarme inserito. In altre parole: se vedi la contraddizione, ancora una volta, è giusto per il gusto di fraintendere. In ogni caso non l'avrei tirata fuori se non avessi fatto tu l'esempio dell'auto aperta, a me faceva sorridere pensare che in realtà aveva anche le chiavi nel cruscotto, così l'ho scritto con l'intento di far sorridere anche voi.
@pgc: " Cioè alcune informazioni sono state immediatamente riversate da un impresa (google) alle altre." tieni anche conto che il principale "fornitore" di banner è proprio Google. Se cercate qualcosa su G, state certi che ben presto vi arriverà l'annuncio personalizzato. Come ha già spiegato Paolo, è possibile disattivare il "feed" di annunci personalizzati (se avete Chrome basta installare questa estensione: http://goo.gl/srOjJk) tramite questa pagina https://www.google.ca/settings/ads
Ciao Lupo,

quello che intendo è che non solo si tratta di una modifica ai banner, ma addirittura di siti che si "scambiano" informazioni. Puoi fare da solo un esperimento: prova a cercare su google offerte di lavoro per un mestiere assurdo, tipo "oil rig operator vacancy" o "motivation letter as spacecraft engineer".

Io l'ho fatto e sul mio account su LinkIDn - che non ha nulla a che fare con google sono comparsi poco dopo messaggi di offerte di lavoro in quei campi, e consigli su come trovare lavoro in quei campi.

Questo significa che le informazioni da google sono state acquisite da un altra compagnia (che ha sede a Mountain View ma sarebbe in teoria indipendente), che ne ha dedotto che ero disoccupato e in cerca di un lavoro da palombaro o alla NASA. Questo è molto più che mettere un ad di tute da palombaro o di fischietti antisqualo sulla mia pagina: richiede che un'azienda "sappia" che cosa sto facendo, abbia un "profilo" della mia vita e non solo: condivida questo profilo con qualcun altro. Che succede se questa condivisione avviene con una banca (in cui devo chiedere un finanziamento) o con una assicurazione sanitaria, etc.?

pgc si è chiaro. Spesso le tracce restano nel tuo PC attraverso i cookie.. Cancellandoli (ed evitando di fare login nei siti se possibile) la "profilazione" è meno evidente. Mi sembra d'aver letto che la maggior raccolta di dati la faccia Google, facendo le ricerche senza fare login e levando i cookie fanno più fatica a creare un profilo.
Lupo, i cookies sono leggibili solo da chi li mette. Il cookie non trasmette alcuna informazioni su chi altri hai visitato, cosa hai cercato e se ti sei loggato in un website con una password. Se LinkIdn sa che io cerco un lavoro da oil rig operator o una cura per la sinusite, l'informazione deve essere stata trasmessa, in chiaro, dal motore di ricerca. Questo io lo trovo preoccupante e contrario ad ogni principio etico. Significa che se io cerco una cura per la depressione, magari per mio nipote, per es. un eventuale datore di lavoro ha a disposizione questa informazione comprandola da google, e ne può fare uso.


pgc: colpa mia, avevo capito un'altra cosa..
Si, la tua ricostruzione direi che ha senso. Oltre a preoccuparmi.
Lupo, prova a fare qualcosa del genere, e vedere cosa succede.

Oggi me ne è capitata un'altra: ho creato giorni fa un account facebook unicamente per accedere ad un gruppo al quale volevo chiedere alcune informazioni. Mesi fa ho sospeso il mio account "vero" e non l'ho più riaperto. Questa nuova ID facebook, al quale accedo attraverso il mio laptop, non ha amici, non ha storia, post o commenti. Non ha alcuna informazione sul mio conto - vera o falsa - tranne quella che mi sono iscritto a quel gruppo con un nome assurdo e ho posto alcune domande.

Oggi ho notato diversi "ad" che mi proponevano di iscrivermi al gruppo della scuola di mio figlio o a cose che lo riguardano. Evidentemente FB, in mancanza d'altro, ha dedotto che mio figlio si fosse creato una nuova ID (dato che siamo connessi allo stesso wireless) ma che dietro ci fosse sempre lui. La cosa che non capivo all'inizio è perchè non abbia fatto la stessa cosa con l'ID di mia moglie... La mia ipotesi è che da quei pochi messaggi (2 o 3) che ho scritto un qualche algoritmo abbia intuito che sono un maschio, ed ha quindi fatto 1+1=2. Nel frattempo mi subissa di richieste di dare informazioni. Che continuerò a non dare.

Paolo (e chiunque mi legga), mi piacerebbe sapere che ne pensi. Io intanto continuo a fare esperimenti per capire meglio come funzionano questi fenomeni di osmosi dell'informazione.
Ho creato un account fake su FB e non mi ha mostrato niente in comune con gli altri due "veri". Però c'è da dire che l'ho usato molto poco quindi potrebbe dipendere da quello.
Vero: ho capito che i tracking cookies (non i cookies in generale) possono essere usati da più di uno website. La spiegazione potrebbe essere semplicemente questa. Grazie per i suggerimenti... (e si, avevo sbagliato thread...)
@pgc
i tracking coockies possono essere usati da più di uno website.

No. Da quello che so i tracking cookies sono usabili solo da chi li genera, ma la sostanza del discorso non cambia: ognuno genera i suoi tracking cookies e ognuno si fa i fatti... tuoi :-)

Però, ripeto le toolbar siano moooolto peggio perché sono in grado di trasmettere in diretta ciò che tu fai e con più dettagli.

Ad esempio, cito quello che dichiare google a proposito della sua toolbar nell'informativa sulla privacy:
"Ogni volta che l'utente utilizza Google Toolbar per contattare Google, ad esempio inviando una query di ricerca, Toolbar invia informazioni standard limitate, come l'URL (Uniform Resource Locator) della pagina web richiesta, la query di ricerca desiderata, l'indirizzo IP del computer e uno o più cookie. Questi dati vengono conservati nei log dei server di Google e protetti secondo le Norme sulla privacy generali di Google."
No. Da quello che so i tracking cookies sono usabili solo da chi li genera,.

Lo credevo anch'io ma poi sono andato a cercare e ho capito che non è così: un tracking cookie infatti fa più di un cookie (che registra informazioni relative ad un singolo sito web visitato, come l'ultima pagina visitata su quel sito, l'ora, etc.): invia un log di quello che hai fatto online ad un database, che può analizzare le informazioni. Ogni azienda può avere il suo database o fare riferimento ad un servizio comune.

Quindi, se per esempio visito la pagina relativa ad un certo libro su Amazon, il tracking cookie di Facebook lo registra insieme al mio IP e invia a FB l'informazione, che può essere utilizzata per creare pubblicità mirata sulla mia pagina facebook (utilizzando proprio l'IP, e NON la mia identità su facebook).

Una volta capito questo (e spero di avere capito bene!) sono andato sulle preferenze del mio Chrome e ho trovato che mentre non esiste un'opzione "disable tracking cookies", ce n'è una che permette di inviare ad ogni sito una richiesta "Do not track". Se ci clicchi compare una finestra che dice

[quote]Enabling "Do Not Track" means that a request will be included with your browsing traffic. Any effect depends on whether a website responds to the request, and how the request is interpreted. For example, [b]some websites may respond to this request by showing you ads that aren't based on other websites you've visited[/b]. Many websites will still collect and use your browsing data - for example to improve security, to provide content, services, ads and recommendations on their websites, and to generate reporting statistics.[/quote]

(il neretto è mio). Questo messaggio sembrerebbe dire che quello che fa questa opzione non è di inibire i tracking cookies, ma di dire al sito "potresti per cortesia evitare di tracciarmi?" senza che la risposta sia necessariamente positiva. Per inibire i tracking cookies (che è diverso dal rimuoverli manualmente che è una rottura) esistono comunque le "ad blocking extensions".

Ricordo che il mio problema non era tanto quello di rimuovere ads mirati. Il fatto è che ero sorpreso nel constatare che compagnie come FB o LinkIDn fossero in grado di risalire alle mie ricerche su internet via google. Adesso credo di avere capito il meccanismo. E di avere anche capito perchè si è parlato molto, in passato, dell'invasività dei tracking cookies. Probabilmente per molta gente sono cose vecchie e banali, ma a me era sfuggita fino ad oggi l'invasività di questi dispositivi.

p.s. Non ho mai installato toolbars.
@pgc
utilizzando proprio l'IP, e NON la mia identità su facebook

Questo meccanismo funzionerebbe se tutti avessimo un IP statico. Ma non è così.

Quindi, in qualche modo, forse attraverso lo stesso tracking cookie, al computer viene assegnato un identificativo che non può tenere conto dell'IP. Altrimenti io potrei beccarmi la pubblicità sugli unicorni rosa di peluche perché chi ha avuto il mio attuale IP in una precedente connessione, ha cercato informazioni sull'unicorno di Paolo.

Allo stesso modo i miei gusti finirebbero associati al pc che prenderà il mio attuale IP.

Non so se mi sono capito :-)
Fx
la mia macchina. E' nel cortile qui sotto, non solo è aperta ma ha anche le chiavi nel cruscotto! =) C'è un cancello, siamo in una zona tranquilla e dubito che a qualcuno interessi.

Interessa ai due bambni che scavalcheranno il cancello per riprendere la palla e vedranno di poter giocare al guidatore: uno dei due avvierà il motore e ucciderà l'altro, rimasto davanti alla macchina.

Vorrei smettere di contare i morti:
- 42, ipotizzati nella cabina
- uno, ipotizzato in loco sei mesi prima
- 86, ipotizzati in loco
- 17, ipotizzati nella galleria
- 12, ipotizzati nelle vicinanze
- 140, ipotizzati in un traghetto gemello
- uno, ipotizzato in circostanze analoghe due giorni prima.

Questo se l'è cavata, e comunque aveva provveduto due ore prima che io aprissi bocca.
pgc
ho creato giorni fa un account facebook unicamente per accedere ad un gruppo
Questa nuova ID facebook, al quale accedo attraverso il mio laptop, non ha amici, non ha storia, post o commenti.
Oggi ho notato diversi "ad" che mi proponevano di iscrivermi al gruppo della scuola di mio figlio


Mah, uno dei meccanismi è l'accesso di Facebook alla rubrica e-mail degli utenti (molti utenti lo autorizzano all'atto dell'iscrizione): ti iscrivi con pippo@pluto.com e ti appare l'elenco dell'universo mondo che ha pippo@pluto.com nella propria rubrica (hanno fornito a Facebook un tuo dato personale senza la tua autorizzazione).
Ci sono diversi modi di ottenere un "fingerprint" del browser dell'utente: la risoluzione dello schermo, la versione del sistema operativo, i plugin, i font installati.. Vari siti usano delle immagini "invisibili", tipo una GIF di 1x1 pixel trasparente, con un nome univoco: te la depositano nella cache e alla navigazione seguente vanno a cercare se c'è.

Esiste https://panopticlick.eff.org (sul sito della EFF) che vi dice quanto siete riconoscibili. http://ip-check.info/ qui invece potete eseguire altri test sull'anonimità. Trovate anche delle guide per "diventare anonimi" ma applicandoli assiduamente la navigazione diventa tra lo scomodo e l'impossibile.
Grazie Lupo per i link. Interessanti anzicheno.