Comprendere i metadati

Il novantacinque percento del Web è crittografato . Ciò significa che se visiti Facebook, il tuo provider di servizi Internet (ISP) può vedere che hai visitato e per quanto tempo è rimasto, ma non può vedere le tue credenziali di accesso (nome utente e password) o le pagine esatte a cui sei andato. Questo viene fatto con l'uso di Transport Layer Security , o TLS, un protocollo di crittografia potente e sempre più popolare utilizzato online.

Tuttavia, ci sono due problemi nell'affidarsi rigorosamente all'attuale modello TLS dell'intert. Innanzitutto, protegge solo i dati in transito. Quando ti connetti ad Amazon, il tuo ISP può vedere che hai visitato Amazon, ma Amazon può vedere ogni pagina, fare clic e acquistare senza restrizioni. In secondo luogo e cosa più importante, spesso non è necessario vedere il contenuto stesso per iniziare a fare ipotesi potenti e accurate .

Cosa sono i metadati?

I metadati sono spesso descritti come "dati sui dati". Ad esempio, il contenuto di un'e-mail non sono i metadati, ma chi hai inviato l'e-mail, l'ora, l'oggetto e la dimensione dell'e-mail. In apparenza questo potrebbe non sembrare molto rivelatore. Tuttavia, prendi questo eccellente articolo della Electronic Frontier Foundation, per esempio. Un paio di esempi che elencano di metadati che hanno il potenziale per essere troppo rivelatori includono:

Sanno che hai chiamato un ginecologo, hai parlato per mezz'ora e poi quel giorno hai chiamato il numero locale di Planned Parenthood. Ma nessuno sa di cosa hai parlato.
Sanno che hai ricevuto un'e-mail da un servizio di test dell'HIV, poi hai chiamato il tuo medico, quindi hai visitato il sito Web di un gruppo di supporto per l'HIV nella stessa ora. Ma non sanno cosa c'era nell'e-mail o di cosa hai parlato al telefono.
Sanno che hai chiamato la hotline per la prevenzione del suicidio dal Golden Gate Bridge. Ma il tema della telefonata resta un segreto.
(Visita direttamente dalla pagina di autodifesa di sorveglianza di EFF )

I metadati hanno il potenziale per essere altrettanto rivelatori del contenuto stesso e quindi dovrebbero essere protetti tanto quanto i dati effettivi. Non si tratta di ipotetici abusi o situazioni. Un ex capo della NSA una volta ha detto " [Il governo degli Stati Uniti] uccide le persone in base ai metadati ", riferendosi a come i metadati possono rivelare così tante informazioni da poter essere utilizzate per giustificare attacchi militari. In un altro caso, la polizia è stata in grado di determinare che un uomo ha ucciso sua moglie sulla base dei metadati del suo smartwatch e delle telecamere a circuito chiuso. Potrei elencare molte altre storie come queste. I metadati contano.

"I metadati sono straordinariamente invadenti. Come analista,
preferisco guardare i metadati piuttosto che guardare il contenuto

perché è più veloce, più facile e non mente."

- Edward Snowden

Come gestire i metadati

Sfortunatamente, qualsiasi azione digitale crea metadati . Il meglio che puoi fare quando tenti di proteggere la tua privacy è essere consapevole di quali metadati potrebbero essere creati dall'azione che stai per intraprendere e quindi determinare come ridurli o mitigarli al meglio. Ad esempio, provider VPN affidabili (e alcuni messenger come Signal) non registrano i siti che visiti, il tuo indirizzo IP o altri metadati più a lungo del necessario per far funzionare il servizio. Questo è desiderabile ma non dovrebbe essere sempre attendibile. Un altro approccio è falsificare i tuoi metadati quando possibile. Ad esempio, utilizzando un browser VPN o Tor per accedere a un sito Web: il sito Web ora pensa che il tuo indirizzo IP sia quello del provider VPN o del nodo di uscita. Idealmente dovresti trovare un modo per combinare questi approcci per una protezione e una ridondanza aggiuntive.

Sfortunatamente, la quantità di metadati creati e registrati può essere piuttosto ampia. Ad esempio, un produttore di smart TV è stato sorpreso a scansionare i nomi delle reti WiFi vicine, oltre a rilevare tutti i dispositivi sulla rete locale e informazioni dettagliate su di essi. la protezione da quel livello di invasione richiede più di una semplice VPN affidabile. Fortunatamente, la maggior parte di noi non ha bisogno di essere anonima al 100% e situazioni come queste esulano in gran parte dal modello di minaccia della maggior parte delle persone che leggono questo. Tuttavia, è comunque una buona idea, ogni volta che si cambia qualcosa nella tua vita digitale, chiedere quali metadati potrebbero essere potenzialmente trapelati, cosa si potrebbe fare per prevenirlo e cosa richiede il tuo modello di minaccia.