Tutela dati sensibili

Tutela dati sensibili postato il 19/11/2011 14:17:34 nel forum programmazione, open source e hosting

Di recente mi è capitata una situazione spiacevole che mi ha fatto riflettere, innanzi tutto sull’ignoranza che dilaga nei gestori di land di gdr, che credono che perché uno accetta ai sensi di leggi la registrazione, allora hanno il diritto di utilizzare tutto quello che possono prendersi dall’utente, e secondariamente sulla sicurezza che offre un codice opensource come il gdrcd in mano a degli inesperti totali che probabilmente hanno aperto la land perché hanno litigato altrove.
Nel mio caso specifico è venuto fuori che tutto è in chiaro nel DB, tutti i gestori si leggono ogni cosa in chiaro, partendo dall’ip che si analizzano in modo abbastanza invasivo, usando programmi di localizzazione e targeting zoonale. Ora premesso che come utente posso urtarmi che questi arrivino quasi al mio indirizzo e certamente al mio tipo di contratto con il provider adsl, come persona questo è tremendo, potrei anche essere uno con problemi che si connette da un centro di recupero e non volere che la gente on line dove gioco lo sappia.
Capisco che sto estremizzando, ma questa è una violazione pesante che i gestori di nuova generazione scartano con risposte idiote alla “ma no non capisci, ho ragione io, posso fare quello che voglio con i tuoi dati sensibili”, cosa che fa scadere fin da subito il dialogo e blocca ogni possibili risoluzione di problemi vari ed eventuali.

Venendo al motivo del mio post:

Il gdr cd nudo e crudo è vulnerabile, lo sanno tutti, se i cari gestori hanno tutto in chiaro anche l’amabile hacker ha tutto in chiaro e questo è ancora peggio del fatto che ci guardino loro, anche se già questa cosa è scandalosa. Ora non c’è un modo per rendere consapevoli questi gestori allo sbando che aprono land alla spero in dio che il gdr cd nudo e crudo non basta per tutelare i propri utenti? Una sorta di accettazione delle conseguenze, che ci possono tranquillamente essere, in Italia se tocchi gli ip in chiaro scatta l’apocalisse, siamo stringentissimi su questo fronte, quindi è un po’ ora che i gestori per caso se ne facciano una ragione, quindi perché non renderli consapevoli con il pacchetto gdr cd?
Qualcosa del tipo: questo è il gdrcd, senza le dovute precuzioni ed i personali accorgimenti al DB usato e connesso al sito di riferimento si è molto vulnerabili e i dati degli utenti non sono sicuri e tu gestore che firmi e paghi il dominio del sito rischi tot.

Seconda cosa che mi viene da chiedere, oltre l’ovvia segnalazione tramite il canonico form alla polizia postale/comunicazioni, c’è un mezzo più veloce. Premesso che il form funziona, ma richiede tot settimane anche solo la lettura, sarebbe bello non so un mezzo un pochino più veloce. Esiste?

Grazie

19/11/2011 15:25:09 e modificato da leoblacksoul il 19/11/2011 15:28:04

Non credo che esista un mezzo più veloce.
Comunque non credo che ci sia alcuna norma che impone ai gestori di non guardare gli indirizzi IP o gli FQDN dei client che si connettono al loro gioco, anzi la maggior parte dei software anti-spam per siti web usa proprio quelli per riconoscere lo spam.
Quello che non potrebbero fare è sbandierarli in giro.
Non credo che sia una violazione delle privacy se un gestore riesce a risalire al tuo FQDN avendo il tuo indirizzo ip; è una violazione se va a sbandierarlo ai 4 venti. Alla fine se nei termini dell'iscrizione al servizio hanno inserito che il sito registra gli IP e per quali scopi, è perfettamente in loro diritto analizzarli per quegli scopi specifici, e includere tra gli scopi l'analisi degli indirizzi contro spammer o troll credo che non sia niente di anormale.
Poi se io gestore vedo il tuo ip mentre controllo gli ip in cerca di ip di spammer e troll...cosa ci posso fare? Se vedo un ip con un FQDN del tipo "hostXY-ABC-dynamic.DE-FG-r.retail.telecomitalia.it" e ho abbastanza conoscenze per sapere che tipo di contratto è, non è colpa mia. L'ho visto, perchè i termini di servizio me lo permettono, e l'ho riconosciuto, perchè ho certe conoscenze. Risalire agli FQDN in un qualunque host sulla rete non è una cosa illegale (tutti i computer hanno già le funzionalità implementate per farlo nello stack di protocolli), se vuoi nascondere il luogo da qui ti connetti esistono i proxy.

Concordo pienamente con te se il gestore comincia a usare quelle informazioni al di fuori degli scopi permessi dalla legge e dichiarati dal documento dei Termini dei Servizio del gioco.

Poi per il problema dei dati in chiaro e dei gestori ignoranti, concordo. L'ignoranza sulla sicurezza informatica e sulle norme di legge dilaga molto in questo ambiente. Per fortuna per l'utente, la legge non ammette ignoranza.

19/11/2011 16:05:30

Purtroppo no, la legge italiana lo vieta, non c`è dubbio o incertezza in proposito: il dato sensibile IP non può essere visto in chiaro, e se forse qualche escamotage per pararsi ce l`ha il tizio che firma il contratto ed è titolare del sito, per tutti gli altri con il titoletto di Gestore è assolutamente illegale. Tra l`altro è facilissimo scoprire come vanno trattati IP, indirizzi di posta e via dicendo nel DB, basta scaricarsi la legge in proposito che lo dice e spiega anche che no non si possono tenere in chiaro. Di fatto le aziende che operano nell`online marketing hanno contratti speciali per poter usare gli IP e gli indirizzi di posta e pagano fior fiori di soldi per farlo.
Ora o il gestore dimostra di star pagando questi mezzi, ma non può perchè non è a fine esercizio di lucro, o sta violando la legge allegramente. I DB devono essere criptati sui dati sensibili, il sistema può compararli con pratiche query ma no, non può l`essere umano che è lì per scopo amatoriale, non di lucro, guardarsi i dati. Da lì il mio chiedere come mai tutti belli ignoranti ci si lancia nell`apertura di land vulnerabili anche per hacker di bassa lega e nessuno dice niente, alla fine sono dati anche non di chi sta giocando, il tipo di contratto e affini è di chi paga che spesso sono genitori.
E` un problema a cascata abbastanza pesante, e vedere che l`argomento è parecchio ignorato o conosciuto per sentito dire e alla buona non è di aiuto.
Oggettivamente, tu mi parli di trolling, di doppi, e affini. Questo tipo di raffronto lo fa una query, non devi certo farlo tu a mano, e sta lì la dicitura legale: se è un DB a guardarsi l`IP non frega a nessuno, che lo compari che lo confronti, ottimo, leviamo doppi e via dicendo, ma se è l`umano che guarda l`IP scatta il casino. E qualsiasi altro dato per un gdr online è perfettamente inutile, non di competenza dei gestori, qualcosa che come tu direttamente non chiederesti, il tuo utente non è tenuto a dirti, nè per via diretta nè per via inversa magari inconsapevole.

19/11/2011 17:26:39

Ciao, puoi mettere almeno un link alla tua fonte legislativa?

Lo chiedo perchè se diventi anche solo MODERATORE in un forum di forumfree puoi tranquillamente (o almeno potevi fino ad un paio di anni or sono) leggere gli ip associati ai post. E perchè, a quanto ne so io, se la polizia postale mi chiede un ip io sono costretto a fornirglielo, di conseguenza non posso certamente criptarlo con un algoritmo che non ne consenta il recupero.

19/11/2011 17:48:19

Sì, infatti: l'ip (da solo) non identifica univocamente un utente, tranne che per il provider che lo ha assegnato e che può divulgare a chi appartiene solo alle forze dell'ordine, su loro richiesta. I programmi che cercano di trovare l'area di appartenenza di un ip non sono nemmeno troppo accurati, dipende da quanto sono aggiornati, ad esempio ora io vengo collocato in una regione diversa rispetto a quella di reale appartenenza :)

19/11/2011 18:39:39

Mi spiace contraddirti, ma no tu stai citando il pezzo di legge che descrive che cos’è un dato personale e nemmeno hai citato il pezzo in toto, e si l’ip mi dispiace dirtelo è un elemento controverso la sicurezza con cui dici che no non lo è mi sorprende, dato che si è spesso considerato dato sensibile, motivo per cui le aziende hanno un legale apposta per passare i dati dei propri utenti, soprattutto per i problemi di tracciamento. Prendi la tua GDR online che espone dei banner pubblicitari, il network di affiliazione cui sei iscritto ha molti vincoli per i famosi click che deve tracciare dagli ip che rileva quando qualcuno sul tuo sito ci clicca sopra e il tutto per poter assegnare a te publisher la commissione, il tutto rispettando te e rispettando i tuoi utenti. Se potesse fare come dici tu, potrebbe fare la decuplicazioni CLICK doppioni guardando gli indirizzi ip e confrontando il suo tracciamento con quello del cliente di cui espone i banner, ma ecco che la legge italiana blocca, perchè si violerebbe la dannata privacy e quindi esistono scuole sul tracciamento che non violi la visualizzazione in chiaro degli ip. Non sono proprio sicuro che questo sia sinonomo che con gli ip si possa fare quello che si vuole tutt'altro.
Trattandosi poi di mondo italia è il giudice ad avere l’ultima parola e si l’ip non è accantonato come dato non sensibile, tutt’altro, e di certo non è la definizione tecnica tra dato sensibile e dato personale che ci può far archiviare la discussione.
Per il fatto che alla polizia postale si passano invece gli IP va formulato correttamente, alla polizia postale si danno in mano le chiavi del server incluse le chiavi del DB e loro sono autorizzati a guardarselo in forma non criptata.
Le leggi io sinceramente le ho cercate direttamente da un motore di ricerca, ci sono molti archivi, in particolare faccio riferimento a quella del 31/12/1996, ripresa in più punti da quella del 2003.
Inoltre affidarsi al fatto di “ma i programmi di tracciamento spesso non funzionano bene” non è proprio la più grande assicurazione di questo mondo. Può funzionare benissimo, sempre per la serie che non sai mai chi hai dall’altra parte dello schermo e, nei casi peggiori che possono essere specifici al momento, chi ti ha hackerato il sito e ha prelevato i dati. Inoltre continua a sfuggirmi perché un gestore di un gdr online può prendersi il mio IP in chiaro, ben lungi da qualsiasi concetto di sicurezza e metterlo in un programma per l’identificazione zoonale (io personalmente non so elaborare mnemonicamente il dato numerico zoonale nemmeno di un codice fiscale, figurarsi tracciare un IP), non è un processo automatico, bisogna volerlo fare.

19/11/2011 19:08:38

Leggendo la normativa vigente dal sito del garante della privacy mi risulta però questo:

Art. 34. Trattamenti con strumenti elettronici
1. Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime:

a) autenticazione informatica;

b) adozione di procedure di gestione delle credenziali di autenticazione;

c) utilizzazione di un sistema di autorizzazione;

d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;

e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;

f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;

g) tenuta di un aggiornato documento programmatico sulla sicurezza;

h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.

fonte completa: http://www.garanteprivacy.it/garante/doc.jsp?ID=36573 ↗

Nei criteri minimi per la tutela dei dati personali non mi risulta obbligatoria la crittografia dei dati, anche se è una garanzia di sicurezza maggiore, che può tutelare il gestore del sito in caso di futo del database

19/11/2011 19:55:08

Una cosa è la modalità con cui i dati devono essere memorizzati sul database. Una cosa è chi può vederli e chi può usarli. Tu stai parlando di tutto insieme.

Inoltre continua a sfuggirmi perché un gestore di un gdr online può prendersi il mio IP in chiaro

Scusa ma in quale parte del funzionamento delle reti gli indirizzi IP sono "in scuro"? Per caratteristiche intrinseche della pila di protocolli TCP/IP l'indirizzo IP è un informazione che viene inviata in chiaro ANCHE su connessioni criptate.
A parte questo...potrei essere daccordo sul fatto che l'IP debba essere criptato su database, in base alla logica dell'Articolo 31 e dell'articolo 34 del Codice Privacy. Ma che il gestore non possa accedervi, no.
Se il gestore è il Titolare del trattamento dei dati o un Incaricato al trattamento, non vedo perchè non dovrebbe avere diritto ad accedere a quei dati, per gli scopi dichiarati. Poi l'utilizzo che se ne fa deve appartenere all'insieme di scopi definiti dei termini che si è accettato in fase di registrazione, se il gestore accede per ragioni che non vi appartengono sono perfettamente concorde che non può usarli. Se l'IPGeolocation è una pratica inclusa all'interno dei Termini accettati all'iscrizione allora direi che può usarla. Dato che suppongo che pochi la includano o possano addurre motivazioni appartenenti agli scopi...direi che no non potrebbero farlo.
Stiamo comunque parlando di siti web che abbiano dei Termini di Servizio o una Privacy Policy ben specificata e leggibile in fase di registrazione.

"dati sensibili", i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonche' i dati personali idonei a rivelare lo stato di salute e la vita sessuale;

Eccola qua la definizione di dato sensibile. Ora....quale parte di un indirizzo IP è in grado di dirmi anche una sola di queste cose?
A meno che io non sia l'ISP, non sono in grado usare l'IP per trovare una delle cose citate nella definizione.
è certamente un dato personale...ma non è un dato sensibile.

19/11/2011 21:09:32

Ti richiamo la tua stessa citazione, al punto e)

"e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;"

questo implica che bisogni garantirla, una protezione, e io nel mio messaggio principale parlavo appunto del problema che salta subito all'occhio di cosa succede se un hacker viola un codice pieno di bug e privo di sicurezza minima (se il gestore non si degna di metterla bloccando il database) come gdrcd; la cosa più gettonata in questi casi è proprio il furto di database, qualche blocco minimo deve esserci anche solo per poter denunciare l’invasione poi. Ed è appunto di questo che stiamo discutendo, in teoria, di questo che volevo discutere: sanno che devono fare qualcosa o sono sulla pubblica piazza per chiunque voglia ravanare nel DB, perché così come loro hanno tutto in chiaro ce l’hanno anche potenziali altri?
Inoltre mi permetto di citare un altro pezzo della legge n.675 del 31/12/1996, riguardo ai diritti dell’interessato, ossia del detentore dei dati personali concessi:

“1. I dati personali oggetto di trattamento devono essere custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalita' della raccolta.”

cosa che richiama palesemente l’altro punto che mi preme e mi irrita un po’, ossia, capisco le necessità di sicurezza, di doppi, di trolling, di tutto quel che può servire a non danneggiare il gioco, ma io non ho certo autorizzato il gestore a prendersi il mio IP (che comunque si da per scontato che dovrebbe essere protetto), metterlo in un apposito programma, tracciarlo e scoprire più di quanto io potrei volergli dire.

La nota legale, se può interessare, manca direttamente sul sito in questione, tanto per fare prima.

Il fulcro è proprio non fare le cose a casaccio, mettere bene i presupposti e mettere la gente in condizioni di non trovarsi scoperto il proprio IP, e, presumibilmente, anche la password e l’email (se non copri l’IP, al 90% tantomeno stai coprendo quelle), con tutti i rischi del caso.

Tecnicamente, con una corretta query impostata sul database, il DB risulta “blindato” per i tre dati di cui sopra, tra cui l’IP. Fa i raffronti da solo, gestisce la sicurezza, i recuperi dati, da solo gli avvisi. E quindi anche se un hacker ci entra, non fa il bello e il cattivo tempo.

Non volevo creare una discussione sulla teoretica e la definizione di “sensibile” e “personale”. Se è così tanto un problema, modifico direttamente il titolo del post, tanto mi pare che la sostanza resti eccome. Inoltre, per il Trattato di Schengen di cui siamo firmatari, tutti i dati a carattere personale vanno tutelati, e l’IP (nonché email e password a cui sinceramente non voglio pensare, posso dedurlo ma non mi è stata conclamata la lettura e l’utilizzo indebito come per l’IP) ne fa parte, perché si può risalire a molte cose, con programmi che, appunto, dovrebbe poter usare la Polizia Postale, la Magistratura, organi competenti, non un Gestore di Gdr. E ho scritto qui proprio perché parliamo di gdr.

19/11/2011 23:20:16

verdux ha scritto: La mia curiosità è un'altra, se me lo consentite.
Dove vuole andare a parare tutta questa discussione, a parte discutere delle norme legali?
Perché che il gdrcd fosse pieno di bug che ne mettono a repentaglio la sicurezza non è notizia fresca... e che l'IP non sia un dato sensibile, ma uno dei principali traccianti usati pressoché da ogni sito web è anch'essa roba vecchia.

E allora, mi chiedo, qual è il dubbio effettivo, punto della discussione?
O, in mancanza di questo, qual è la meta del dibattere?

Quoto, perché anche io, che stavo appunto per rispondere come altri che l'IP non è coperto dalla legge sulla privacy (a differenza dell'indirizzo email), ma poi mi son persa sul perchè e percome ti interessi sapere queste cose.

Se è perchè vuoi fare causa a qualcuno che in un gdr ti ha detto "io conosco il tuo IP, ti rintraccio" tranquillizzati, perchè se non è un poliziotto non lo può fare. Ugualmente, se tu vuoi fargli causa comunque, occhio che potresti perdere un sacco di tempo e di soldi per, in ultima battuta, un gioco.

20/11/2011 01:48:36

In effetti il post sembra unicamente creato per dare sfogo alla frustrazione sui gestori che ignorano ogni tipo di regola, legale o informatica.

sanno che devono fare qualcosa o sono sulla pubblica piazza per chiunque voglia ravanare nel DB, perché così come loro hanno tutto in chiaro ce l’hanno anche potenziali altri?

Questa domanda è un po' come dire "Rubare è reato, ma allora perchè i ladri rubano?". Cosa vuoi che ti risponda XD
Come ho detto, per fortuna tua la legge non ammette ignoranza. Se i gestori non se ne preoccupano e lo ignorano, se la cosa ti da così fastidio c'è sempre la polizia postale.

capisco le necessità di sicurezza, di doppi, di trolling, di tutto quel che può servire a non danneggiare il gioco, ma io non ho certo autorizzato il gestore a prendersi il mio IP (che comunque si da per scontato che dovrebbe essere protetto), metterlo in un apposito programma, tracciarlo e scoprire più di quanto io potrei volergli dire.

Ancora su questo punto? XD Non è scontato per niente che l'IP sia protetto. Anzi come ti ho scritto nel mio post precedente l'IP per sua natura è trasmesso in chiaro anche sulle connessioni criptate.
E di nuovo, dipende da cosa hai accettato nei termini della iscrizione. Se c'era scritto che potevano usarlo e te hai accettato iscrivendoti...sì possono.

La nota legale, se può interessare, manca direttamente sul sito in questione, tanto per fare prima.

A beh ma allora diciamolo che non stiamo parlando di una cosa in generale ma di un sito specifico.
Ora si spiega perchè continui a ignorare quello che dico quando mi riferisco ai termini di servizio che avresti accettato all'iscrizione.

(se non copri l’IP, al 90% tantomeno stai coprendo quelle), con tutti i rischi del caso.

Sinceramente, avendo letto un po' di codici dei vari CMS più usati al mondo, il fatto che l'IP non sia protetto non ti dice niente riguardo gli altri dati. Anzi la protezione dell'IP è di gran lunga di priorità inferiore rispetto alla protezione di email e password. Io non ho mai visto un codice anche dei grandi CMS che si mette a criptare gli IP che registra, mentre li ho visti tutti usare anche gli algoritmi più complessi per criptare la password. La tua frase sembra implicare il contrario, cioè che la criptazione dell'IP sia più prioritaria rispetto a password e email.

I punti della legge che citi sono gli stessi che ero andato a pescare anche io. Sì, dicono che bisogna usare i mezzi per impedire un accesso in chiaro anche nel caso di furto del database. Ma c'è sempre quella parte della frase che ti da una certa libertà di scelta: "in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento". In particolare quello che ci interessa è "in base alla natura dei dati": se a mio avviso la natura dei dati non è così critica da necessitare una criptazione, non la uso. Sarà poi al massimo un comitato di esperti in materia a deliberare se ho stimato correttamente o meno; se mi fai causa. Soprattutto in italia dove il 90% degli utenti ha indirizzi IP variabili, l'indirizzo IP non mi sembra proprio un informazione così succulenta per un cracker; diversamente da password e email che sono dati particolarmente interessanti.

perché si può risalire a molte cose, con programmi che, appunto, dovrebbe poter usare la Polizia Postale, la Magistratura, organi competenti, non un Gestore di Gdr.

I servizi di IPgeolocation sono disponibili a chiunque non sono limitati alla polizia. Anzi ti dirò che a mio parere la polizia non usa quelli perchè potendo chiedere direttamente all'ISP, hanno la certezza di arrivare a beccare esattamente l'appartamento e il titolare dell'abbonamento. Piuttosto che affidarsi a servizi di IPGeolocation che se va bene rilevano la tua posizione nel raggio di 50Km.