Chiunque abbia una conoscenza anche superficiale del protocollo TCP/IP e della struttura di Internet sa che l'anonimato in Rete è una pia illusione. Chi ne sa un po' di più, è consapevole della facilità con cui le nostre email, nel loro percorso dal mittente al destinatario, possono essere intercettate, spiate, perfino modificate, con buona pace della riservatezza. Per non parlare delle password di accesso ai servizi, che troppi software spediscono in chiaro attraverso la linea telefonica.

Quello che forse troppo pochi sanno, è che i poveri brandelli di privacy residui sono spesso e volentieri polverizzati dal software installato sui nostri personal computer: molti programmi, infatti, attraverso Internet inviano a server (talvolta amministrati dai loro produttori, talvolta no) dati riguardanti la nostra macchina e il nostro comportamento online.

Non sempre c'è da stupirsi: è il caso dell'adware, cioè programmi utilizzabili gratuitamente, accettando che visualizzino banner pubblicitari inviati dal produttore; quando il programma viene registrato i banner scompaiono e, contestualmente, il collegamento verso l'esterno è disattivato (o, almeno, dovrebbe esserlo). Un illustre esempio è rappresentato dal browser Opera.

Più preoccupanti e fastidiosi sono i casi in cui il collegamento verso l'esterno viene attivato a nostra insaputa. La giustificazione, canonica, offerta dai produttori scoperti con le mani nel sacco (e sempre dopo essere stati pizzicati) è che i dati inviati sono pochi e servono esclusivamente a studiare le condizioni di utilizzo e le performances del programma stesso, per apportarvi miglioramenti "mirati" nelle successive versioni.

Naturalmente, sarebbe più corretto informare della cosa l'utilizzatore e procedere solo con il suo consenso. La scelta di agire di nascosto induce ad avere poca fiducia nelle giustificazioni tardive: di conseguenza, è fondato il sospetto che siano trasmessi anche dati "sensibili", riguardanti le nostre preferenze sui contenuti della Rete o, nulla vieta, versioni e licenze dei programmi installati sui nostri computer. Con finalità ovvie: dall'invio di pubblicità mirata (peraltro non richiesta, ma questo è un altro discorso) alla santa inquisizione contro i "pirati".

Il numero dei programmi manifestamente appartenenti all'allegra brigata spy software è impressionante (si avvicina al migliaio di titoli): per chi volesse fugare i più atroci sospetti sul proprio software preferito, è a disposizione un elenco molto ricco di spioni acclarati.

Sul medesimo sito, è pubblicato un documento secondo il quale alcune componenti di Windows (nelle sue varie versioni) invierebbero a Microsoft informazioni sulle licenze dei programmi installati: sarebbe infatti (clandestinamente) in via di implementazione una base dati da utilizzare in futuro, qualora le leggi a tutela del copyright giungessero a consentire ai produttori di ficcanasare a loro piacimento nei sistemi degli utenti. Il condizionale è d'obbligo: il documento citato è una mail anonimizzata, inviata da un sedicente ex-dipendente Microsoft; si tratta di una fonte non verificabile.

E' invece verificata, nei menu di Microsoft Network Explorer, il nuovo browser multimediale prodotto dalla Casa di Redmond, l'esistenza di una opzione per l'invio di dati a Microsoft. La quale, interrogata al riguardo, risponde (come da copione) che si tratta esclusivamente di una raccolta di dati tecnici, non invasiva nei confronti del collegamento alla Rete, avente l'obiettivo di migliorare le prestazioni del programma e sottolinea che, comunque, è una opzione disattivabile. D'accordo, ma perché al termine dell'installazione di MSNE essa è attiva, per default? Va ancora sottolineato che MSNE è installabile solo online e, per completare correttamente l'installazione, pretende che l'utilizzatore sia titolare di un email account su Hotmail o MSN: in mancanza, si offre generosamente di crearne uno al volo. Insomma, non è possibile usarlo se non si è, contemporaneamente, utenti dei servizi di posta (gratuiti) Microsoft.

Va osservato che, purtroppo, le più recenti versioni di quasi tutti i browsers obbligano all'installazione online, laddove potrebbe essere più semplice, sicuro ed economico per l'utente prelevare il pacchetto dalla Rete ed effettuare installazione e configurazione a collegamento disattivato; tuttavia, la pretesa che l'utilizzatore sia in ogni caso titolare di una mailbox presso il produttore sembra eccessiva. In generale, i programmi che, per potere essere installati o utilizzati, obbligano l'utente a particolari comportamenti o configurazioni agiscono "sul filo del rasoio": infatti i casi più estremi potrebbero rappresentare una eccessiva limitazione alla libertà negoziale dell'utente, non dissimile dalla presenza di vere e proprie clausole vessatorie nella licenza d'uso.

Nel comportamento di chi produce spy software non è difficile ravvisare profili di illecito, che vanno dalla violazione della normativa sulla privacy (L. 675/96) al danneggiamento economico vero e proprio, considerato che il traffico in questione sottrae banda al collegamento internet dell'utilizzatore.

Purtroppo, il vuoto di giurisprudenza al riguardo è sconsolante: intentare azione legale contro il produttore di un programma "colto in flagrante" presenterebbe incertezze e rischi non trascurabili; se, inoltre, si trattasse di un programma prodotto all'estero e prelevato direttamente dalla Rete, la situazione risulterebbe ancora più spinosa, attesi le differenze tra le discpline legali in vigore in differenti nazioni e i contorni, ancora vaghi, della loro applicabilità nel complesso contesto internazionale intrinseco in Internet.

Negli U.S.A. è stata recentemente presentata una proposta di legge, con l'obiettivo di obbligare i produttori di programmi che trasmettono a loro stessi o a terzi dati (circa il computer che li ospita o il suo utilizzatore) a documentare con completezza quante e quali informazioni vengono inviate, nonché a rendere attivo l'invio solo dietro espresso consenso da parte dell'utente. Insomma, qualunque sia la quantità e la tipologia dei dati inviati, qualunque sia il destinatario e qualunque lo scopo dell'operazione, questa dovrebbe essere sanzionata come illecita, salvo il caso in cui venga effettuata con la piena consapevolezza e l'esplicito ed inequivocabile assenso dell'utilizzatore del programma. E c'è chi esce allo scoperto e dichiara di agire in modo trasparente: si veda, ad esempio, l'americana Radiate.

Tale posizione sembra però insufficiente a garantire una tutela adeguata al diritto di riservatezza: per il produttore del programma è facile travalicare i limiti imposti dalla legge, approfittando, paradossalmente, del fallace senso di sicurezza che la tutela legale potrebbe indurre in molti. Per contro, è molto difficile, per l'utente "medio", verificare la corrispondenza delle caratteristiche del software a quanto dichiarato dal produttore.

Ancora una volta, l'open source costituisce una alternativa interessante (e, per qualcuno, fastidiosa). Se l'invio di informazioni al produttore fosse consentita esclusivamente ai programmi "aperti", le garanzie per l'utilizzatore sarebbero più forti: infatti, ancorché per molti possa non essere facile impresa l'analisi dei sorgenti, essere costretti a giocare a carte scoperte renderebbe i produttori più prudenti. Inoltre è lecito immaginare che, col tempo, sul software si diffonderebbero in Rete informazioni dettagliate e "certificate" dalla comunità open source stessa.

Ma questo è il libro dei sogni: sappiamo che l'open source, da qualche tempo, è oggetto di sistematici attacchi denigratori da parte delle multinazionali del software e che la recente normativa di legge, soprattutto nel campo del copyright, non sembra certo ispirata dalla volontà di tutelare i consumatori. A prescindere dalla possibilità di non utilizzare spy software, soluzione indubbiamente radicale ma non del tutto efficace a causa del rischio di scoprire le cattive abitudini di un programma solo dopo averne fatto uso per lungo tempo, qual è l'alternativa al subire passivamente?

Ovvio: controllare di persona. Un primo livello di verifica deve essere rappresentato da un firewall configurato in modo da abilitare, in entrata e in uscita, il solo traffico noto e indispensabile. Qualunque programma tentasse di utilizzare l'interfaccia di rete verrebbe bloccato e sarebbe necessario autorizzarlo esplicitamente. Chi utilizza Linux conosce probabilmente IpChains, firewall integrato nel sistema. Gli utenti di Windows possono sperimentare Tiny Firewall, freeware che consente di abilitare specifici programmi a comunicare in entrata o uscita su determinate porte tcp e udp. Un firewall attivo e ben configurato garantisce che nessuno possa fare lo spione sul nostro computer senza essere stato autorizzato. In realtà, si tratta di una "quasi" garanzia, perché potrebbe accadere che un software esplicitamente abilitato a comunicare con l'esterno su porte note e per scopi altrettanto conosciuti, si serva del varco apertogli per perseguire finalità "proprie" (ad esempio: un browser, che necessariamente va autorizzato a comunicare con chiunque sulla porta 80, potrebbe inviare dati mediante get e post http verso web servers ad esso noti).

Allora, è necessario un ulteriore livello di controllo. Se il firewall registra la propria attività, l'analisi periodica dei files di log è di aiuto nell'individuare comportamenti subdoli come quello appena descritto. In aggiunta all'analisi dei logs, per maggiore prudenza, sarebbe opportuno utilizzare uno sniffer, cioè un programma in grado di intercettare e registrare il traffico di rete (o parte di esso, in base a specifiche opzioni di filtro), decodificando mittente, destinatario e contenuto dei singoli pacchetti. Ethereal è uno sniffer freeware, disponibile per diverse piattaforme, tra cui Linux, Windows e AIX; e se "sniffing" vi suggerisce esclusivamente l'immagine di qualcuno che aspira voracemente strisce di polverina bianca, esiste una faq assai più interessante ai nostri fini...

Come sempre, non è il caso di cadere in paranoia. Ma neppure di abbassare la guardia.

Hai a disposizione ancora caratteri. Per inserire commenti più lunghi (e senza CAPTCHA), iscriviti.
Il tuo nome:		La tua email: