skip to main | skip to sidebar
41 commenti

Haven, l’app consigliata da Snowden per sorvegliare i propri spazi privati

Credit: Peter Hess.
Quando si pensa alla sicurezza informatica, di solito si pensa alle intrusioni compiute via Internet. Ma esiste anche l’universo degli attacchi fisici, nel quale c’è davvero di tutto e spesso l’obiettivo non è rubare un computer o uno smartphone ma accedere ai dati sensibili che vi risiedono.

C’è l’addetto alle pulizie complice di una banda di criminali informatici, che installa di nascosto un keylogger, ossia un minuscolo dispositivo che registra e ritrasmette tutto quello che viene digitato sulla tastiera del direttore di una filiale di una banca o di un’azienda. E c’è il collega di lavoro ficcanaso, il partner sentimentale geloso, il genitore, il figlio o la figlia che vuole a tutti i costi frugare nella nostra vita digitale.

Capita più spesso di quel che si potrebbe immaginare. Nel mio lavoro ho avuto a che fare con tanti partner ed ex-partner ossessivi e anche con bambini che erano attratti irresistibilmente dagli smartphone dei genitori per giocarvi di nascosto, approfittando della loro assenza o distrazione, e per farlo diventavano ladri provetti, rimettendo il telefonino perfettamente a posto dopo l’uso. A tradirli erano le bollette telefoniche maggiorate causate dai loro giochi online.

Ora c’è una soluzione ingegnosa e gratuita per questi problemi: si chiama Haven, ed è un’app per dispositivi Android (scaricabile da Google Play) che trasforma uno smartphone in un cane da guardia digitale.

Funziona così: prendete un vecchio smartphone Android che non usate più (o compratene uno ultraeconomico sacrificabile), dategli una SIM abilitata alla trasmissione dati*, e installatevi Haven. Fatto questo, mettete quello smartphone nell’ambiente che volete proteggere (un ufficio, una stanza di casa, una camera d’albergo).

* La SIM serve solo se volete inviare i dati rilevati da Haven via rete cellulare e ricevere SMS di allerta, per esempio perché temete che qualcuno faccia jamming del Wi-Fi o se il Wi-Fi non c’è; se non avete questo problema, potete usare Haven anche senza SIM.

Se entra qualcuno, grazie a Haven il microfono capterà il rumore, la fotocamera rileverà il movimento, il sensore di luce noterà il cambiamento d’illuminazione e l’accelerometro rileverà qualunque vibrazione o spostamento; Haven si accorgerà di qualunque tentativo di scollegare il telefonino dall’alimentazione o di spegnerlo, registrerà tutti questi eventi e se volete li manderà immediatamente al vostro telefonino principale via SMS o con una connessione Internet criptata.

Naturalmente Haven non protegge contro un ladro che voglia portar via qualcosa: è un modo semplice, tascabile, discreto ed economicissimo per avere la garanzia che un nostro spazio personale non sia stato violato o per sapere in tempo reale se e quando viene violato, oltre che un bel modo per riciclare un vecchio telefonino. Per esempio, se mettete lo smartphone con Haven in un cassetto vi manderà una foto di chiunque apra quel cassetto e saprete chi fruga tra le vostre cose.

Haven, fra l’altro, è open source, ossia liberamente ispezionabile per verificare che a sua volta non faccia la spia, e ha un pedigree molto particolare: è uno dei progetti di protezione della privacy sostenuti da Edward Snowden, il noto ex collaboratore dell’NSA. Uno che sulla riservatezza la sa lunga e che ora mette a disposizione di tutti le proprie competenze. Usiamole.


Questo articolo è il testo preparato per il mio servizio La Rete in 3 minuti per Radio Inblu del 2 gennaio 2018. Fonte aggiuntiva: Wired.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati manualmente da un moderatore a sua discrezione: è scomodo, ma è necessario per mantenere la qualità dei commenti e tenere a bada scocciatori, spammer, troll e stupidi.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui e/o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (41)
Questo è un buon momento per ricordare che questo blog risiede nella "Svizzera italiofona".

Immagino che lo strumento, da un punto di vista tecnico funzioni allo stesso modo in tutto il mondo, ma gli italiani che stanno in Argentina, Los Angeles, New York, Camberra, altre parti del mondo, insomma, prima di sogghignare tipo: "E adesso la vecchia ******* è sistemata, dopo il divorzio potrò persino comprarmi un caffè al mese, da mettere vicino alla zuppa di patate, e forse il giudice mi permetterà di possedere un telefonino." farebbero bene a controllare cosa dicono le leggi del luogo in cui si trovano ed informarsi su eventuali casi precedenti.

Buon anno a tutti.

Adesso, in questo blog frequentato da astronomi e scienziati supertecnici avrei bisogno del consiglio di qualche astrologo o esoterico... Il mio porcellino laterizio, cioè le lattine in cui butto gli spiccioli, ieri ha spaccato in due lo scaffale su cui stava... è un buon segno o un cattivo segno?
Funziona anche tramite WIFI?
buona idea, volendo con un vecchio telefonino si può fare una camera di sicurezza, sta diventando come il maiale non si butta niente!
bello in tutto.... pero non manda le foto.....
Bello il micio colto in flagranza.
Forse dovrei dire in fragranza perché a caccia di crocchette.
Praticamente consiglia una app spia per spiare gli spioni.

Non so, ma sapere che esiste una cosa del genere ora mi preoccupa più degli eventuali ficcanaso.

In pratica sto facendo una cosa illegale per sventare una cosa illegale, sono l'unico a trovarlo assurdo? Tra parentesi dubito della legalità delle ip camera..
Buona idea se si hanno familiari o colleghi impiccioni. Peccato che un vecchio telefono, con la batteria poco efficiente e lascoato in un cassetto duri poco...
@puffolotti a me sembra un'ottima cosa: significa che era bello peso!
Se avessi uno smartphone vecchio, potrei usarlo per beccare quella streghetta di mia figlia che ficca il naso nelle mie cose, poi nega anche l'evidenza
Ps: data la dubbia legalità, potrei farlo solo ora che lei è il fratello sono troppo piccoli anche solo per sospettare l'esistenza di leggi, avvocati, ecc ecc ecc
Questo commento è stato eliminato dall'autore.
"Rubano di nascosto i telefoni ai genitori per giocarci" Ci vorrebbe che molti genitori imparassero per primi che il telefono non è un videogioco, molti sono i primi a dire che non compreranno mai ai figli dei videogiochi prima di X età per poi vantarsi con tutti che "mio figlio è troppo intelligente, sa usare il mio telefono meglio di me"
Avere un dispositivo che registra audio in modo occulto è illegale
@Il Lupo della Luna

Oggidì avere dashcam o dashmic occulti è una questione di prudenza.
Come dire, "preferisco pigliarmi una multa a 3 cifre che una a 5 o 6, anche se so che sarebbe meglio non prendermi nessuna delle due."

Ogni tanto, sul lavoro si dice la battuta: "Eh, avrei dovuto studiare la pallacanestro, invece che [Diploma o laurea]" e in generale quando si dice questo si sta scherzando e ci si fa una risata col direttore.

Ma è molto brutto il momento in cui si scopre che l'arte o la facoltà che non si sarebbe dovuto tralasciare in favore dello studio non è la pallacanestro, non è lo skateboard, non è il fanta-calcio, non è il rap, ma è l'arte di cacciar balle, abbindolare la gente, fare la vittima inconsapevole.

Coi tempi che corrono, la metto sullo scaffale della legittima difesa.
Il Lupo, tutti,

Avere un dispositivo che registra audio in modo occulto è illegale

Allora metti un cartello "Questa camera d'albergo / stanza / ufficio è videosorvegliata", senza specificare esattamente come :-)

E poi diciamo a Google e Apple che "Ehi Siri" e "OK Google" sono illegali, visto che fanno la stessa cosa.

A parte questo, mi sembra uno scrupolo legale davvero eccessivo. Se io, in casa mia o nel mio ufficio, metto un sensore che mi consente di fotografare chi mi ruba le cose dai cassetti, voglio vedere se il ladro ha il coraggio di farmi causa.
@Il Lupo della Luna
Avere un dispositivo che registra audio in modo occulto è illegale

In base a quale legge?

Se mi citi il d.lgs 196/2003 caschi male :-)

Molti pensano che tale legge si riferisca alla protezione dei dati personali, invece parla del trattamento dei dati personali che è tutt'altra cosa.

Questo vuol dire che posso filmare e registrare chi mi pare e piace, ovunque mi trovi.
Se le registrazioni servono a scopi personali non si deve comunicare un bel niente.

Se ho intenzione di diffondere le immagini allora basta farlo sapere con un cartellino o anche a voce.

Il d.lgs 196/2003 non tutela i dati personali ma indica solo le misure minime su come trattarli.

Se volessi trasmettere a chi mi pare (anche per far soldi) i dati relativi alla salute alla religione e orientamanti sessuali dei miei vicini di casa, lo posso fare a patto avere il loro consenso (la firma sull'informativa, in caso di dati sensibili).
voglio vedere se il ladro ha il coraggio di farmi causa.

Qui in Italia non mi stupirebbe neppure vedergliela vincere.
La differenza con siri e Google è che tu sai che ascoltano.

http://www.carabinieri.it/cittadino/consigli/tematici/giorno-per-giorno/questioni-di-privacy/videosorveglianza

http://garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1003482
Il Lupo,

La differenza con siri e Google è che tu sai che ascoltano.

Non è detto. Io posso sapere lo stato di Siri/Ok Google sul _mio_ telefonino, ma non so nulla di quelli degli altri che mi stanno intorno.
@ Guastulfo (Giuseppe) Commento #13 • 3/1/18 10:53

Dirimente è la presenza o meno di chi registra.

• Cassazione, sentenze n. 7239 del 1999 e la n. 36747 del 24 settembre 2003
- L'azione non è reato, come ribadito dalle sentenze citate (testualmente: "le registrazioni di colloqui, riunioni, anche fatte di nascosto, sono perfettamente lecite ed hanno lo stesso valore di una nota scritta; peraltro, la cosiddetta "registrazione audio" rappresenta un valido elemento di prova davanti al giudice"), anzi, la Cassazione ha ribadito che, se chi esegue la registrazione è presente o assiste alla conversazione, può divulgarla (a meno di specifici divieti tipo il segreto d'ufficio), usarla per tutelarsi da abusi o minacce ed essere usata come prova in tribunale all'occorrenza.

• Cassazione, sezione VI penale, sentenza 10 aprile-24 giugno 1996 n. 6323
- La registrazione di conversazioni a opera di uno degli interlocutori è legittima e utilizzabile a fini probatori in quanto la stessa non realizza alcuna «intercettazione» in senso tecnico, ma si risolve sostanzialmente in una particolare forma di «documentazione». (Principio affermato con riguardo a fattispecie nella quale la registrazione fu effettuata da soggetto direttamente interessato al colloquio e non quale strumento o longa manus della polizia).


La differenza sostanziale è questa:
- se chi effettua la registrazione, anche in modo occulto, partecipa alla conversazione oppure è comunque presente/assiste alla conversazione la registrazione stessa È legittima;
- se chi effettua la registrazione NON è presente alla conversazione la registrazione è una vera e propria intercettazione, legittima solo se autorizzata da chi ne ha il potere; in caso contrario è un reato penale.
Questo commento è stato eliminato dall'autore.
@lupo.
Il documento dei carabinieri che hai linkato (che fa riferimento al dgls 196, aggiornato in data novembre 2017 (http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/export/1311248 è molto semplificato.
Ad esempio è possibile mantenere le registrazioni, previo assenso del garante della privacy, anche per anni.
Inoltre ti sfuggono i perimetri e i limiti dei vari principi:
Principio di liceità
Principio di necessità
Principio di proporzionalità
Principio di finalità

Potresti scoprire che la zona grigia avvalorata dal garante è molto ampia
Beh se siamo al "lo faccio perché non è esplicitamente vietato" allora, scusate, vale tutto.
Questo commento è stato eliminato dall'autore.
@grammarfone
se chi effettua la registrazione NON è presente alla conversazione la registrazione è una vera e propria intercettazione, legittima solo se autorizzata da chi ne ha il potere; in caso contrario è un reato penale.

... ma se ti informo che sto registrando e cosa ne faccio delle registrazioni e tu acconsenti non è più intercettazione e posso fare ciò che voglio nei limiti dell'informativa che ti faccio firmare.

Quello che volevo sottolineare è l'equivoco della legge sulla privacy che, di fatto, tutela ben poco della privacy (se non nei casi come quello di noisigroup) perché si limita a dare disposizioni su come trattare i dati e non pone limiti al loro uso a condizione che "l'utente ne sia informato".

Se hai presente le clausole, per esempio, delle "carte fedeltà"
- "consenti a profilarti e mandarti pubblicità ecc..."
- "consenti di inviare i tuoi dati ad aziende terze e farti profilare anche da loro"

allora ti sarà facile capire cosa intendo.
Sarebbe utile leggere la normativa (italiana):
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1712680

In caso di utilizzo delle "evidence" raccolte con siffatto sistema, il "malfattore" potrebbe effettivamente adire le vie legali ed avere buone probabilità di ottenere soddisfazione.

Nello specifico, art. 3.2.1:


".. Ad esempio, devono essere sottoposti alla verifica preliminare di questa Autorità [garante privacy, ndTS] i sistemi di videosorveglianza dotati di .."



"Un analogo obbligo sussiste con riferimento a sistemi c.d. intelligenti, che non si limitano a riprendere e registrare le immagini, ma sono in grado di rilevare automaticamente comportamenti o eventi anomali, segnalarli, ed eventualmente registrarli. In linea di massima tali sistemi devono considerarsi eccedenti rispetto alla normale attività di videosorveglianza, in quanto possono determinare effetti particolarmente invasivi sulla sfera di autodeterminazione dell'interessato e, conseguentemente, sul suo comportamento. Il relativo utilizzo risulta comunque giustificato solo in casi particolari, tenendo conto delle finalità e del contesto in cui essi sono trattati, da verificare caso per caso sul piano della conformità ai principi di necessità, proporzionalità, finalità e correttezza (artt. 3 e 11 del Codice)."
@Il Lupo della Luna
Beh se siamo al "lo faccio perché non è esplicitamente vietato" allora, scusate, vale tutto.

Da dove lo deduci che sia stato detto questo?

In Italia non vale questo principio giuridico (cioè: quello che non è vietato è permesso).

Ti è stato spiegato che la legge sulla privacy riguarda il TRATTAMENTO DEI DATI PERSONALI. Quindi, se i dati non li tratti non devi attenerti a quello che dice la legge.
Approfitto per chiarire una cosa che è già stata detta ma non mi convince in pieno: è quindi legale, se si è presenti ad una conversazione (andando dal partecipare all'essere davanti alla macchinetta del caffè dove altri tizi parlano), registrare i dialoghi. Giusto così?
Quindi, caso pratico, se io voglio documentare un colloquio dove si parlerà di cose poco "ortodosse" posso andarci col microfono del telefono acceso e poi usare l'audio come prova senza colpo ferire.
E come la mettiamo se l'audio viene sottoposto a taglia e cuci per far dire quel che si vuole, o se si usano quei software che riproducono alla perfezione la voce umana? Immagino i file porteranno i segni di queste operazioni chirurgiche, ma tutto ciò presta il fianco a porcate che nella nostra epoca di scarsa tolleranza possono essere assai perniciose (non ho citato a caso il caso della macchinetta del caffè per caso).
Questo commento è stato eliminato dall'autore.
Questo commento è stato eliminato dall'autore.
Questo commento è stato eliminato dall'autore.
Questo commento è stato eliminato dall'autore.
@Faber
Anche senza informazione e consenso.

L'ho detto prima :-)

E' come la cannabis: se si raccolgono dati sulla salute e gusti sessuali dei propri vicini (e son dati sensibili eh!) per uso personale nessun problema.

Bada però che se i dati poi te li rubano allora so' cavoli. :-)

Se, invece, volessi distribuire in giro con volantinaggio e/o via web i dati relativi ai gusti sessuali, di salute, il codice IBAN, tutto abbinato al nome e cognome sempre dei miei vicini, basta una firmetta sull'informativa e sono a posto.
Questo commento è stato eliminato dall'autore.
Questo commento è stato eliminato dall'autore.
Questo commento è stato eliminato dall'autore.
@Faber
Al contrario, è proprio questo il principio vigente in Italia.
Da dove scaturisce la tua affermazione?
Per sapere, senza sfumature polemiche.


Vero mi sono sbagliato. Errore giustificato dal fatto che nei settori come quelli delle gare, urbanistica e trasporti questo principio, di fatto, non vale: è dettagliato sia ciò che è vietato e ciò che è permesso. Anzi spesso si hanno accavallamenti di norme da cui è difficile districarsi.

Art. 4. Definizioni[...]

Mi riferivo all'articolo successivo:

art.5 comma 3: " Il trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali è soggetto all'applicazione del presente codice solo se i dati sono destinati ad una comunicazione sistematica o alla diffusione. Si applicano in ogni caso le disposizioni in tema di responsabilità e di sicurezza dei dati di cui agli articoli 15 e 31.

Quando parlo di trattamento sottintendo quello effettuato dalle aziende a vari fini. Gli scopi privati non rientrano nella legge sul trattamento dei dati personali se non quando si ha una perdita degli stassi a danno di qualcuno.
Faber,

i dettagli sono nella cartella "spam" di blogger.

Ho guardato, ma è vuota. Mi spiace.
@Faber
"Risposta breve: chissenefrega del 3.2.1.
Risposta lunga: il seguito del papiro citato chiarisce che il 3.2.1 non riguarda i casi prospettati da Paolo; i dettagli sono nella cartella "spam" di blogger. "

Boh, sarò gnucco io, ma:
Risposta breve: "chissenefrega del ..." credo che in un qualsiasi tribunale non regga molto a lungo
Risposta lunga: fammi capire perchè da solo non ci arrivo. Il seguente punto 3.2.2 elenca le sclusioni dalla verifica preliminare, e proprio non citrovo dentro casistiche riconducibili a quella dell'articolo di Paolo. Se mi indichi cortesemente il punto del papello dove sono esplicitamente escluse, mi fai un grande piacere e sarò ben lieto di ricredermi.
Questo commento è stato eliminato dall'autore.
@Faber:

Grazie, ho capito il tuo rilievo, ed avevo già considerato il punto 6.1.
Però guarda che tu stesso nella tua (esaustiva, grazie mille) spiegazione alla fine confermi la mia tesi.

Paolo scrive infatti: "Fatto questo, mettete quello smartphone nell’ambiente che volete proteggere (un ufficio, una stanza di casa, una camera d’albergo)"

Ufficio e camera d'albergo non credo possano in alcun modo essere considerati spazi privati.

In ultima analisi credo che il senso generale inteso da Paolo fosse effettivamente la sola "sfera privata", ma al contrario del blog, in un eventuale tribunale più delle intenzioni (spesso) si traguardano i fatti.
Questo commento è stato eliminato dall'autore.