Tutorial: Anonimato Online

Credete che Firefox, Chrome o Safari (spero non stiate usando Explorer…) siano realmente “privati” quando si usano le funzioni incognito, private browsing e simili?

Falso. Basta un veloce giro su alcuni test, ad esempio ip-check.info [JonDonym IP Check] e potrete constatare di persona quanto sia enorme la mole di dati che permette di identificare, quasi univocamente, la vostra presenza, si parte da dati semplici come i maledetti cookies passando per qualii plugin siano abilitati, la risoluzione dello schermo, i font installati e persino la tab history. Provate a fare questo test con i vostri browser, prima in modalità normale e poi con le funzioni di anonimizzazione del browser. Le conclusioni le lascio a voi.

Interessante anche notare quanto sia ormai localizzata l’informazione del vostro indirizzo ip, qualche volta arriva persino ad identificare la via precisa da dove vi state collegando. Provate pure http://wtfismyip.com/ [What The Fuck is my IP].

Poi ci sono i provider. A meno che il traffico non sia criptato, e spesso non lo è, loro possono vedere per filo e per segno tutto quello che gira per la vostra utenza. In Italia il data retention è normato e gli ISP sono tenuti a tracciare tutte le attività online. Che siti guardiamo, a chi scriviamo, qualsiasi cosa. Siamo anche tra i primi ad aver firmato per l’ACTA [Wikipedia]. Non c’è da soprendersi vista la forza (e gli interessi correlati di chi ci governa) che ha la SIAE da noi.

Non c’è molto da aggiungere poi quando si tratta di governi stranieri, Snowden, Wikileaks, Anonymous e altre fonti hanno già scoperto molto ed è palese che c’è molto altro.

Quindi, visto che nessun ente preposto a questo compito è in grado e forse nemmeno realmente interessato a proteggere il nostro privato tocca fare da soli.

Tutti i suggerimenti riguarderanno Mozilla Firefox ma presumo che chi usa Chromium (o Chrome, forse) non avrà grossi problemi a seguire i consigli. Non conosco Opera e su Explorer non voglio sprecare nemmeno un byte (tantomeno sul sistema operativo di Redmond).

Quindi, si parte.

1. Firefox: plugins / estensioni

La prima cosa da fare è blindare Firefox. Per prima cosa è da disattivare il servizio Sync. Anche se si tratta di un servizio che utilizza l’encryption si tratta pur sempre di dati delegati all’esterno.

Seconda cosa, installare HTTPS Everywhere [EFF], si tratta di un’estensione che forza l’utilizzo dell’encryption SSL quando disponibile.

Terzo passo, NoScript [NoScript], estensione comodissima che vieta l’esecuzione dell’ormai abusato JavaScript e altri nel vostro browser, se proprio vi fidate di alcuni siti o se necessario assolutamente per la sua funzionalità permette di impostare dei filtri con whitelist.

Disabilitare tutti i plugin ed estensioni non necessarie su Firefox, nel mio caso me sono tutte. Compreso il dannato Flash ed i suoi maledetti LSO [Wikipedia], un’autentica violazione di sicurezza basata su una fiducia che nessuno ha mai avuto il diritto di decidere se concedere o no a Flash. Niente più youtube? Amen, posso tranquillamente vivere senza. Idem per Java. Lo adoro come linguaggio di programmazione ma l’idea di codice in esecuzione sul mio browser è quanto di più divergente ci possa essere dal mio concetto di “sicurezza”.

Resto solo indeciso su AdBlock [AdBlock] perché trasmette una serie d’informazioni durante i suoi processi interni di verifica aggiornamenti, mantenimento liste, etc. Io lo sto usando ma è sub judice.

2. Firefox: impostazioni

Parte prima, Privacy tab.

Per prima cosa impostare il do-not-track.

Poi è il momento dell’history. Io consiglio “use custom settings”. Non mi irrita tanto il fatto che un sito lasci dei cookies quanto piuttosto che rimangano e possano essere utilizzati, o magari ricevere cookies da siti che non c’entrano nulla.

Quindi per me è “Accept cookies”, “Never” per “Third party cookies” e sopratutto “Keep” con “Until I close Firefox”, in questo modo li bruciamo ogni volta e addio tracciamento.

Rimane solo “Clear history when Firefox closes”, nessuno deve sapere dove sono stato, nemmeno io.

Parte seconda. Security Tab.

Le impostazioni predefinite sono sufficienti. Basta essere sicuri che gli unici siti autorizzati ad installare addons siano marketplace.firefox.com e addons.mozilla.org. Assicuratevi anche di impostare una Master Password.

Parte terza. Sotto il cofano.

Evitiamo di far sapere quali font sono installati nel sistema. C’è da andare su about:config e modificare il valore della proprietà browser.display.use_document_fonts da 1 a 0.

Evitiamo anche di rendere disponibile la cronologia dei tab chiusi di recente. Sempre sulla pagina di configurazione modifichiamo browser.sessionhistory.max_entries a 2.

Local storage. Nessuno deve permettersi di utilizzarci come cache. Proprietà dom.storage.enabled a false.

NOTA

La mole di lavoro necessaria già ci fa capire quanto poco sia considerata la privacy VERA del utente finale, tant’è che nelle nuove release di Firefox è stato levato del tutto il setting per il blocco di JavaScript e si rende necessario ricorrere a plugin esterni.

3. Firewall

Obbligatorio, a prescindere dal sistema operativo che usate.

 4. TOR

Il progetto TOR [Tor Project] è una validissima iniziativa. Riassumendo è una sorta di rete p2p TCP/IP. Quando si esegue una richiesta attraverso TOR il tutto va ad un entry node e da lì tutti i pacchetti vengono sminuzzati tra diversi relay e successivamente si ricompone tutto in un exit node che provvederà a ricevere la risposta ed effettuare il giro all’incontrario. Noi ci presenteremo sempre con l’indirizzo IP dell’exit node e nessun relay potrà ricostruire il flusso di dati.

Rimane comunque il problema che gli exit node invece possono ricostruire tutto nel caso in cui la comunicazione non sia criptata. Basta un sito senza HTTPS. Rimane comunque uno dei migliori tool a disposizione per ottenere una discreta dose di anonimato, è libero ed è disponibile per tutte le piattaforme. Non ci sono scuse per non averlo.

5. VPN

Una VPN [Wikipedia] è un tool prezioso quando si tratta di proteggersi da sistemi di sorveglianza. Come primo beneficio nessun server vedrà il vostro indirizzo IP ma solo quello del server VPN dal quale vi state collegando. Molto utile per mascherare la propria locazione, specie quando si tratta di accedere a servizi che per motivi commerciali non sono disponibili nel nostro paese o semplicemente per censura, ad esempio The Pirate Bay in Italia piuttosto che i sempre più diffusi metodi di vero e proprio oscurantismo che si intravedono in Turchia, Russia, Ucraina e allegra compagnia. Evidentemente la lezione della Primavera Araba (specie in Libia) è stata ben appresa, la rete è un pericolosissimo veicolo di libertà di comunicazione ed organizzazione e come tale va ben controllato, monitorato e censurato quando necessario.

Altro grosso vantaggio è che il traffico è completamente criptato, anche con algoritmi molto forti come AES. Questo fa si che il vostro provider perda completamente traccia del tipo di connessione e (sopratutto) protocollo utilizzato, con buona pace del traffic shaping [Wikipedia] che i provider usano sempre più spesso per limitare funzioni alle quali abbiamo il diritto di poter usufruire per contratto.

Ci sono molte varietà di VPN offerte, alcune gratuite, alcune a pagamento ma a noi interessano solo quelle che non conservano alcun log. Sfruttando alcune legislazioni che non prevedono il data retention esistono provider VPN che possono garantire la totale indiscrezione dei collegamenti.

In passato si sono verificati casi dove un provider VPN è stato costretto a fornire informazioni, il primo che mi viene in mente è il noto caso del “hacker” (che poi non era un hacker) di Anonymous, Topiary. Il suo provider VPN (Hide My Ass) è stato costretto a cedere le informazioni al governo britannico. UK dove oltretutto la normativa sull’encryption è terribile.

In ogni caso, il costo di un servizio VPN di qualità è ormai asintotico allo zero al giorno, meno del classico abbonamento alla tv digitale spazzatura, un dodicesimo per essere precisi.

Per scegliere quale provider VPN faccia al caso vostro valutate attentamente i seguenti parametri:

  • quali sono le policy per il logging
  • in quali paesi si trovano i server (inutile passare per un provider di Hong Kong per tornare su server in Europa o US)
  • quali protocolli supporta oltre a quelli più diffusi (Torrent? P2P generici?)
  • metodi di pagamento (bitcoin?)
  • quali protocolli di encryption utilizza

Su questo sito [TorrentFreak] c’è un ottimo elenco di fornitori VPN e quali siano le policy che applicano.

6. Servizi online

Inutile mettere in piedi tutto questo se poi si va ad utilizzare tutta quella serie di servizi che campa di raccolta (e rivendita) dati come Google, Facebook, Twitter, Yahoo, MSN e simili.

Basta cercare di accedere a Google tramite Tor. Vi farà vedere un bel captcha. Non riuscendo a raccogliere dati perchè vi siete anonimizzati vogliono essere sicuri di trovarsi di fronte ad un umano.

In alternativa a Google ci sono DuckDuckGo e StartPage, il primo sta diventando veramente valido, incredibile come quattro scappati di casa riescano a mettere in piedi un servizio che microsoft non riesce a far funzionare (ma qualcuno usa davvero bing?)

 7. DNS

Uno dei punti più deboli di tutto. Potrete proteggervi quanto volete, nascondere l’IP all’esterno, criptare le connessioni ma purtroppo bisogna sempre interrogare l’ISP per ottenere la risoluzione dei domain name contro l’indirizzo IP, volgarmente nota come DNS.

Per il momento sto utilizzando i DNS di Google (don’t be evil my bollocks) ma l’intenzione è quella di mettere in piedi un server DNS privato, al momento non ne so nulla se non che dovrò ricorrere a BIND [Wikipedia].

8. Virtual Machine

Un’ottima pratica è quella di utilizzare una virtual machine [Wikipedia]. Virtualizzare un’installazione linux (ubuntu, debian o qualsiasi altra distribuzione che preferiate) è veramente un gioco da ragazzi e ci sono tool gratuiti più che funzionali allo scopo come ad esempio Oracle Virtualbox [Virtualbox]. In questo modo è possibile mettere in piedi una virtual machine che non contenga nessun dato personale ed utilizzarla per buona parte della nostra vita online senza aver paura di bachi software che permettano di accedere a dati in locale o peggio a caratteristiche fisiche del sistema in uso.

Conclusioni

Mi duole ammettere che ottenere un buon livello di anonimato online non è roba per tutti ed è necessario avere una discreta dimestichezza con argomenti da vero e proprio nerd e non tutti sono in grado, ma anche solo seguire alcune di queste regole, specie VPN, TOR e blindare Firefox già offre una discreta anonimizzazione rispetto alla normalità.

Non voglio nemmeno addentrarmi nel campo dei telefoni, già svegliarsi al mattino e trovare sul display del telefono una stima del tempo di viaggio nel tragitto casa-ufficio la dice lunga su quel tipo di device, a prescindere dal fabbricante, sono tutte piccole spie in tasca.

Leave a Reply

Your email address will not be published. Required fields are marked *