A. Cohen - Spie tra di noi

Spie tra di noi

di
Adam Cohen

Ok, forse potrà sembrare un po' paranoico. Ma l'anno scorso durante le vacanze natalizie Richard Smith, imprenditore nel campo del software e investigatore informatico freelance, si convinse che il suo computer lo stava spiando. Tutto è cominciato dopo che Smith aveva scaricato nel suo computer un ingegnoso programma chiamato "zBubbles", che si suppone d'aiuto nello shopping online. Prodotto da Alexa, una sussidiaria di Amazon, zBubbles fa alcune cose utili. Quando si naviga in siti di e-commerce, esso appare sotto forma di pop up (la finestrella che si apre all'interno della finestra principale) e offre consigli e raccomandazioni in merito al prodotto. E, proprio come un buon compagno di acquisti, ti dà anche consigli comparativi avvertendoti su dove e come potresti trovare lo stesso prodotto ad un prezzo inferiore.

Ma c'è un lato oscuro del programma che lo rende meno amichevole. Mentre navigava in una newsgroup sulla privacy in Internet, Smith ha notato la lettera di un fruitore di zBubbles che sospettava il programma lo stesse spiando, riportando discretamente alla Alexa le sue azioni online. Intrigato da quanto riportato, Smith, che ha svolto un ruolo importante nel rintracciare il creatore del virus "Melissa", decise di investigare. Dal terzo piano del suo ufficio ha compiuto un piccolo esperimento: attivando zBubbles, ha incominciato a navigare nella rete. Simultaneamente ha lanciato un altro programma chiamato "packet sniffer" in grado di esaminare le trasmissioni che partivano dal suo computer per tornare in Internet. Ha così scoperto che le trasmissioni contenevano ogni tipo di informazione sul suo proposito che zBubbles aveva selezionato mentre lo accompagnava online. Quale ne era il contenuto? Innanzitutto il suo indirizzo di casa. Inoltre ha rispedito i titoli dei DVD che egli aveva preso in considerazione di comprare presso il sito Buy.com. Il computer riportava anche informazioni circa un volo aereo che egli aveva prenotato per la sua figlia quattordicenne. "Roba da far accapponare la pelle", dice Smith.

zBubbles ha alcune buone ragioni per rimandare ad Alexa certe informazioni: nel mondo del e-shopping è importante conoscere quali siti vengano visitati e quali prodotti vengano presi in considerazione. Ma zBubbles apparentemente spia anche quando gli utenti non sono intenti nello shopping: Smith stava soltanto controllando la prenotazione dell'aereo quando zBubbles si è impossessato del numero del volo e lo ha inviato alla sua casa madre. "Stanno ricevendo troppe informazioni", conclude Smith, "il programma è sempre attivo nonostante noi non siamo sempre in fase di acquisto".

Gli esponenti di zBubbles ,interpellati dalla Federal Trade Commission su invito di Smith, si rifiutarono di commentare. La privacy policy della compagnia (ossia quel documento che chiarisce l'utilizzo delle informazioni raccolte con l'attività) garantisce che le informazioni non vengono correlate agli individui. Se questo sembra smorzare le apprensioni, Smith ed altri sono preoccupati perché le informazioni potrebbero essere "accoppiate" ai singoli individui nel caso la società venisse venduta oppure se semplicemente dovesse cambiare idea. Infatti chi volesse utilizzare zBubbles è avvertito che la "privacy policy può essere cambiata in futuro" e,dunque, si invita l'utente a "tornare frequentemente per controllarla".

Di questi tempi è uno shock apprendere che navigare in Internet non sia un'esperienza privata. I providers hanno la capacità di registrare le tracce dei siti che ognuno visita e dei software che vengono scaricati. I siti a loro volta rilasciano cookies - piccoli segni di riconoscimento memorizzati sull'hard disk- al fine di mantenere un registro dei visitatori. E la "questione DoubleClick", che è esplosa all'inizio di quest'anno allorché emerse che la compagnia DoubleClick.com aveva creato un grosso database incrociando i propri profili con quelli della neo acquisita (per $1.7 bilioni) società di direct marketing Abacus Direct, sta a ricordare come sia facile per alcune entità collegare i cookies rilasciati dai siti con le nostre abitudini offline e, dunque, assemblare un dossier completo che comprenda tutto quanto riguarda il lavoro fino ai libri o film preferiti.

Ma zBubbles è solo una parte di quelle nuove incursioni sulla privacy che portano Internet a nuovi livelli di "spionaggio":i software che impongono al tuo computer di spiarti. Questi programmi si piazzano nelle profondità del disco fisso e, da quella postazione privilegiata, incominciano a scavare alla ricerca di informazioni. Spesso controllano i tuoi movimenti online, altre volte sono attivi anche se non si è agganciati alla rete. Nel linguaggio virtuale si parla di "applicazioni E.T." poiché, dopo aver alloggiato nel tuo computer e aver imparato cosa gli interessa sapere, fanno quello che faceva l'extraterrestre di Steven Spielberg: chiamano casa.

Questa potrebbe essere la parte che più induce alla paranoia. Le applicazioni E.T. usano la tua connessione Internet per recapitare briefings spionistici su di te, spesso senza che tu te ne accorga. "Se sei connesso in rete, è facile per queste applicazioni spedire un pacchetto a casa", afferma William Cheswick, capo della "Lucent Technologies" nuova impresa nel campo della Internet security. "E' solo un flash in più della luce del modem. Chi mai la noterebbe?". In effetti alcune applicazioni E.T. sono state scoperte in tal modo. Gente che pur a distanza dal proprio computer acceso ha una percezione anomala: la luce del modem lampeggia, indicando che un'informazione è in fase di trasferimento attraverso la connessione, anche se nessuno è seduto davanti alla macchina.

I creatori delle applicazioni E.T. affermano che le paure inerenti la privacy sono gonfiate ed eccessive. Molti dicono che anche se fossero in grado di raccogliere dati sugli utenti in genere, essi non avrebbero tuttavia la capacità di ricondurli a specifici individui. Si, loro potrebbero sapere - anche senza che ne sia a conoscenza - che tu stai visitando un sito pornografico o uno che parla di HIV, ma - dicono- non collegheranno mai tutto ciò al tuo nome. Queste assicurazioni non placano però molti avvocati che fanno notare come i dati possano formare oggetto di utilizzi distorti e come, visto il valore commerciale di un profilo individuale, le compagnie che li assemblano possano cambiare la loro politica in ogni momento.

Le perplessità crescono allorché entriamo nell'era del computer portatile e senza fili. Tra non molto i nostri computer avranno performance elevate in dimensioni sempre più ridotte: se questi PC tascabili dovessero avere delle spie al loro interno, la loro capacità di monitorare le nostre vite sarebbe allora virtualmente illimitata.

Le applicazioni E.T. traggono vantaggio da un semplice aspetto del mondo Internet: quando scarichiamo programmi molti di noi non hanno idea di quale ne sia l'effettivo contenuto. Dobbiamo affidarci alla parola della compagnia che lo distribuisce- e del programmatore del software — fidandoci che faccia quello che promette di fare e nulla più. "Ogni parte di programma che viene scaricata da Internet è potenzialmente un cavallo di Troia", ammonisce David Kristol della Lucent Technologies, "non c'è modo di sapere cosa stia per succedere".

Questo è ciò che rende semplice la diffusione di virus come Melissa, che ha viaggiato attraverso la rete via e-mail, incartato in un documento Word dall'aspetto innocente. E questo rende così facile la frode via Internet. Pochi anni fa un virus rinominato "Moldova" attirò diversi utenti al sito porno waysexygirls.com: il programma da scaricarsi necessario alla visione delle avvenenti ragazze conteneva un cavallo di Troia che si impadroniva del modem imponendogli di chiamare un numero in Moldavia, caricando così la bolletta telefonica dell'ignara vittima di una tariffa di $3 al minuto.

Le applicazioni E.T. non sono così minacciose, ma spesso fanno sparire informazioni personali che l'utente non sa dove finiscono, e altrettanto spesso non sanno neppure che tutto ciò sia possibile. Si prenda ad esempio il caso di "SurfMonkey", un programma che si supponeva proteggesse i bambini che navigano bloccando linguaggi non appropriati o l'accesso a pagine non adatte alla loro età. Ma, secondo Smith, esso manda a casa anche informazioni incluse la User ID, il numero di telefono e l'indirizzo di posta elettronica. La compagnia nega di utilizzare i codici identificativi dell'utente per collezionare dati sull'individuo; sarebbero usati per confermare l'effettiva utilità per i bambini del programma, qualsiasi altra informazione raccolta verrebbe dunque ignorata. In ogni caso la società ha pianificato di modificare a breve termine il software in modo che non invii più dati finalizzati all'identificazione.

Le origini delle applicazioni E.T. affondano le loro radici in un luogo sorprendente: la Microsoft. Quando uscì Windows 95, questo includeva un programma nominato "Registration Wizard" che permetteva agli acquirenti di fare a meno della consueta lettera e di registrare il loro software direttamente in rete. Ma faceva anche qualcos'altro: rovistava nel disco fisso facendo una cernita degli altri programmi installati nel computer dell'acquirente e, dunque, spediva la suddetta informazione alla Microsoft. Sebbene la Microsoft chiedesse il consenso agli utenti, ciò ha causato non poco rumore. I critici accusarono Bill Gates & Co. Di spiare ai fini di trarre vantaggio commerciale: sostennero che la Microsoft volesse le informazioni allo scopo di conoscere quali fossero gli utenti del programma di scrittura antagonista "Word Perfect" in modo da poterli convincere con apposita e-mail a passare al loro prodotto, "Microsoft Word". In seguito il clamore si quietò e la Microsoft mantenne Registration Wizard così com'era.

Nei cinque anni susseguenti all'uscita di Windows 95 le applicazioni E.T. sono proliferate: più di 22 milioni di persone credono di averle scaricate. Le più note sono "PKZip" (un programma shareware, dunque gratuito, per comprimere, acquisire e archiviare i file) e "CuteFTP" (largamente usato per decomprimere i file musicali in Mp3); la Conducent - ossia la compagnia che li produce e distribuisce - asserisce che i dati raccolti hanno uno scopo esclusivamente demografico e che non vengono acquisite informazioni identificabili. Portare alla luce le applicazioni E.T. è operazione complessa anche per gli esperti informatici. In alcuni casi sono stati scoperti solo allorché legali periti di Internet privacy hanno colto sul fatto il movimento in entrata ed uscita dei dati dal loro computer. Tanto è capitato a Smith circa la RealNetworks l'ultimo inverno.

La Real Networks produce il popolare software "RealJukebox", che permette agli utenti di trasferire musica dalla rete e i propri Cd sul disco fisso in modo da ascoltarli attraverso il computer. Smith ha notato che quando inseriva un Cd nel computer, la musica scelta e il numero di identificazione della macchina venivano spediti alla RealNetworks. Da quando Smith ha fornito il suo nome e altre informazioni identificative in sede di registrazione presso la compagnia, la RealNetworks sarebbe stata in grado di compilare un archivio inerente le sue preferenze musicali. Sotto il fuoco della critica, la compagnia, pur continuando a sostenere che i dati identificativi non venissero correlati ai gusti musicali, nondimeno ha proceduto alla disabilitazione delle applicazioni E.T.

La società che più di recente ha sentito pressioni circa le proprie applicazioni E.T. è la Radiate, già conosciuta come Aureate. La Radiate è una compagnia pubblicitaria che lavora insieme ai creatori di shareware e software che possono essere scaricati tramite Internet. Gli scrittori di shareware hanno a lungo cercato sostentamento semplicemente chiedendo a coloro che scaricano il prodotto un pagamento volontario. Il problema era che, naturalmente, in pochi si erano lanciati in donazioni. La soluzione della Radiate: mettere pubblicità negli shareware. Ma oggigiorno la soluzione pubblicitaria più efficace è quella mirata, quella che fatta su misura per il singolo utente lo può dirigere verso una data scelta in un sol colpo. Gli advertisments della Radiate - piazzati in programmi diffusissimi come Go!zilla e la versione più antica di Free Solitaire - si accompagnavano a programmi E.T. i quali si accasavano via via in 18 milioni di computer riportando quali banner pubblicitari venissero cliccati da ognuno degli utenti.

I legali esperti in privacy di Internet erano furiosi: Sostennero che rintracciare la pubblicità che qualcuno clicca è estremamente invadente: gli utenti non vogliono che si sappia quale prodotto hanno preso in considerazione, riguardi esso la pornografia o il cancro. Uno scenario ulteriormente negativo: questo tipo di dati sensibili racimolati durante una tranquilla navigazione casalinga potrebbero giungere fino alla scrivania del datore di lavoro. Di peggio c'è da segnalare che la versione originale del programma della Radiate, che ancora risiede in innumerevoli computer, era stata creata in modo da continuare a "chiamare casa" anche una volta disinstallato il relativo shareware. Solo in seguito alle lamentele e minacce di diversi legali la società ha messo a disposizione sul proprio sito il complesso programma di cancellazione.

La Radiate continua ad asserire di non aver fatto nulla di male, non avendo mai identificato utenti individuali presso siti particolari: "Le informazioni sono anonime"- dice il portavoce Peter Fuller - "tutto ciò che sappiamo è che l'utenteXYZ123 ha cliccato su di una pubblicità". E, a sentire Fuller, nessuna informazione specifica sugli utenti è stata passata ai pubblicitari.

Una delle insidie maggiori è così costituita dal fatto che molti non sono in grado di venire a conoscenza del pericolo che si annida nel computer. C'è chi - il consulente informatico Steve Gibson - ha scoperto un'applicazione E.T. solo eseguendo "Zone Alarm", un programma-barriera (un cd. firewall) che scorrendo tutte le applicazioni passibili di connessione (browser e programma di posta) ne ha individuata una (tsadbot.exe) sconosciuta e che era giunta fin lì scaricata da uno shareware.

Cosa può fare un utente medio contro tali intrusioni? Per ora niente. Ma Gibson - che non è un utente medio - ha sviluppato un programma chiamato "Optout" in grado di rimuovere Radiate ,e sta lavorando per renderlo efficace anche contro le altre applicazioni E.T., ivi incluso il "tsadbot.exe".

Un grosso punto interrogativo è: cosa farà la legge davanti agli E.T.? I giuristi dicono che la legislazione può proibirli. Negli USA il Computer Fraud and Abuse Act, messo a punto per colpire l'hacking dei terminali governativi, contiene norme che genericamente vietano l'accesso non autorizzato ai computer data. Ci sono inoltre buone possibilità che il Congresso promuova e approvi una nuova legislazione che colpisca le intrusioni più dirette. In ogni caso si registrano i primi ricorsi alle aule giudiziarie: un'azione collettiva intentata contro la RealNetworks chiede $500 milioni a risarcimento di un milione di utenti californiani.

Anche prime che le applicazioni E.T. giungano davanti alle corti, il pubblico risentimento potrebbe indurre le società produttrici ad una maggiore cautela nel loro utilizzo. Nell'intento di scovare alcuni hackers che stavano devastando i servers, EverQuest, un popolare gioco di ruolo online, portava insieme al proprio download un E.T. che frugava nel disco fisso dell'utente alla ricerca di programmi di hacking. Non appena la cosa fu pubblica la Verant Interactive, la società produttrice del gioco, venne inondata da lettere elettroniche di protesta. Il capo della società ne segnala una in particolare di un veterano: "Ho combattuto in Vietnam per i diritti di questo paese e uno di questi è il diritto alla privacy". Davanti a tante critiche la Verant ha cestinato le applicazioni E.T. sostituendole con tecnologie che cercano i pirati quando giungono nei servers della compagnia: "Probabilmente non funzionerà, ma che altro posso fare?"

Anche la Microsoft, dopo i problemi relativi a "Registration Wizard", si è unita alla crociata per la privacy. Ha introdotto una voce in Microsoft.com chiamata "Profile Center" che permette all'utente di esaminare qualsiasi informazione il colosso informatico abbia raccolto sul suo conto e di cancellare quindi quelli che non si desidera rimangano in suo possesso. Yusef Mehdi - vicepresidente della divisione marketing della MSN- sostiene che il Profile Center è nato dalle lezioni del dopo Windows 95. Una di queste lezioni, egli nota, è che una ben chiara e ben in vista privacy policy porta anche a ragguardevoli vantaggi economici: "Se lo fai ispirerai più fiducia nei consumatori che, dunque, rilasceranno più dati".

La nuove sensibilità che molte società stanno esibendo è una buona notizia per coloro che utilizzano il computer e sono preoccupati per la privacy. Certo per ogni Radiant o Verant che si mette in riga, ce ne saranno molte altre che stanno ancora spiando. Alla distanza una soluzione — sostiene Cheswick - potrebbe essere quella di bipartire il disco fisso dividendolo in una parte pubblica e una privata in modo da evitare che i download abbiano accesso a informazioni che non si vogliono rendere pubbliche. Per ora la soluzione è una e semplice: non scaricare programmi da Internet o dall'e-mail. Può sembrare drastico. Ma se si percorre la via inversa non ci siate sorpresi se il vostro computer va in giro per il mondo a parlare di voi.

(Ndr: ripreso da Times del 31 luglio 2000)