Privacy online: arrivano le trappole. Il caso di unseen.is

Il grande movimento legato alla paura per la perdita della segretezza delle comunicazioni (un diritto costituzionale in Europa) , e per alcuni il problema minore della perdita della privacy ha spinto moltissimi ad allontanarsi da provider americani, ma NSA non demorde, e Internet si sta riempiendo di trappole, ovvero di siti che pretendono di essere molto hackerosi e molto privati, quando non lo sono affatto, e sono di fatto delle trappole.

Un esempio di cui voglio parlare oggi, perche’ menzionato sulla mailing list, e’ Unseen.is.

Unseen.is e’ un webmail provider che pretende di essere islandese , e siccome l’ Islanda sa di paese nordico (e’ un sacco nordica) e quindi di paese che ha grande cura dei diritti umani, vi fa credere che se usate questo provider “la legge vi protegge” dalle incursioni degli USA.

 

Ora, per prima cosa non e’ vero in generale: l’ Islanda ha fior di accordi con gli USA sulla cooperazione antiterrorismo. Inoltre, le leggi islandesi proteggono un sacco i cittadini islandesi , ma pochissimo gli stranieri.

 

Ma andiamo avanti: Unseen.is e’ un purissimo ente del diritto islandese?

 

Andiamo a vedere. http://www.who.is/domain-history/unseen.is

 

Innanzitutto, e’ una societa’ islandese? (1)

 

HOIS Result for unseen.is
unseen.is is currently registered% This is the ISNIC Whois server.
%
% Rights restricted by copyright.
% See http://www.isnic.is/copyright.php

domain: unseen.is
descr: Unsene, Inc.
descr: 775 E. Blithedale Ave. #362
descr: Mill Valley, California 94941
descr: US
admin-c: UI28-IS
tech-c: WR2-IS
zone-c: AR64-IS
billing-c: WR2-IS
nserver: ns-128.awsdns-16.com
nserver: ns-1905.awsdns-46.co.uk
nserver: ns-1487.awsdns-57.org
nserver: ns-559.awsdns-05.net
created: July 16 2013
expires: July 16 2014
source: ISNIC

role: 101Domain, Inc.
address: 101Domain, Inc.
address: 5858 Edison Place
address: Carlsbad, CA 92008
address: US
phone: +1 760 4448673
fax-no: +1 760 5794996
e-mail: tech1@101domain.com
nic-hdl: WR2-IS
created: March 22 2005
source: ISNIC

person: Unsene, Inc.
address: 775 E. Blithedale Ave. #362
address: Mill Valley, California 94941
address: US
e-mail: domreg@101domain.com
nic-hdl: UI28-IS
created: July 16 2013
source: ISNIC

role: Amazon Route 53
address: Amazon.com
address: P.O. Box 81226
address: Seattle, Washington 98108-1226
address: US
e-mail: awsdns-hostmaster@amazon.com
nic-hdl: AR64-IS
created: September 14 2011
source: ISNIC

e’ una cosa brutta? Bruttissima. Per due motivi.

 

La prima e’ che quest’azienda e’ registrata negli USA. Il che significa che, pur avendo i server negli USA, e’ soggetta alle leggi americane. Dal momento che gia’ Microsoft sta venendo obbligata a fornire i dati degli utenti , anche se i server sono in Irlanda e gli utenti NON sono americani, significa che il fatto di avere i server in ISlanda NON vi protegge. ZERO. Zero di zero.

 

Il secondo punto sta nell’ “Amazon route 53”, ovvero nel fatto che state usando i DNS di amazon, per cui il solo tentativo di risolvere il nome di quel dominio viene loggato negli USA. Anche se usaste connessioni SSL end to end e tutto quanto, cioe’, quando qualcuno vi inviasse posta da un dominio diverso da unseen.is , farebbe una query MX al DNS. E nel momento in cui la facesse, il metadato verrebbe registrato da un server americano.

 

Ma andiamo avanti.

Ecco che cosa fanno i pacchetti dalla Germania all’ Islanda:

traceroute

dopo un paio di salti, partendo da netclusive.de , passano per parigi e poi per l’ inghilterra. Ovvero, per uno dei cinque “five eyes” , l’alleanza spionistica che comprende USA, UK, NZ, CA , AU. ( http://en.wikipedia.org/wiki/Five_Eyes ), dove potete essere certi di venire spiati.

Allora qualcuno potra’ obiettare che magari unseen.is e’ una societa’ di comodo aperta in USA da un islandese, per qualche ragione di business, e che magari il governo non possa DAVVERO obbligarlo a dargli un accesso alle macchine.

Non e’ esattamente cosi’: il soggetto che ha fondato il “provider sicuro islandese” e’ americano:

Unsene Inc
930 Tahoe Boulevard # 802-338
Incline Village, NV 89451
Phone: (775) 750-2009
Christopher Allen Kitze, CEO

Chi e’ questo Christopher Allen Kitze?

http://beforeitsnews.com/contributor/pages/0/004/bio.html
http://www.linkedin.com/in/chriskitze
https://twitter.com/ChrisKitze

Che cosa ha fatto in passato?

http://investing.businessweek.com/research/stocks/private/person.asp?personId=711738&privcapId=33072202&previousCapId=4976137&previousTitle=Clarium Capital Management LLC

Mr. Chris A. Kitze serves as an Advisor of iqzone, Inc.
Mr. Kitze served as Venture Partner of Osprey Ventures, L.P.
He co-founded Yaga, Inc. and served as its Chief Executive Officer.
Mr. Kitze served as Chief Executive Officer of NBC Internet Inc., from November 1999 to March 2000 and served as its President from May 1999 to November 1999.
He co-founded Xoom.com Inc., in 1996, a direct e-commerce company that was publicly held until it became one of NBC Internet Inc.’s wholly-owned subsidiaries in the transaction that formed NBC Internet Inc. in November 1999, and served as Chairman and Secretary until April 1999. In September 1991,
Mr. Kitze co-founded Aris Entertainment, a CD-ROM publishing company and served as its President until June 1994. From April 1996 to December 1996,
Mr. Kitze served as Xoom.com’s President and Chief Executive Officer. In June 1995,
Mr. Kitze co-founded Point Communications Corp., which was acquired by Lycos in October 1995, after which
Mr. Kitze served as Lycos’ Vice President of Marketing until June 1996. He has been the Chairman and Director of XOOM.com, Inc. (Also called as Xoom Inc.) since April 1996.
He served as the Chairman of Wine.com Inc. from November 1999 to April 2002 and from August 2002 to August 2005.
He served as an Executive Vice Chairman of NBC Internet Inc. since March 2000.
He served as a Director of Wine.com, Inc. From June 1994 to June 1995,
Mr. Kitze served as Publisher at Softkey International, now The Learning Company.
Mr. Kitze served as a Director of NBC Internet Inc. since May 1999.
Mr. Kitze is a recent recipient of Israel’s prestigious Albert Einstein Technology Award that recognizes path-breaking leaders who have pushed the envelope of technology in the service of mankind through their entrepreneurship and risk taking, enabling others to benefit from their cutting-edge technologies.
He serves as a Director of iqzone, Inc.
He has been a Director of Intelius, Inc. since September 2007.
Mr. Kitze holds a B.S. in Chemical Engineering from the University of Colorado.

ho sottolineato Xoom perche’ e’ decisamente una prova che si tratti di un businessman americano, con una storia di business e di relazioni negli uSA: In pratica, se il governo USA gli dice “salta”, lui salta. E se gli dice “dammi la mail dei tuoi utenti” lui gliela da’.

Adesso riassumiamo la storia di unseen.is:

 

  1. Un tizio americano fonda una societa’ negli USA , soggetta alle leggi USA.
  2. Mette i server in islanda, e si dota di un brand locale.
  3. Racconta , MENTENDO, sulla home page che si tratta di una iniziativa protetta dalle leggi islandesi sulla privacy e si spaccia per una piattaforma “della privacy”.
  4. Racconda, MENTENDO, sulla home page del servizio che gli USA non hanno giurisdizione sui server della sua azienda.
  5. Sgamato, cambia i dati del WHOIS usando un prestanome locale:  http://www.who.is/domain-history/unseen.is
  6. Registra il dominio usando DNS di Amazon, in modo che negli USA esista il registro di qualsiasi tentativo di leggere i campi MX di questo dominio.

 

conclusione: si sta sfruttando la voglia di privacy e di segretezza manifestata dal mercato dopo le rivelazioni di Snowden per piazzare delle trappole. Societa’ americane dirette da americani , sotto la giurisdizione americana, che FINGONO di essere basate in nazioni che proteggono la privacy, quando fanno traffico attraverso cavi che passano (come succede all’ Islanda) solo per UK e USA.

 

La seconda domanda e’: PUO’ l’ Islanda essere un luogo sicuro per la Privacy?

 

La risposta e’ NO.

 

E’ un’isola , che e’ connessa da cavi sottomarini. E queste sono le connessioni:

iceland-telecom-cable-map

come vedete, l’ Islanda e’ connessa via USA e UK, con una sola eccezione che passa via Amsterdam/Comenhagen, e che verra’ dismessa a favore per una connessione via Amsterdam. Stranamente, pero’, il traceroute di prima  dalla Germania NON ha mostrato quella strada ed ha preferito un link parigino, il che significa che il link di Amsterdam non ha una gran priorita’.

 

Se cercate di garantire il vostro diritto alla riservatezza, cioe’, NON usate provider islandesi. L’ Islanda, qualsiasi cosa faccia sul piano giuridico, NON HA I MEZZI TECNICI per garantirvi la segretezza della corrispondenza.

 

Si tratta di trappole: dopo la fuga dai provider americani, gli USA stanno piazzando finti provider in paesi apparentemente affidabili per la tradizione di sensibilita’ ai diritti umani, specialmente per la cultura europea, allo scopo di attivarvi clienti, che si illudono di trovarsi fuori dalla giurisdizione statunitense.E, detto onestamente, non e’ nemmeno una trappola tanto raffinata o difficile da individuare.

Willie il Coyote saprebbe fare di meglio.

Probabilmente abbiamo solo a che fare con un americano furbo (la cui etica e’ perlomeno subumana)  che cerca di far soldi (una trappola non avrebbe lasciato simili ingenuita’ visibili su database pubblici) sfruttando la voglia di privacy nata dopo la vicenda Snowden .Il guaio e’ che, volendo o meno, tutto questo fa il gioco di NSA.

Quando si tratta di “ISP in un paradiso della privacy”, cioe’, non potete fidarvi. Dovreste sapere su quali DNS si appoggi di sicuro, dove si trovino, come avviene il routing.

L’unico paradiso della privacy e’ a casa vostra, ovvero un home cloud. Il resto non e’ credibile, a meno di un ISP del vostro paese, che almeno rispettera’ leggi che conoscete, e magari contro cui potete fare appello.

Perche’ se Telecom vi spia almeno finisce in un processo. Se vi spia Verizon, gli danno la medaglia.

(1) E’ il vecchio record dell’anno scorso. Adesso hanno cambiato su un prestanome locale, quando si sono accorti di essere stati sgamati. Per il record storico andate qui: http://www.who.is/domain-history/unseen.is

Visto che e’ possibile rimuoversi da li’, immortaliamo il momento:

sgamatoUriel Fanelli, 27 agosto 2014
Advertisements

3 pensieri su “Privacy online: arrivano le trappole. Il caso di unseen.is

  1. Domanda tecnica se qualcuno sa rispondere: in caso di home cloud, assumendo che serva un IP statico, se uno mi manda una mail mentre il server si sta riavviando, è mancata la corrente, è momentaneamente crashato il modem… la mail che fine fa? Resta in coda o viene rigettata?

    Nel caso il messaggio di errore spiega il problema o compare un generico “indirizzo non esistente”?

    Mi piace

    • dipende da quanto tempo il server SMTP resta irraggiungibile. solitamente gli altri server tentano per un po’ poi ritentano e solo dopo enne tentativi falliti la missiva rimbalza indietro. Ma non dovrebbe rimbalzare con un errore di indirizzo inesistente quanto di server irraggiungibile

      Mi piace

    • il protocollo SMTP prevede un certo numero di tentativi di consegna, essendo basato sul concetto di memorizzazione ed inoltro. Le specifiche indicate nelle varie RFC sono abbastanza informali ma, generalmente, l’elaboratore mittente tenta la connessione con un ritardo progressivo e per un certo numero di giorni (tradizionalmente quattro o cinque).

      detto questo, avere un proprio server di posta elettronica, specialmente su una linea privata ad uso domestico, è una idea ASSOLUTAMENTE pessima per un sacco di altre ragioni, non ultimo il fatto che molti fornitori di servizio tendono ad applicare una politica di “rifiuto per principio” della posta elettronica proveniente dai gruppi di indirizzi riservati all’utenza finale.

      inoltre, i vantaggi, al netto dei vaneggiamenti del pizzaiolo di Dusseldorf, sono microscopici, visto che una importante percentuale della tratta compiuta dall’eventuale messaggio è su percorsi che sono completamente fuori dal tuo controllo e che per specifica possono essere liberamente in chiaro.

      Mi piace

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...