Alfonso Maruccia

Appello a Google per una Gmail più sicura

BigG dovrebbe adoperarsi di più, molto di più per difendere la riservatezza delle comunicazioni online. Google risponde lesta: si può fare

roma - Gmail, Calendar e Google Docs devono essere più sicure, e Google deve industriarsi per proteggere in maniera opportuna i flussi di informazioni che passano attraverso i suddetti servizi online. A chiederlo sono 38 esperti, professori di legge e ricercatori, con una lettera aperta indirizzata al CEO di Mountain View Eric Schmidt: evidenziano i rischi di furto o intercettazione di dati sensibili immessi "in chiaro" nel network di una delle principali protagoniste della Internet economy.

"Gli utenti di Google che compongono email, documenti, fogli di lavoro, presentazioni e calendari di appuntamenti da una connessione pubblica - si avverte la lettera - devono fronteggiare un rischio molto reale di furto di dati e intercettazione, anche da parte di cracker non particolarmente abili". I tool per questo genere di pratica sono ampiamente disponibili online, dicono gli esperti, e Google deve fare qualcosa per ridurre al minimo la possibilità di incidenti.

I firmatari della lettera a Schmidt, tra cui sono presenti nomi celebri della sicurezza in ambito IT come Bruce Schneier, sostengono che l'attuale opzione aggiuntiva per l'abilitazione del protocollo HTTPS cifrato al posto di quello HTTP standard deve trasformarsi in una caratteristica di default per ogni connessione utente: limitarsi a fornire la possibilità di usufruire della caratteristica non basta visti i numeri e la qualità dei dati in gioco.
"Questo non è un attacco contro Google", precisa Christopher Soghoian della Harvard University, anzi la lettera a Schmidt è in un certo senso un modo di riconoscere la centralità e l'importanza dei servizi di rete di Mountain View nell'attuale panorama di rete, sia che si tratti di appliance più tradizionali come la webmail Gmail che degli elementi della suite di produttività in salsa cloud computing come Google Docs e Calendar.

Google si è sempre dimostrato leader di mercato quando si è trattato di privacy e questioni correlate, dicono i ricercatori, e Mountain View non si è lasciata scappare l'occasione di ribadire il concetto rispondendo a tono e tempestivamente alle richieste degli esperti. "Le connessioni HTTPS gratuite e always-on sono inusuali nel business delle email", ha detto l'ingegnere software di Google Alma Whitten, perché costi a parte l'utilizzo del protocollo web cifrato al posto di quello "in chiaro" presenta alcune controindicazioni riguardanti le performance nel processare le comunicazioni degli utenti.

Ma l'opportunità di fare un ulteriore passo verso un web più sicuro, continua il Gman, è un interesse che sta a cuore ai piani alti del Googleplex ed è per questo che l'azienda sta studiando come meglio gestire una transizione completa dalle comunicazioni in chiaro a quelle cifrate di default su Gmail. "Stiamo pianificando un trial durante il quale sposteremo piccole quantità di utenti Gmail di diversi tipi verso l'HTTPS - dice Whitten - per vedere come viene condizionata la loro esperienza, e se essa influenza le performance dello scambio di email".

Se l'impatto sulle prestazioni sarà accettabile, continua Google, allora si potrà passare a un numero maggiore di utenti e magari anche a tutti gli utilizzatori di Gmail, per estendere poi le sperimentazioni delle comunicazioni cifrate anche agli altri applicativi online come Docs e Calendar.

Alfonso Maruccia
27 Commenti alla Notizia Appello a Google per una Gmail più sicura
Ordina
  • Sorride
    devo scrivere qualcosa altrimenti non lo posso pubblicare
    non+autenticato
  • A me sembrano dei fessi, solo un fesso utilizza applicazioni cloud per dati sensibili o riservati...

    Ci si preoccupa di privacy, riservatezza etc e poi metti i tuoi dati in applicazioni cloud hahahahaha

    questi non sono esperti, sono ESPERTONI! ahahahaha!
    non+autenticato
  • - Scritto da: mrahua
    > A me sembrano dei fessi, solo un fesso utilizza
    > applicazioni cloud per dati sensibili o
    > riservati...

    se il mondo va come va... non sarà mica per caso no???
    di tanti "utenti inconsapevoli" che chiami "fessi" purtroppo è strapieno il mondo...

    > Ci si preoccupa di privacy, riservatezza etc e
    > poi metti i tuoi dati in applicazioni cloud
    > hahahahaha

    si... fa ridere... ma è una cosa tristissima...

    > questi non sono esperti, sono ESPERTONI!
    > ahahahaha!

    Occhiolino

    ciao
    non+autenticato
  • - Scritto da: CCC
    > si... fa ridere... ma è una cosa tristissima...

    Dici?
    Scusa la tua posta dove si trova?
    Chi la gestisce?
    Dove passa?
    Quanti SysAdmin possono intercettarla?
    Pensi sia difficile?

    eh beata gioventu che crede ancora che l'informatica funzioni per volonta divina...
    non+autenticato
  • - Scritto da: quoto
    > - Scritto da: CCC
    > > si... fa ridere... ma è una cosa tristissima...
    >
    > Dici?
    > Scusa la tua posta dove si trova?

    scusa ma non penserai che te lo venga a dire vero?
    di sicuro non su google & simili...

    > Chi la gestisce?

    idem come sopra: non penserai che te lo venga a dire vero?

    > Dove passa?

    idem come sopra: non penserai che te lo venga a dire vero?

    > Quanti SysAdmin possono intercettarla?

    dipende da cosa uso:
    - con una casella che ho, solo in pochi...
    e comunque è tutto ben criptato...
    - in altri casi uso un anonymous remailer + criptazione...

    > Pensi sia difficile?

    nel mio caso? beh un pochino si... tu che dici?

    > eh beata gioventu che crede ancora che
    > l'informatica funzioni per volonta
    > divina...

    di chi parli? non sai minimamente chi sono, che competenze ho... e quanti anni ho (probabilmente più di te, che dalle cose che dici dimostri quantomeno una certa immaturità)...
    non+autenticato
  • Concordo: i dati sensibili e che necessitano di estrema protezione, semplicemente non sono da caricare in rete.

    Però riconosco che qualche utente inesperto magari potrebbe cadere in errore. Non trovi?
  • Utilizzo l'https per la mia posta di gmail da diversi mesi.

    L'algoritmo usato è un RC4 a 128 bit, sicuro, "ma non troppo".
    Infatti l'RC4 è "facilmente" violabile da chi è intenzionato a farlo (...tradotto: non lo fa certo il bambino dodicenne sulla mia webmail, ma se il Dott.Silvio -un nome come un altro- avesse un account di posta gmail....)

    Ma la domanda è: quanti altri domini di posta offrono connessioni perennemente criptate con algoritmi più sicuri?
    Di certo questo non deve far adagiare BigG sugli allori.

    Per il resto, le differenze lato utente facilmente riscontrabili sono:
    * qualche (milli)secondo in più ad aprire la webmail;
    * google toolbar spesso resta con la casellina di posta aperta ad indicare nuove mail, quando in realtà nuove mail non ce ne sono più;
    * il widget creato per iGoogle da google stessa non funziona se la mail è impostata sulla connessione sicura

    Direi pertanto che sono tutti aspetti secondari (probabilmente 2° e 3° risolvibili).

    Quel che mi riesce difficile capire è perchè non fornire l'https come "default" e, al più, dare la possibilità di disabilitarlo
    non+autenticato
  • > Quel che mi riesce difficile capire è perchè non
    > fornire l'https come "default" e, al più, dare la
    > possibilità di
    > disabilitarlo

    computazionalmente molto più pesante per il webserver che lo deve gestire, l'impatto che può potenzialmente avere su un numero di utenti come può essere quello di gmail (o altri servizi made in BigG) è sicuramente non banale.

    se non ricordo male, nelle impostazioni di Gmail c'è già la possibilità di usare sempre connessioni https; a suo tempo l'avevo provato, ma la differenza era sensibile e l'utilizzo della casella di posta meno "efficiente", così l'ho abbandonato.
    non+autenticato
  • Adesso funziona bene, io lo uso sempre ormai da un paio di mesiSorride
    non+autenticato
  • Che l'RC4 a 128 bit sia facilmente craccabile non mi pare proprio. Sicuramente ci sono altri bug da sfruttare a livello applicativo.

    A me inoltre quando mi loggo in HTTPS non funziona la chat. Succede anche ad altri?
    non+autenticato
  • - Scritto da: Fabio D.
    > Che l'RC4 a 128 bit sia facilmente craccabile non
    > mi pare proprio. Sicuramente ci sono altri bug da
    > sfruttare a livello
    > applicativo.
    >

    In 2005, Andreas Klein presented an analysis of the RC4 stream cipher showing more correlations between the RC4 keystream and the key.[9] Erik Tews, Ralf-Philipp Weinmann, and Andrei Pychkine used this analysis to create aircrack-ptw, a tool which cracks 104-bit RC4 used in 128-bit WEP in under a minute Whereas the Fluhrer, Mantin, and Shamir attack used around 10 million messages, aircrack-ptw can break 104-bit keys in 40,000 frames with 50% probability, or in 85,000 frames with 95% probability.

    http://en.wikipedia.org/wiki/RC4#Security
    non+autenticato
  • Riassumo i commentiOcchiolino

    - Scritto da: non_sono_un _troll
    > ...
    > * il widget creato per iGoogle da google stessa
    > non funziona se la mail è impostata sulla
    > connessione
    > sicura

    Se ti riferisci a Gmail Notifier:
    http://groups.google.com/group/Gmail-Help-Logging-...

    - Scritto da: pippuz
    > se non ricordo male, nelle impostazioni di Gmail c'è già
    > la possibilità di usare sempre connessioni https; a suo
    > tempo l'avevo provato, ma la differenza era sensibile e
    > l'utilizzo della casella di posta meno "efficiente", così
    > l'ho abbandonato.

    Ho Gmail dal 2003, da ottobre 2008 ho abilitato HTTPS per ogni mia connessione alla mail: risultato + lento di 2 secondi in apertura della mail e gmail notifier non funzionante. Ho aperto google e gmail notifier era sistemato.
    Ogni tanto in apertura di blocca ma basta un f5 e tutto riparte. Se questo è il prezzo per essere un pochino più al sicuro, lo pago volentieriOcchiolino

    - Scritto da: Fabio D.
    > A me inoltre quando mi loggo in HTTPS non funziona la
    > chat. Succede anche ad altri?

    In fondo alla finestra c'è Attiva Chat. (cmq è un servizio un pò inutile al contrario di SkypeOcchiolino )
    -----------------------------------------------------------
    Modificato dall' autore il 18 giugno 2009 23.03
    -----------------------------------------------------------
  • - Scritto da: albertobs88
    > Riassumo i commentiOcchiolino
    >
    > - Scritto da: non_sono_un _troll
    > Ho Gmail dal 2003, da ottobre 2008 ho abilitato
    > HTTPS per ogni mia connessione alla mail:
    > risultato + lento di 2 secondi in apertura della
    > mail e gmail notifier non funzionante. Ho aperto
    > google e gmail notifier era
    > sistemato.
    > Ogni tanto in apertura di blocca ma basta un f5 e
    > tutto riparte. Se questo è il prezzo per essere
    > un pochino più al sicuro, lo pago volentieri
    >Occhiolino
    >

    Dal 2003??? Lavori in Google???
    http://it.wikipedia.org/wiki/Gmail
    non+autenticato
  • Ehm, parli delle palle del blasone, vero? A bocca aperta
  • - Scritto da: attonito
    > corri il rischio di trovarti senza.

    Non è detto, potresti trovartene due aggiuntive, solo che non arrivano mai da sole Anonimo
    non+autenticato
  • Infatti tu usi i pizzini, vero? -_-'
    non+autenticato
  • Secondo me usare i servizi di Google è come attaccare i propri soldi con il nastro adesivo sui cartelloni pubblicitari giù in strada e pretendere di trovarli il giorno dopo o un'ora dopo.
    Non ci siamo. I dati devono stare quanto più vicino possibile, fisicamente, a chi li deve utilizzare, quindi su un PC. Il backup lo si potrebbe decentralizzare, per sicurezza, e tenerlo altrove, meglio se lontano dall'edificio dove risiede la postazione di lavoro, ma sia l'uno che gli altri non devono uscire dalla mia sfera di controllo personale.
    non+autenticato
  • questa si che è vera paranoia ! (e ti appoggio in pieno)
    non+autenticato
  • ma smettetela di dire c+++ate..

    certo se volete continuare a vivere nell'800 fate cosi'..tenete i vostri dati nel cassetto e sperate che nessuno venga a rubarveli sotto il naso...

    il fututo prossimo e' un altro..aprite gli occhi..e la mente
    non+autenticato
  • - Scritto da: masabi
    > ma smettetela di dire c+++ate..

    > certo se volete continuare a vivere nell'800 fate
    > cosi'..tenete i vostri dati nel cassetto e
    > sperate che nessuno venga a rubarveli sotto il
    > naso...

    > il fututo prossimo e' un altro..aprite gli
    > occhi..e la mente

    Tu che hai la mente cosi' aperta ci fai qualche esempio ?
    (Attento che il cervello non sia caduto fuori)
    krane
    22544
  • - Scritto da Klausbar
    >Secondo me usare i servizi di Google è come attaccare i >propri soldi con il nastro adesivo sui cartelloni >pubblicitari giù in strada e pretendere di trovarli il >giorno dopo o un'ora dopo.
    >Non ci siamo. I dati devono stare quanto più vicino >possibile, fisicamente, a chi li deve utilizzare, quindi >su un PC. Il backup lo si potrebbe decentralizzare, per >sicurezza, e tenerlo altrove, meglio se lontano >dall'edificio dove risiede la postazione di lavoro, ma sia >l'uno che gli altri non devono uscire dalla mia sfera di >controllo personale.
    Completamente d'accordo, a parte il fatto che chi usa la mail di Google per lavoro dovrebbe essere linciato in ogni caso.


    - Scritto da: masabi
    > ma smettetela di dire c+++ate..
    >
    > certo se volete continuare a vivere nell'800 fate
    > cosi'..tenete i vostri dati nel cassetto e
    > sperate che nessuno venga a rubarveli sotto il
    > naso...
    >
    > il fututo prossimo e' un altro..aprite gli
    > occhi..e la
    > mente
    Metti pure in mano le tue mail e i tuoi dati ad un societa' il cui unico scopo e' raccogliere i dati di quanti piu' utenti possibile a scopo commerciale. Poi ridiamo....
    non+autenticato
  • Ovvio che i dati importanti non vado a cacciarli su Gmail!
    Ma avere un buon grado di sicurezza che le mie email non possano essere facilmente lette da chiunque e avere la ragionevole certezza che da un giorno all'altro speriscano, mi pare una buona cosa.
    non+autenticato
  • ma che siete delle banche ??? che dati sensibili avrete mai tra le vostre email ??? io trovo gmail uno dei migliori servizi esistenti ... e se confrontiamo la sicurezza è nella media !!!i dati stra-sensibili non vanno messi mai su internet ma per l uso di mail e basta gmail va piu che bene !!!
    non+autenticato
  • Scusa, ma tu le email come le gestisci? Hai un tuo mailserver a casa? Perché se al posto di Google c'è per es. TIN che cosa cambia? (Ricordo in proposito lo scnadalo sulle intercettaizoni Telecom di qualche tempo fa). E poi se anche il mail server lo tieni a casa tua, sei così sicuro di essere più bravo dei sistemisti di Google a farlo a prova di cracker? ...E poi, una volta che le mail escono dal tuo server, sai quali compagnie gestiscono i router per il trasferimento dei pacchetti IP? Sai se queste compagnie sono affidabili? Sai se non c'è qcuno che sta sniffando il traffico in qualche remoto CED?
    non+autenticato
  • - Scritto da: Por
    > Scusa, ma tu le email come le gestisci? Hai un
    > tuo mailserver a casa? Perché se al posto di
    > Google c'è per es. TIN che cosa cambia? (Ricordo
    > in proposito lo scnadalo sulle intercettaizoni
    > Telecom di qualche tempo fa). E poi se anche il
    > mail server lo tieni a casa tua, sei così sicuro
    > di essere più bravo dei sistemisti di Google a
    > farlo a prova di cracker? ...E poi, una volta che
    > le mail escono dal tuo server, sai quali
    > compagnie gestiscono i router per il
    > trasferimento dei pacchetti IP? Sai se queste
    > compagnie sono affidabili? Sai se non c'è qcuno
    > che sta sniffando il traffico in qualche remoto
    > CED?

    ssssssssh non glielo dire... questi qui sono ragazzetti che pensano che internet significa che chi invia la mail è collegato direttamente sul loro pc e nessuno può leggere niente... shhhhhhhhhh
    Non ricordargli questa roba senno si terrorizza e usa la posta tradizionale... perche crede che sia il mittente stesso a consegnare la posta nelle sue mani... shhhhh

    A questo proposito ricordo un film in cui 2 ricconi giocavano a poker in epoche antiche, uno dei due era un baro... l'altro non riusciva mai a capire come poteva fare a vincere sempre tanto e perdere pochissimo... era semplice, il cameriere del baro stava dietro le spalle del tizio e da li avvertiva il suo padrone di quel che aveva in mano il quest'ultimo...
    Be questo non se ne è mai accorto perche pensava che il baro a cui faceva direttamente riferimento era l'unico presente nella stanza e il cameriere essendo una essenza non al suo livello non meritava di essere neanche preso in considerazione
    :)
    non+autenticato