Google StreetView: uno sguardo alla spia dentro casa vostra

G

Il servizio [Street View][stw] di Google permette di esplorare virtualmente le strade di alcune aree del mondo, attraverso immagini panoramiche a 360°, raccolte da speciali automobili dotate di telecamera. Attualmente le [zone coperte][stwc] si limitano agli Stati Uniti d’America, al Canada, all’Europa e al Giappone.

In un [post][amm] del 27 aprile, Google ha pubblicamente ammesso di aver immagazzinato dati relativi ai network Wi-Fi rilevati durante i passaggi delle Google Cars, compresi di [MAC Address][mac] (che identifica **univocamente** una scheda di rete, dall’Access Point che utilizzate in ufficio al vostro telefono cellulare, se dotato di wi-fi) e [SSID][ssid] (nome del network, tipicamente assegnato dall’utilizzatore). Il 14 maggio Google, attraverso le [parole][wrds] di Alan Eustace, direttore del reparto di ricerca e sviluppo, ammette di aver immagazzinato anche i payload, ovvero i dati grezzi di traffico non crittografato. Tali dati contengono tutte le informazioni sensibili, quali **la cronologia web, le ricerche effettuate, le email, le conversazioni in VOIP e in chat**.

Google Street View Car in Bristol
Creative Commons License photo credit: byrion

Una [class action][clss] in Oregon ha collegato le ammissioni di Google ad un loro [brevetto][pat] ([versione pdf][pdf]) del 2008 relativo ad un sistema di acquisizione dati su reti wireless.

> L’invenzione si pone l’obiettivo di approssimare la posizione degli apparati collegati ad un network wi-fi, ovvero sia gli Access Point, sia tutti i dispositivi a loro connessi (“client devices”).

Si parla di tutti i dispositivi, **anche quelli utilizzati da voi e i vostri famigliari o colleghi** (il cellulare, il pc portatile, la stampante).

> Le stime sulla posizione possono essere ottenute tramite l’osservazione e l’analisi dei pacchetti trasmessi e ricevuti dall’Access Point; l’informazione della velocità di trasmissione è utilizzata per approssimare la distanza; triangolando i data/rate tra Access Point, dispositivi client e l’informazione della posizione conosciuta dell’osservatore (fornita dal segnale GPS) è possibile ottenere una posizione approssimativa degli elementi del network.

Tali dati, opportunamente elaborati, vengono poi memorizzati in maniera strutturata.

> Ogni stima può essere immagazzinata in un database, per esempio in una tabella di posizioni. Tale tabella piò memorizzare, per ogni AP, un identificativo (come il MAC Address, l’indirizzo IP o il SSID), una stima della posizione (latitudine, longitudine e altitudine), la data e ora della rilevazione, una stima del raggio di copertura dell’AP, la qualità dell’approssimazione (es. 90% di possibilità che sia nel raggio di 50 metri), marca e modello del dispositivo e il RSSI (Received signal strength indication, la potenza del segnale ricevuto).

Anche se Christine Chen, portavoce di Google, ha [negato][eml] il collegamento con il brevetto, i dubbi restano; il 9 giugno [viene rilasciata][rel] da parte di una società indipendente [un’analisi][anl] sul codice sorgente dell’applicazione utilizzata per immagazzinare i pacchetti.

> L’applicazione, gslite, si basa sui dati ricavati da [kismet][kis], un software opensource, che cattura i dati presenti sui network wireless.

Dall’analisi si evince che:

* L’intestazione dei pacchetti (contenente MAC Address, SSID e altre informazioni) viene sempre memorizzata.
* Il pacchetto viene associato all’informazione della posizione, ricavata dal dispositivo GPS.
* Il corpo dei pacchetti crittografati non viene memorizzato.
* Il corpo dei pacchetti non crittografati viene memorizzato su disco, senza essere analizzato.

Nel frattempo in molte nazioni vengono avviati procedimenti legali ([Australia][aus], [Inghilterra][ing], [Germania][ger]); in Francia la [CNIL][cnil] (organizzazione che si occupa della tutela dei dati personali) ha [confermato][fra1] che Google ha memorizzato le [password][fra2] di accesso all’email e contenuti parziali dei [messaggi][fra3]; In America, il 21 giugno, 30 stati, con in testa il [Connecticut][30stati2] hanno deciso di unirsi per [indagare][30stati1] a fondo sui contenuti dei dati catturati da Google.

**Come finirà la vicenda?**

Dal 27 aprile sono successi molti [avvenimenti][tim], la situazione è tuttora in evoluzione, non sappiamo come andrà a finire per Google, ma possiamo solamente fare alcune considerazioni relative alla nostra Privacy; possedere un database di MAC Address legato alla posizione geografica, non permette a Google direttamente di tracciarci, tale identificativo è visibile solo al router più vicino, nel nostro network (tipicamente l’internet provider); se **per sbaglio** un’applicazione installata sul client inviasse volutamente tale informazione, sarebbe molto facile proporre pubblicità mirate all’utente.

Se quel database divenisse [pubblico][pub], un malintenzionato potrebbe creare un network wi-fi “ad-hoc”, e, in base ai dispositivi collegati, conoscerne immediatamente la provenienza, l’indirizzo di residenza, ricavare le foto di casa da Google Street View, ricercare sui social network informazioni private, associare account email ad indirizzi reali…

**Vi vengono in mente altre conseguenze per la vostra Privacy?**

Vi ricordo che un MAC Address per un esperto è facilmente falsificabile; una persona che non conosce le implicazioni ad esso collegate potrebbe essere tracciata e identificata; il vostro cellulare quando si collega ad ogni rete wi-fi (magari quella del centro commerciale sotto casa…) **trasmette l’informazione**, che può essere immagazzinata e collegata al vostro traffico internet; queste informazioni potrebbero essere usate, nella migliore delle ipotesi, per offrirvi servizi mirati, o, nella peggiore, per danneggiare la vostra reputazione, rivendere a terzi le vostre abitudini o penetrare nel vostro network…

**Come ci possiamo proteggere?**

L’accesso ad una rete senza fili è notevolmente più difficile da controllare: un Access Point può essere “nascosto” dalla rilevazione automatica ma l’emissione di onde radio è sempre rilevabile. Rimane perentorio utilizzare una protezione (WEP è [facilmente][wep] violabile, WPA meno facilmente ma rimane non sicura al 100%); si potrebbe autorizzare l’accesso ad una rete solo a determinati dispositivi, attraverso il [Mac Address Filtering][filt], ma basterebbe falsificare l’indirizzo per bypassare facilmente la protezione; la soluzione più sicura rimane l’utilizzo di reti via cavo per fare transitare informazioni che richiedono un alto livello di sicurezza.

Via [Identity Weblog](http://www.identityblog.com/?p=1112) in collaborazione con **Marco Rossi**
[stw]:http://maps.google.it/help/maps/streetview/
[stwc]:http://maps.google.it/help/maps/streetview/where-is-street-view.html
[mac]:http://it.wikipedia.org/wiki/MAC_address
[ssid]:http://it.wikipedia.org/wiki/SSID
[amm]:http://googlepolicyeurope.blogspot.com/2010/04/data-collected-by-google-cars.html
[wrds]:http://googleblog.blogspot.com/2010/05/wifi-data-collection-update.html
[clss]:http://www.computerworld.com/s/article/9177634/Google_wants_to_patent_technology_used_to_snoop_Wi_Fi_networks
[pat]:http://appft.uspto.gov/netacgi/nph-Parser?Sect1=PTO1&Sect2=HITOFF&d=PG01&p=1&u=%2Fnetahtml%2FPTO%2Fsrchnum.html&r=1&f=G&l=50&s1=%2220100020776%22.PGNR.&OS=DN/20100020776&RS=DN/20100020776
[pdf]:http://www.wired.com/images_blogs/threatlevel/2010/06/googpatent.pdft_.pdf
[eml]:http://www.wired.com/threatlevel/2010/06/google-wifi-sniffing/
[rel]:http://www.theregister.co.uk/2010/06/09/google_wi_fi_sniffing/
[anl]:http://static.googleusercontent.com/external_content/untrusted_dlcp/www.google.com/en//googleblogs/pdfs/friedberg_sourcecode_analysis_060910.pdf
[kis]:http://www.kismetwireless.net/
[pub]:http://www.identityblog.com/?p=1113
[aus]:http://www.ghacks.net/2010/06/06/australia-orders-privacy-probe-into-google-street-view/
[ing]:http://www.telegraph.co.uk/technology/google/7786255/Google-has-mapped-every-WiFi-network-in-Britain.html
[ger]:http://www.nytimes.com/2010/05/19/technology/19google.html
[cnil]:http://en.wikipedia.org/wiki/CNIL
[fra1]:http://news.bbc.co.uk/2/hi/technology/10364073.stm
[fra2]:http://www.pcworld.com/article/199359/google_wifi_data_grab_snared_passwords_email.html
[fra3]:http://lnx.web-burning.it/2010/06/19/cnil-google-street-view-cars-have-recorded-passwords-and-email-contents/
[30stati1]:http://www.ct.gov/ag/cwp/view.asp?Q=461862&A=3869
[30stati2]:http://news.bbc.co.uk/2/hi/technology/10375623.stm
[30stati4]:http://www.pcworld.com/article/199508/google_under_multistate_privacy_microscope_how_we_got_here.html
[tim]:http://tech.fortune.cnn.com/2010/06/22/connecticut-attorney-general-to-lead-multi-state-google-investigation/
[filt]:http://en.wikipedia.org/wiki/MAC_filtering
[wep]:http://www.securnetwork.net/2007/04/06/cracking-wep-in-60-secondi/

l'autore

Matteo Flora

Mi chiamo Matteo Flora, sono imprenditore seriale, docente universitario e keynote panelist e divulgatore. Mi occupo di cambiare i comportamenti delle persone usando i dati.
Puoi trovare informazioni su di me ed i miei contatti sul mio sito personale, compresi i link a tutti i social, mentre qui mi limito a raccogliere da oltre quattro lustri i miei pensieri sparsi.
Buona lettura.

di Matteo Flora

Matteo Flora

Mi chiamo Matteo Flora, sono imprenditore seriale, docente universitario e keynote panelist e divulgatore. Mi occupo di cambiare i comportamenti delle persone usando i dati.
Puoi trovare informazioni su di me ed i miei contatti sul mio sito personale, compresi i link a tutti i social, mentre qui mi limito a raccogliere da oltre quattro lustri i miei pensieri sparsi.
Buona lettura.