Cerca nel blog

2018/01/02

Haven, l’app consigliata da Snowden per sorvegliare i propri spazi privati

Credit: Peter Hess.
Quando si pensa alla sicurezza informatica, di solito si pensa alle intrusioni compiute via Internet. Ma esiste anche l’universo degli attacchi fisici, nel quale c’è davvero di tutto e spesso l’obiettivo non è rubare un computer o uno smartphone ma accedere ai dati sensibili che vi risiedono.

C’è l’addetto alle pulizie complice di una banda di criminali informatici, che installa di nascosto un keylogger, ossia un minuscolo dispositivo che registra e ritrasmette tutto quello che viene digitato sulla tastiera del direttore di una filiale di una banca o di un’azienda. E c’è il collega di lavoro ficcanaso, il partner sentimentale geloso, il genitore, il figlio o la figlia che vuole a tutti i costi frugare nella nostra vita digitale.

Capita più spesso di quel che si potrebbe immaginare. Nel mio lavoro ho avuto a che fare con tanti partner ed ex-partner ossessivi e anche con bambini che erano attratti irresistibilmente dagli smartphone dei genitori per giocarvi di nascosto, approfittando della loro assenza o distrazione, e per farlo diventavano ladri provetti, rimettendo il telefonino perfettamente a posto dopo l’uso. A tradirli erano le bollette telefoniche maggiorate causate dai loro giochi online.

Ora c’è una soluzione ingegnosa e gratuita per questi problemi: si chiama Haven, ed è un’app per dispositivi Android (scaricabile da Google Play) che trasforma uno smartphone in un cane da guardia digitale.

Funziona così: prendete un vecchio smartphone Android che non usate più (o compratene uno ultraeconomico sacrificabile), dategli una SIM abilitata alla trasmissione dati*, e installatevi Haven. Fatto questo, mettete quello smartphone nell’ambiente che volete proteggere (un ufficio, una stanza di casa, una camera d’albergo).

* La SIM serve solo se volete inviare i dati rilevati da Haven via rete cellulare e ricevere SMS di allerta, per esempio perché temete che qualcuno faccia jamming del Wi-Fi o se il Wi-Fi non c’è; se non avete questo problema, potete usare Haven anche senza SIM.

Se entra qualcuno, grazie a Haven il microfono capterà il rumore, la fotocamera rileverà il movimento, il sensore di luce noterà il cambiamento d’illuminazione e l’accelerometro rileverà qualunque vibrazione o spostamento; Haven si accorgerà di qualunque tentativo di scollegare il telefonino dall’alimentazione o di spegnerlo, registrerà tutti questi eventi e se volete li manderà immediatamente al vostro telefonino principale via SMS o con una connessione Internet criptata.

Naturalmente Haven non protegge contro un ladro che voglia portar via qualcosa: è un modo semplice, tascabile, discreto ed economicissimo per avere la garanzia che un nostro spazio personale non sia stato violato o per sapere in tempo reale se e quando viene violato, oltre che un bel modo per riciclare un vecchio telefonino. Per esempio, se mettete lo smartphone con Haven in un cassetto vi manderà una foto di chiunque apra quel cassetto e saprete chi fruga tra le vostre cose.

Haven, fra l’altro, è open source, ossia liberamente ispezionabile per verificare che a sua volta non faccia la spia, e ha un pedigree molto particolare: è uno dei progetti di protezione della privacy sostenuti da Edward Snowden, il noto ex collaboratore dell’NSA. Uno che sulla riservatezza la sa lunga e che ora mette a disposizione di tutti le proprie competenze. Usiamole.


Questo articolo è il testo preparato per il mio servizio La Rete in 3 minuti per Radio Inblu del 2 gennaio 2018. Fonte aggiuntiva: Wired.

41 commenti:

puffolottiaccident ha detto...

Questo è un buon momento per ricordare che questo blog risiede nella "Svizzera italiofona".

Immagino che lo strumento, da un punto di vista tecnico funzioni allo stesso modo in tutto il mondo, ma gli italiani che stanno in Argentina, Los Angeles, New York, Camberra, altre parti del mondo, insomma, prima di sogghignare tipo: "E adesso la vecchia ******* è sistemata, dopo il divorzio potrò persino comprarmi un caffè al mese, da mettere vicino alla zuppa di patate, e forse il giudice mi permetterà di possedere un telefonino." farebbero bene a controllare cosa dicono le leggi del luogo in cui si trovano ed informarsi su eventuali casi precedenti.

Buon anno a tutti.

Adesso, in questo blog frequentato da astronomi e scienziati supertecnici avrei bisogno del consiglio di qualche astrologo o esoterico... Il mio porcellino laterizio, cioè le lattine in cui butto gli spiccioli, ieri ha spaccato in due lo scaffale su cui stava... è un buon segno o un cattivo segno?

bekcs ha detto...

Funziona anche tramite WIFI?

xgold ha detto...

buona idea, volendo con un vecchio telefonino si può fare una camera di sicurezza, sta diventando come il maiale non si butta niente!

pazzatoio ha detto...

bello in tutto.... pero non manda le foto.....

Tony ha detto...

Bello il micio colto in flagranza.
Forse dovrei dire in fragranza perché a caccia di crocchette.

Il Lupo della Luna ha detto...

Praticamente consiglia una app spia per spiare gli spioni.

Non so, ma sapere che esiste una cosa del genere ora mi preoccupa più degli eventuali ficcanaso.

In pratica sto facendo una cosa illegale per sventare una cosa illegale, sono l'unico a trovarlo assurdo? Tra parentesi dubito della legalità delle ip camera..

pgc ha detto...

Buona idea se si hanno familiari o colleghi impiccioni. Peccato che un vecchio telefono, con la batteria poco efficiente e lascoato in un cassetto duri poco...

Mammiiiinaaa?! ha detto...

@puffolotti a me sembra un'ottima cosa: significa che era bello peso!
Se avessi uno smartphone vecchio, potrei usarlo per beccare quella streghetta di mia figlia che ficca il naso nelle mie cose, poi nega anche l'evidenza

Mammiiiinaaa?! ha detto...

Ps: data la dubbia legalità, potrei farlo solo ora che lei è il fratello sono troppo piccoli anche solo per sospettare l'esistenza di leggi, avvocati, ecc ecc ecc

Faber ha detto...
Questo commento è stato eliminato dall'autore.
Stefano Della Bella ha detto...

"Rubano di nascosto i telefoni ai genitori per giocarci" Ci vorrebbe che molti genitori imparassero per primi che il telefono non è un videogioco, molti sono i primi a dire che non compreranno mai ai figli dei videogiochi prima di X età per poi vantarsi con tutti che "mio figlio è troppo intelligente, sa usare il mio telefono meglio di me"

Il Lupo della Luna ha detto...

Avere un dispositivo che registra audio in modo occulto è illegale

puffolottiaccident ha detto...

@Il Lupo della Luna

Oggidì avere dashcam o dashmic occulti è una questione di prudenza.
Come dire, "preferisco pigliarmi una multa a 3 cifre che una a 5 o 6, anche se so che sarebbe meglio non prendermi nessuna delle due."

Ogni tanto, sul lavoro si dice la battuta: "Eh, avrei dovuto studiare la pallacanestro, invece che [Diploma o laurea]" e in generale quando si dice questo si sta scherzando e ci si fa una risata col direttore.

Ma è molto brutto il momento in cui si scopre che l'arte o la facoltà che non si sarebbe dovuto tralasciare in favore dello studio non è la pallacanestro, non è lo skateboard, non è il fanta-calcio, non è il rap, ma è l'arte di cacciar balle, abbindolare la gente, fare la vittima inconsapevole.

Coi tempi che corrono, la metto sullo scaffale della legittima difesa.

Paolo Attivissimo ha detto...

Il Lupo, tutti,

Avere un dispositivo che registra audio in modo occulto è illegale

Allora metti un cartello "Questa camera d'albergo / stanza / ufficio è videosorvegliata", senza specificare esattamente come :-)

E poi diciamo a Google e Apple che "Ehi Siri" e "OK Google" sono illegali, visto che fanno la stessa cosa.

A parte questo, mi sembra uno scrupolo legale davvero eccessivo. Se io, in casa mia o nel mio ufficio, metto un sensore che mi consente di fotografare chi mi ruba le cose dai cassetti, voglio vedere se il ladro ha il coraggio di farmi causa.

Guastulfo (Giuseppe) ha detto...

@Il Lupo della Luna
Avere un dispositivo che registra audio in modo occulto è illegale

In base a quale legge?

Se mi citi il d.lgs 196/2003 caschi male :-)

Molti pensano che tale legge si riferisca alla protezione dei dati personali, invece parla del trattamento dei dati personali che è tutt'altra cosa.

Questo vuol dire che posso filmare e registrare chi mi pare e piace, ovunque mi trovi.
Se le registrazioni servono a scopi personali non si deve comunicare un bel niente.

Se ho intenzione di diffondere le immagini allora basta farlo sapere con un cartellino o anche a voce.

Il d.lgs 196/2003 non tutela i dati personali ma indica solo le misure minime su come trattarli.

Se volessi trasmettere a chi mi pare (anche per far soldi) i dati relativi alla salute alla religione e orientamanti sessuali dei miei vicini di casa, lo posso fare a patto avere il loro consenso (la firma sull'informativa, in caso di dati sensibili).

brain_use ha detto...

voglio vedere se il ladro ha il coraggio di farmi causa.

Qui in Italia non mi stupirebbe neppure vedergliela vincere.

Il Lupo della Luna ha detto...

La differenza con siri e Google è che tu sai che ascoltano.

http://www.carabinieri.it/cittadino/consigli/tematici/giorno-per-giorno/questioni-di-privacy/videosorveglianza

http://garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1003482

Paolo Attivissimo ha detto...

Il Lupo,

La differenza con siri e Google è che tu sai che ascoltano.

Non è detto. Io posso sapere lo stato di Siri/Ok Google sul _mio_ telefonino, ma non so nulla di quelli degli altri che mi stanno intorno.

granmarfone ha detto...

@ Guastulfo (Giuseppe) Commento #13 • 3/1/18 10:53

Dirimente è la presenza o meno di chi registra.

• Cassazione, sentenze n. 7239 del 1999 e la n. 36747 del 24 settembre 2003
- L'azione non è reato, come ribadito dalle sentenze citate (testualmente: "le registrazioni di colloqui, riunioni, anche fatte di nascosto, sono perfettamente lecite ed hanno lo stesso valore di una nota scritta; peraltro, la cosiddetta "registrazione audio" rappresenta un valido elemento di prova davanti al giudice"), anzi, la Cassazione ha ribadito che, se chi esegue la registrazione è presente o assiste alla conversazione, può divulgarla (a meno di specifici divieti tipo il segreto d'ufficio), usarla per tutelarsi da abusi o minacce ed essere usata come prova in tribunale all'occorrenza.

• Cassazione, sezione VI penale, sentenza 10 aprile-24 giugno 1996 n. 6323
- La registrazione di conversazioni a opera di uno degli interlocutori è legittima e utilizzabile a fini probatori in quanto la stessa non realizza alcuna «intercettazione» in senso tecnico, ma si risolve sostanzialmente in una particolare forma di «documentazione». (Principio affermato con riguardo a fattispecie nella quale la registrazione fu effettuata da soggetto direttamente interessato al colloquio e non quale strumento o longa manus della polizia).


La differenza sostanziale è questa:
- se chi effettua la registrazione, anche in modo occulto, partecipa alla conversazione oppure è comunque presente/assiste alla conversazione la registrazione stessa È legittima;
- se chi effettua la registrazione NON è presente alla conversazione la registrazione è una vera e propria intercettazione, legittima solo se autorizzata da chi ne ha il potere; in caso contrario è un reato penale.

granmarfone ha detto...
Questo commento è stato eliminato dall'autore.
vale56 ha detto...

@lupo.
Il documento dei carabinieri che hai linkato (che fa riferimento al dgls 196, aggiornato in data novembre 2017 (http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/export/1311248 è molto semplificato.
Ad esempio è possibile mantenere le registrazioni, previo assenso del garante della privacy, anche per anni.
Inoltre ti sfuggono i perimetri e i limiti dei vari principi:
Principio di liceità
Principio di necessità
Principio di proporzionalità
Principio di finalità

Potresti scoprire che la zona grigia avvalorata dal garante è molto ampia

Il Lupo della Luna ha detto...

Beh se siamo al "lo faccio perché non è esplicitamente vietato" allora, scusate, vale tutto.

Faber ha detto...
Questo commento è stato eliminato dall'autore.
Guastulfo (Giuseppe) ha detto...

@grammarfone
se chi effettua la registrazione NON è presente alla conversazione la registrazione è una vera e propria intercettazione, legittima solo se autorizzata da chi ne ha il potere; in caso contrario è un reato penale.

... ma se ti informo che sto registrando e cosa ne faccio delle registrazioni e tu acconsenti non è più intercettazione e posso fare ciò che voglio nei limiti dell'informativa che ti faccio firmare.

Quello che volevo sottolineare è l'equivoco della legge sulla privacy che, di fatto, tutela ben poco della privacy (se non nei casi come quello di noisigroup) perché si limita a dare disposizioni su come trattare i dati e non pone limiti al loro uso a condizione che "l'utente ne sia informato".

Se hai presente le clausole, per esempio, delle "carte fedeltà"
- "consenti a profilarti e mandarti pubblicità ecc..."
- "consenti di inviare i tuoi dati ad aziende terze e farti profilare anche da loro"

allora ti sarà facile capire cosa intendo.

Templaro Secolari ha detto...

Sarebbe utile leggere la normativa (italiana):
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1712680

In caso di utilizzo delle "evidence" raccolte con siffatto sistema, il "malfattore" potrebbe effettivamente adire le vie legali ed avere buone probabilità di ottenere soddisfazione.

Nello specifico, art. 3.2.1:


".. Ad esempio, devono essere sottoposti alla verifica preliminare di questa Autorità [garante privacy, ndTS] i sistemi di videosorveglianza dotati di .."



"Un analogo obbligo sussiste con riferimento a sistemi c.d. intelligenti, che non si limitano a riprendere e registrare le immagini, ma sono in grado di rilevare automaticamente comportamenti o eventi anomali, segnalarli, ed eventualmente registrarli. In linea di massima tali sistemi devono considerarsi eccedenti rispetto alla normale attività di videosorveglianza, in quanto possono determinare effetti particolarmente invasivi sulla sfera di autodeterminazione dell'interessato e, conseguentemente, sul suo comportamento. Il relativo utilizzo risulta comunque giustificato solo in casi particolari, tenendo conto delle finalità e del contesto in cui essi sono trattati, da verificare caso per caso sul piano della conformità ai principi di necessità, proporzionalità, finalità e correttezza (artt. 3 e 11 del Codice)."

Guastulfo (Giuseppe) ha detto...

@Il Lupo della Luna
Beh se siamo al "lo faccio perché non è esplicitamente vietato" allora, scusate, vale tutto.

Da dove lo deduci che sia stato detto questo?

In Italia non vale questo principio giuridico (cioè: quello che non è vietato è permesso).

Ti è stato spiegato che la legge sulla privacy riguarda il TRATTAMENTO DEI DATI PERSONALI. Quindi, se i dati non li tratti non devi attenerti a quello che dice la legge.

Matteo Colombo ha detto...

Approfitto per chiarire una cosa che è già stata detta ma non mi convince in pieno: è quindi legale, se si è presenti ad una conversazione (andando dal partecipare all'essere davanti alla macchinetta del caffè dove altri tizi parlano), registrare i dialoghi. Giusto così?
Quindi, caso pratico, se io voglio documentare un colloquio dove si parlerà di cose poco "ortodosse" posso andarci col microfono del telefono acceso e poi usare l'audio come prova senza colpo ferire.
E come la mettiamo se l'audio viene sottoposto a taglia e cuci per far dire quel che si vuole, o se si usano quei software che riproducono alla perfezione la voce umana? Immagino i file porteranno i segni di queste operazioni chirurgiche, ma tutto ciò presta il fianco a porcate che nella nostra epoca di scarsa tolleranza possono essere assai perniciose (non ho citato a caso il caso della macchinetta del caffè per caso).

Faber ha detto...
Questo commento è stato eliminato dall'autore.
Faber ha detto...
Questo commento è stato eliminato dall'autore.
Faber ha detto...
Questo commento è stato eliminato dall'autore.
Faber ha detto...
Questo commento è stato eliminato dall'autore.
Guastulfo (Giuseppe) ha detto...

@Faber
Anche senza informazione e consenso.

L'ho detto prima :-)

E' come la cannabis: se si raccolgono dati sulla salute e gusti sessuali dei propri vicini (e son dati sensibili eh!) per uso personale nessun problema.

Bada però che se i dati poi te li rubano allora so' cavoli. :-)

Se, invece, volessi distribuire in giro con volantinaggio e/o via web i dati relativi ai gusti sessuali, di salute, il codice IBAN, tutto abbinato al nome e cognome sempre dei miei vicini, basta una firmetta sull'informativa e sono a posto.

Faber ha detto...
Questo commento è stato eliminato dall'autore.
Faber ha detto...
Questo commento è stato eliminato dall'autore.
Faber ha detto...
Questo commento è stato eliminato dall'autore.
Guastulfo (Giuseppe) ha detto...

@Faber
Al contrario, è proprio questo il principio vigente in Italia.
Da dove scaturisce la tua affermazione?
Per sapere, senza sfumature polemiche.


Vero mi sono sbagliato. Errore giustificato dal fatto che nei settori come quelli delle gare, urbanistica e trasporti questo principio, di fatto, non vale: è dettagliato sia ciò che è vietato e ciò che è permesso. Anzi spesso si hanno accavallamenti di norme da cui è difficile districarsi.

Art. 4. Definizioni[...]

Mi riferivo all'articolo successivo:

art.5 comma 3: " Il trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali è soggetto all'applicazione del presente codice solo se i dati sono destinati ad una comunicazione sistematica o alla diffusione. Si applicano in ogni caso le disposizioni in tema di responsabilità e di sicurezza dei dati di cui agli articoli 15 e 31.

Quando parlo di trattamento sottintendo quello effettuato dalle aziende a vari fini. Gli scopi privati non rientrano nella legge sul trattamento dei dati personali se non quando si ha una perdita degli stassi a danno di qualcuno.

Paolo Attivissimo ha detto...

Faber,

i dettagli sono nella cartella "spam" di blogger.

Ho guardato, ma è vuota. Mi spiace.

Templaro Secolari ha detto...

@Faber
"Risposta breve: chissenefrega del 3.2.1.
Risposta lunga: il seguito del papiro citato chiarisce che il 3.2.1 non riguarda i casi prospettati da Paolo; i dettagli sono nella cartella "spam" di blogger. "

Boh, sarò gnucco io, ma:
Risposta breve: "chissenefrega del ..." credo che in un qualsiasi tribunale non regga molto a lungo
Risposta lunga: fammi capire perchè da solo non ci arrivo. Il seguente punto 3.2.2 elenca le sclusioni dalla verifica preliminare, e proprio non citrovo dentro casistiche riconducibili a quella dell'articolo di Paolo. Se mi indichi cortesemente il punto del papello dove sono esplicitamente escluse, mi fai un grande piacere e sarò ben lieto di ricredermi.

Faber ha detto...
Questo commento è stato eliminato dall'autore.
Templaro Secolari ha detto...

@Faber:

Grazie, ho capito il tuo rilievo, ed avevo già considerato il punto 6.1.
Però guarda che tu stesso nella tua (esaustiva, grazie mille) spiegazione alla fine confermi la mia tesi.

Paolo scrive infatti: "Fatto questo, mettete quello smartphone nell’ambiente che volete proteggere (un ufficio, una stanza di casa, una camera d’albergo)"

Ufficio e camera d'albergo non credo possano in alcun modo essere considerati spazi privati.

In ultima analisi credo che il senso generale inteso da Paolo fosse effettivamente la sola "sfera privata", ma al contrario del blog, in un eventuale tribunale più delle intenzioni (spesso) si traguardano i fatti.

Faber ha detto...
Questo commento è stato eliminato dall'autore.