L'illusione dell'anonimato sul web: ecco come si neutralizza incrociando i data-leak

L'illusione dell'anonimato sul web: ecco come si neutralizza incrociando i data-leak

Due studenti di Harvard hanno mostrato quanto possa essere semplice riuscire a realizzare un quadro sorprendentemente chiaro delle identità virtuali e reali di persone incrociando informazioni recuperate da vari incidenti di sicurezza

di pubblicata il , alle 18:01 nel canale Sicurezza
 

Una coppia di studenti dell'Università di Harvard, Dasha Metropolitansky e Kian Attari, ha condotto un esperimento che ha permesso di mostrare quanto l'anonimizzazione dei dati sia in realtà un falso mito e, soprattutto, quanto le violazioni di sicurezza, i "data leak" e i "privacy scandal" siano in realtà molto più pericolosi di quel che il pensiero comune è portato a credere.

I due studenti hanno costruito uno strumento capace di passare al setaccio quelle grandi raccolte di dati che traggono origine dagli episodi di violazione di database o furti di informazioni. Partendo da un dataset originato dalla violazione dei sistemi della società Experian, avvenuto nel 2015, e contenente informazioni personali di 6 milioni di individui, i due studenti hanno suddiviso le informazioni per Stato e si sono concentrati sui cittadini dell'area di Washington D.C.

Incrociare i data leak: l'anonimato si sgretola

In questo modo Attari e Metropolitansky hanno lavorato su dati composti in tutto da 69 variabili (indirizzi di residenza, numeri di telefono, credit score, eventuali donazioni politiche, numero di figli e via discorrendo): in totale hanno avuto a che fare con 40 mila indirizzi email univoci, corrispondenti ad altrettanti utenti. Utilizzando questi indirizzi con lo strumento da loro sviluppato, i due studenti hanno scandagliato insiemi di dati originati da altri episodi di incidenti/violazioni di sicurezza così da ricercare corrispondenze ed eventuali correlazioni con altri dati.

Nonostante molti di questi dataset siano "anonimizzati", i due studenti sono stati in grado di correlare i dati provenienti da più dataset differenti riuscendo a costruire fotografie chiare delle identità virtuali e reali di ciascuna persona presente nei dataset. Un singolo leak è come un tassello di un puzzle: da solo può non essere particolarmente importante, ma è insieme ad altri che acquista significato.

Una realtà, ad esempio, può conservare magari solamente alcune informazioni riguardanti la nostra persona (virtuale e/o reale che sia), mentre un'altra realtà ne può conservare altri. Ma se esse condividono anche un solo tipo di questi dati, diventa possibile trovare corrispondenze e raccogliere più informazioni su una singola persona, riuscendo a comporre un'identità piuttosto chiara.

Password riutilizzate, una piaga ancora radicata

"Quel che siamo stati in grado di fare è preoccupante, perché permette di individuare vulnerabilità nella presenza online delle persone. Per esempio se si aggregassero tutte le credenziali associate ad una singola persona, sarebbe possibile vedere come, dove e quante volte username e password vengono riutilizzati" spiegano gli studenti. E proprio a tal proposito emerge un dato preoccupante che dimostra come, nonostante le best practice di sicurezza vengano costantemente ripetute quando accadono incidenti che portano alla sottrazione di informazioni private, il pubblico non sia incline all'uso di password univoche o gestori di password: di 96 mila password contenute in uno dei dataset, solamente 26 mila sono password univoche.

Altro aspetto di particolare considerazione è che in questo modo un cybercriminale non necessariamente può voler colpire una vittima specifica, ma può in realtà cercare vittime che corrispondano ad un determinato insieme di criteri. I due studenti hanno dimostrato che in meno di 10 secondi è stato possibile produrre un insieme di dati di oltre 1000 persone rispondenti ad un preciso "identikit": elevato patrimonio netto, sposati con figli e con un account in un sito di incontri extraconiugali. Cambiando i parametri di filtraggio è stato possibile individuare politici di livello senior con il loro credit score, i numeri di telefono, gli indirizzi di tre Senatori, tre Rappresentanti, il sindaco di Washington e un membro del Gabinetto.

L'obiettivo dei due studenti è cercare di sensibilizzare il pubblico sul fatto che sebbene questi episodi siano problematici già se presi singolarmente, è quando sono considerati nell'insieme che assumono i tratti di un vero e proprio incubo. Anche perché i dati su cui hanno lavorato Attari e Metropolitansky sono di pubblico dominio: disponibili online su forum o nel dark web ma senza che sia necessario dover effettuare ricerche particolarmente approfondite.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

11 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Sandro kensan05 Febbraio 2020, 18:07 #1
E con i dati che ha la NSA cosa ci si può fare?
nameman05 Febbraio 2020, 20:33 #2
....solo la NSA ???? ma allora siamo tranquilli !!!!
chico_ve06 Febbraio 2020, 09:36 #3
Originariamente inviato da: nameman
....solo la NSA ???? ma allora siamo tranquilli !!!!


Esattamente. Magari fosse solo NSA! Nessuno ne parla perché sono convinti che non esistano e di cui, invece, dobbiamo guardarcene bene, tipo ex U.S.S.R, CHINA e altri campioni di diritti umani nonché amicissimi dell'Occidente.
chico_ve06 Febbraio 2020, 09:37 #4
Originariamente inviato da: Sofia95
Vuoi trovare una ragazza per una notte? Benvenuto - https://********.com


Ma non è possibile kikkare?
zappy06 Febbraio 2020, 10:53 #5
ricerca interessante e in parte prevedibile.
qualche tempo fa avevo fatto lo stesso giochino con un utente iscritto qua, il quale aveva per anni usato stesso nick e stesso avatar in luoghi diversi...
Senza bisogno di nessuna fuga di dati, ne veniva fuori un profilo abbastanza dettagliato e che aveva stupito anche la persona in oggetto.
So che ha parzialmente provveduto a correggere il problema, per quanto fattibile.
pabloski06 Febbraio 2020, 11:40 #6
Originariamente inviato da: chico_ve
Esattamente. Magari fosse solo NSA! Nessuno ne parla perché sono convinti che non esistano e di cui, invece, dobbiamo guardarcene bene, tipo ex U.S.S.R, CHINA


Nessuno di loro ha però il controllo sugli snodi della rete che hanno gli americani.

Non è che i dati si raccolgano per opera dello Spirito Santo. Ci vogliono backdoor, possibilità di accedere agli autonomous systems, di installare software per la deep packet inspection ( laddove necessario ) o semplicemente farsi dare i dati dagli ISP.

Ed è questa la ragione per cui la Russia, ad esempio, sta pretendendo dai fornitori di servizi online di mantenere i dati dei russi su server in Russia.

Originariamente inviato da: chico_ve
e altri campioni di diritti umani


Nessun apparato di potere è campione di diritti umani. Nemmeno le democrazie occidentali. Basti notare che gli USA hanno in piedi, da quasi 20 anni, il JSOC, organo creato per eseguire le "extraordinary rendition". Si tratta in teoria di operazioni di detenzioni clandestine all'estero. Si è trasformato in un programma di assassinio di personaggi ritenuti scomodi dal Presidente USA. Cioè non c'è bisogno di processi, di autorizzazione del Congresso o altro. Stai sulle scatole al Presidente? Bam! Un drone ti falcia. E sono state eseguite sia su cittadini stranieri che americani.


Originariamente inviato da: chico_ve
nonché amicissimi dell'Occidente.


Beh insomma. A parte l'UE che non sbraita, ma poi agisce in Ucraina, Siria, Libia. Ma gli americani sparano a zero su Cina, Russia, Iran e qualsiasi altro Paese non prono ai diktat di Washington, ogni santo giorno.
chico_ve07 Febbraio 2020, 21:57 #7
Originariamente inviato da: pabloski
Nessuno di loro ha però il controllo sugli snodi della rete che hanno gli americani.


Come fai a dirlo? Chi ha fatto qualche anno fa un dirottamento massiccio del traffico internet occidentale sui server cinesi? Loro non parlano, fanno. Poi negano. Sempre. Come da copione.

Originariamente inviato da: pabloski
Non è che i dati si raccolgano per opera dello Spirito Santo. Ci vogliono backdoor, possibilità di accedere agli autonomous systems, di installare software per la deep packet inspection ( laddove necessario ) o semplicemente farsi dare i dati dagli ISP.


Come se il blocco anti occidentale fosse un niubbo. Mah, con tutti gli attacchi che subiamo, non pare essere tanto lontani da questi metodi, ma pare che siano solo gli amerikani in grado di farlo.

Originariamente inviato da: pabloski
Ed è questa la ragione per cui la Russia, ad esempio, sta pretendendo dai fornitori di servizi online di mantenere i dati dei russi su server in Russia.


Chissà perché. L'ex C.C.C.P non si è mai fidata dell'Occidente e siccome ragionano come agiscono, è ovvio che pretendano questo. È come chiedere al ladro se si fida di lasciare incustodita una sua proprietà.

Originariamente inviato da: pabloski
Nessun apparato di potere è campione di diritti umani. Nemmeno le democrazie occidentali.


Eh no, qui vuoi paragonare i nazisti agli alleati. Non cadere nel qualunquismo. C'è libertà in ex U.S.S.R.? C'è libertà in China? In Venezuela? Cuba? In Corea Nord? In Iran? E in tutti i paesi islamici? Puoi contestare senza rischiare la vita o il carcere il governo di uno solo di questi paesi? Le donne hanno gli stessi diritti degli uomini che hanno da noi? Puoi liberamente professare la tua fede? C'è lo stesso valore per la vita che c'è da noi?

Originariamente inviato da: pabloski
Basti notare che gli USA hanno in piedi, da quasi 20 anni, il JSOC, organo creato per eseguire le "extraordinary rendition". Si tratta in teoria di operazioni di detenzioni clandestine all'estero.


"Si tratta in teoria." Appunto. I paesi anti occidentali invece non fanno operazioni di detenzioni all'estero, le fanno direttamente a casa loro. Hanno il controllo totale. Nessuno potrà mai denunciarlo.

Originariamente inviato da: pabloski
Si è trasformato in un programma di assassinio di personaggi ritenuti scomodi dal Presidente USA. Cioè non c'è bisogno di processi, di autorizzazione del Congresso o altro. Stai sulle scatole al Presidente? Bam! Un drone ti falcia. E sono state eseguite sia su cittadini stranieri che americani.


Eh? Scomodi dal presidente USA? O terroristi internazionali che destabilizzano regioni intere? È ancora più sorprendente questo intervento. Dunque è stato un grossolano errore eliminare dalla faccia della terra lo stratega della destabilizzazione mediorientale, il pupillo degli ayatollah, Qassem Soleimani, no? Prova a dirlo ai kurdi e a tutti i civili che hanno subìto il terrorismo di questo criminale.
È sorpendente, ma ora nemmeno più di tanto, che le tue affermazioni indicano inequivocabilmente per che parte simpatizzi. È incredibile che nomini solamente gli USA e il suo presidente come i responsabili di molti mali nel mondo e mai, mai una parola contro questi paesi che destabilizzano vaste aree del pianeta, che promuovono il terrorismo internazionale, che reprimono nel sangue ogni protesta popolare.

Originariamente inviato da: pabloski
Beh insomma. A parte l'UE che non sbraita, ma poi agisce in Ucraina, Siria, Libia. Ma gli americani sparano a zero su Cina, Russia, Iran e qualsiasi altro Paese non prono ai diktat di Washington, ogni santo giorno.


O (sempre loro, sic) gli "americani sparano a zero Cina, Russia, Iran..." proprio perché sono i principali responsabili dei crimini commessi in medioriente? Avresti permesso a hitler di sviluppare l'atomica? Io no.
Ma da che cosa deriva questa tua difesa ad oltranza del blocco anti occidentale?
pabloski08 Febbraio 2020, 09:37 #8
Originariamente inviato da: chico_ve
Come fai a dirlo? Chi ha fatto qualche anno fa un dirottamento massiccio del traffico internet occidentale sui server cinesi? Loro non parlano, fanno. Poi negano. Sempre. Come da copione.


In quel caso di è trattato di poisoning delle tabelle dei router BGP. Ma è qualcosa che si rileva facilmente. Lo scopo delle spie è agire inosservate. Se tutto il mondo si accorge di quello che stai facendo, allora non ci siamo.

Ed è molto probabile, infatti, che si sia trattato di casi ( 2-3 ne ho contati negli ultimi 10-15 anni ) di errata configurazione.


Originariamente inviato da: chico_ve
Come se il blocco anti occidentale fosse un niubbo.


No, ma non ha i mezzi per operare su larga scala come fanno gli americani.


Originariamente inviato da: chico_ve
Chissà perché. L'ex C.C.C.P non si è mai fidata dell'Occidente e siccome ragionano come agiscono, è ovvio che pretendano questo. È come chiedere al ladro se si fida di lasciare incustodita una sua proprietà.


E' una misura presa a seguito del Datagate.


Originariamente inviato da: chico_ve
Eh no, qui vuoi paragonare i nazisti agli alleati. Non cadere nel qualunquismo. C'è libertà in ex U.S.S.R.? C'è libertà in China? In Venezuela? Cuba? In Corea Nord? In Iran? E in tutti i paesi islamici? Puoi contestare senza rischiare la vita o il carcere il governo di uno solo di questi paesi? Le donne hanno gli stessi diritti degli uomini che hanno da noi? Puoi liberamente professare la tua fede? C'è lo stesso valore per la vita che c'è da noi?


Le donne in Russia era alla pari degli uomini, quando in Italia c'era ancora il diritto d'onore. E la storia che la Russia sia una dittatura, lascia il tempo che trova.

I campioni occidentali dei diritti umani non avevano nulla da dire, quando gli oligarchi/mafiosi russi stupravano il Paese e lo svendevano a pezzi agli "amici" occidentali.

Con Putin è arrivato il niet alle intromissioni e allo sfruttamento e si sono incazzati. Ha cominciato Soros, poi tutti gli altri. Putin gli ha sfilato di mano il giocattolo. Ecco perchè lo criticano così ferocemente.

E onestamente non puoi cassare quanto ho scritto, se pensi a Ustica, al Cermis, alla terra dei fuochi ( con tutti gli insabbiamenti da parte dei servizi e i dossier secretati da un certo Ministro dell'Interno, poi promosso per "i suoi meriti" ).

Dai, credere che l'occidente sia la culla delle vere libertà e della totale trasparenza, è da lattanti. Sei libero di sbronzarti. Di rovinarti la vita facendo debito che non riuscirai a ripagare nemmeno in 100 anni. Ma prova a toccare le leve del potere e vedrai quanto lontano arrivi.

Bovio ( buttato dal cavalcavia della tangenziale di Napoli ) è un altro esempio della "trasparenza e democrazia" dell'occidente.

Originariamente inviato da: chico_ve
"Si tratta in teoria." Appunto. I paesi anti occidentali invece non fanno operazioni di detenzioni all'estero, le fanno direttamente a casa loro. Hanno il controllo totale. Nessuno potrà mai denunciarlo.


Guarda che il Patriot Act ha autorizzato proprio questo tipo di comportamenti. In patria e all'estero. Leggi quello che scrivo, prima di commentare.


Originariamente inviato da: chico_ve
Eh? Scomodi dal presidente USA? O terroristi internazionali che destabilizzano regioni intere?


Ehm, ma in ogni caso la democrazia impone che vengano svolti regolari processi. Inutile che giochi la carta del mitologico terropedopornosatanista.

Tu che ne sai chi sono quelle persone? Perchè assolvi l'America a priori? Io so solo che nei Paesi civili e democratici si fanno i processi, non si dà libertà al Presidente di uccidere chi gli pare.

Originariamente inviato da: chico_ve
. Dunque è stato un grossolano errore eliminare dalla faccia della terra lo stratega della destabilizzazione mediorientale, il pupillo degli ayatollah, Qassem Soleimani, no?


Non mettermi in bocca parole che non ho detto. La storia sarà giudice.

Intanto l'intelligence irachena sta indagando sulla possibilità che sia stata un'operazione false flag americana, per giustificare l'omicidio di Soleimani.

E resta il fatto che Soleimani era in Iraq in veste diplomatiche. Uccidendolo, hanno violato la legge. Il personale diplomatico è protetto dalla convenzione di Ginevra.

Con quest'intervento, stai giustificando il far west, l'abuso e la violazione delle leggi internazionali. E' democratico tutto questo?

Originariamente inviato da: chico_ve
Prova a dirlo ai kurdi e a tutti i civili che hanno subìto il terrorismo di questo criminale.


I kurdi hanno subito lo sterminio da parte di Saddam, pagato ed armato dagli americani. Poi hanno subito l'ISIS e i vari taqfiri assortiti, finanziati, armati e coccolati dagli americani.

I civili siriani soffrono da quasi 10 anni, per le mire di potere degli americani in Medioriente.

Raccontiamola tutta la storia. E non solo la parte propagandistica che gli americani ti fanno bere.

Cioè tu stai ancora a "americani = buoni", "tutti gli altri = cattivi"?

Originariamente inviato da: chico_ve
È sorpendente, ma ora nemmeno più di tanto, che le tue affermazioni indicano inequivocabilmente per che parte simpatizzi.


Come te. Si vede lontano mille miglia che sei filoamericano, tanto da giustificare il far west, il bullismo e la violenza illegale degli yankee.

Originariamente inviato da: chico_ve
È incredibile che nomini solamente gli USA e il suo presidente come i responsabili di molti mali nel mondo e mai, mai una parola contro questi paesi che destabilizzano vaste aree del pianeta, che promuovono il terrorismo internazionale, che reprimono nel sangue ogni protesta popolare.


Guarda che se c'è un Paese che destabilizza il globo e promuove il terrorismo internazionale, quelli sono gli USA.


Originariamente inviato da: chico_ve
O (sempre loro, sic) gli "americani sparano a zero Cina, Russia, Iran..." proprio perché sono i principali responsabili dei crimini commessi in medioriente?


La Cina e la Russia commettono crimini in Medioriente? Mamma mia. Ma dov'era quando Trump, pochi giorni fa, ha annunciato il suo mitologico piano di pace, ovvero assegnato tutta la Palestina ad Israele? Tanto da tirarsi addosso pure le critiche dell'UE.

E accusi addirittura la Cina, che in Medioriente è praticamente assente? Cioè le invasioni dell'Iraq e dell'Afghanistan le ha fatte la Cina? I mercenari taqfiri in Siria li ha mandati la Cina? Hanno massacrato un popolo. Sterminato le minoranze Yazidi cristiane. Devastato una nazione che era nota come "la Svizzera del Medioriente".

Caro amico, studia prima di scrivere!

Originariamente inviato da: chico_ve
Ma da che cosa deriva questa tua difesa ad oltranza del blocco anti occidentale?


Studio e conoscenza dei fatti sul terreno, da 15 anni a questa parte. Quando credi alle panzane su "Gheddafi cattivo" e "bisogna ammazzarlo". Poi ti ritrovi con un Paese devastato e la Clinton che traffica armi dalla Libia verso la Siria...

Cioè tu tutto questo non lo vedi? O forse al tg non te l'hanno detto?

E comunque, tornando in tema, il Datagate è un fatto quesito, con tanto di prove. Tu hai prove che dimostrino che Cina e Russia stanno facendo lo stesso? No, gli articoli dei giornali occidentali non sono prove! Quindi ti rigiro la tua domanda iniziale: "come fai a dirlo?".
chico_ve08 Febbraio 2020, 18:52 #9
Originariamente inviato da: pabloski
In quel caso [...] ".


No. Rinuncio, è inutile. È la stessa situazione di quella come quando si cercava di far capire ad un (intellettuale) filosovietico o maoista occidentale che non era tanto bello quello in cui credeva e che desiderava si avverasse anche per l'Europa. Nulla scalfiva la sua granitica certezza.
zappy08 Febbraio 2020, 20:46 #10
Originariamente inviato da: chico_ve
No. Rinuncio, è inutile. È la stessa situazione di quella come quando si cercava di far capire ad un (intellettuale) filosovietico o maoista occidentale che non era tanto bello quello in cui credeva e che desiderava si avverasse anche per l'Europa. Nulla scalfiva la sua granitica certezza.

te c'hai un po' troppe certezze granitiche...

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^