Gmail fa la guardia

Mele e appunti

Ieri è stato risolto un piccolo caso di violazione della privacy.

Domenica un amico mi scrive preoccupato: Riccardo, magari mi puoi aiutare. Ho forti sospetti che dove lavoro qualcuno stia curiosando in uno (o più d’uno) dei miei account Gmail. […] Lo so, cambiare tutte le password, eccetera, ma mi piacerebbe poterlo cogliere sul fatto. Ho un’idea di chi potrebbe essere, ma non posso lanciare accuse a vuoto.

Ci ho pensato su un po’, poi mi è venuta un’ideuzza. Non è la migliore delle soluzioni, in quanto deve verificarsi tutta una serie di condizioni, ma fortunatamente nel caso in questione le cose sono andate come previsto. L’idea: usare l’interfaccia chat di Gmail.

Supponiamo di avere tre account Gmail: tizio @ gmail.com, caio @ gmail.com e sempronio @ gmail.com, tutti naturalmente a nostro nome (es. “Riccardo Mori”). Effettuando il login dal Web, e osservando la colonna all’estrema sinistra, sotto le caselle, i contatti e le eventuali etichette/filtri, dovrebbe apparire il riquadro della chat:

gmail-chat.png

Nella chat Gmail inserisce per default i nominativi di tutti i nostri contatti che abbiano un indirizzo gmail. Se abbiamo più di un account, Gmail aggiungerà anche quelli, che naturalmente appariranno con il nostro stesso nome. Se io mi sono autenticato come tizio @ gmail.com, e qualcuno da un altro computer entra in caio @ gmail.com o in sempronio @ gmail.com, dalla mia postazione vedrò uno di quei due “Riccardo Mori” apparire online.

Un altro metodo per vedere se altri hanno avuto accesso al nostro account gmail preferito è, naturalmente, effettuare il login, scendere a fondo pagina sotto il riquadro dei messaggi, e controllare la scritta: Last account activity che informa su quando è avvenuto l’ultimo accesso all’account e da quale IP. Tuttavia, nel caso del mio amico, questa indicazione non gli sarebbe servita a molto: se è un collega dello stesso ufficio è probabile che anche l’IP sia il medesimo, o che addirittura, in caso di macchine condivise, si ritrovi una dicitura come: Last account activity: 16 minutes ago on this computer — che non serve a molto.

Dopo un veloce scambio di mail, il mio amico ha preparato la trappola al collega. Prima è entrato nei suoi quattro account Gmail e si è assicurato che a ogni login la chat di Gmail fosse abilitata. Poi ha aperto un nuovo account Gmail da cui poter monitorare gli altri quattro. Arrivato in ufficio ieri, ha finto di assentarsi con la scusa di dover andare a far colazione. Si è invece nascosto in un altro ufficio con il suo MacBook e si è collegato, autenticandosi dall’account Gmail fresco di creazione. Il collega (un po’ gonzo, permettetemi) ha subito approfittato della sua assenza per andare a ficcanasare. Quando il mio amico ha visto ‘se stesso’ andare online, si è precipitato in ufficio e ha beccato il collega in flagrante. Vi risparmio i dettagli su quel che è seguito.

Prima parlavo di una serie di condizioni che devono verificarsi. Sono facili da immaginare: la chat deve essere abilitata, altrimenti non si vedrà nulla. Lo spione deve essere un personaggio poco furbo (perché buttando un occhio all’interfaccia della chat anche lo spione può accorgersi che il legittimo proprietario dell’account è online). E soprattutto occorre avere più di un account Gmail (ma chi non ne ha almeno due, ormai?). L’amico è stato anche fortunato in quanto il collega ha davvero approfittato della prima occasione buona. E poi, ovviamente, questo stratagemma è efficace per situazioni ‘locali’ di questo tipo. Se l’intruso è un hacker che vive in un’altra città o in un altro paese, si potrà avere conferma dell’accesso illegale (ma a quel punto basta osservare l’IP) senza la soddisfazione di mettere personalmente le mani addosso al cattivone.

Sottolineo la particolarità e specificità di questa situazione. Il trucco ha funzionato e ora l’amico farà più attenzione a non lasciare il computer incustodito o con sessioni aperte. In generale, il consiglio è sempre quello: cercare di utilizzare password lunghe e difficili da indovinare. Ma soprattutto, specie se si utilizzano computer condivisi, chiudere sempre le sessioni ed effettuare sempre il logout da qualsiasi account aperto. Se ci si deve assentare con urgenza e non si ha tempo di fare molto, chiudere il browser e/o il client email, avendo prima disabilitato nel browser la funzione di autocompletamento. Oppure, se si usa un Mac, può essere opportuno attivare il salvaschermo protetto da password. E qui ritorna il consiglio di usare password complesse. Bruce Schneier, il guru della sicurezza informatica, consiglia di scriversi le password su un foglietto e metterlo nel portafogli, oppure di utilizzare programmi che immagazzinano e criptano tutte le password (e occorre una password per accedere alle altre). Io consiglio anche di ricorrere a serie di caratteri che, seppur difficili e apparentemente senza senso, siano legate a qualcosa di personale e che si ricorda facilmente (che so, la targa della vostra prima auto) o a cui avete accesso solo voi (un amico di mio cognato, per esempio, ha pensato di usare come password il codice ISBN del suo libro preferito).

The Author

Writer. Translator. Mac consultant. Enthusiast photographer. • If you like what I write, please consider supporting my writing by purchasing my short stories, Minigrooves or by making a donation. Thank you!

2 Comments

  1. io ho temuto una cosa simile quando a gennaio dello scorso anno erano arrivati strani messaggi sms alla mia ex.
    temevo se li fosse scritti da sola dall’interfaccia web dell’operatore, dato che la password del mio account era la stessa della mail e per praticità aveva la password della mia mail.

    dopo aver controllato che non erano stati inviati sms al suo numero, ho provveduto a cambiare tutte le varie password.

    eh!

  2. Bella quella del codice ISBN: un libro indimenticabile :)
    Tornando seri, effetivamente le applicazioni web hanno portato a galla un sacco di problemi di sicurezza e privacy che prima, usando solo applicazioni desktop, non c’erano o erano comunque limitati. E questo è uno dei vari motivi per cui le web.apps mi lasciano perplesso.

Comments are closed.