Nota degli editor: Questa è La Guida di Motherboard per Non Farsi Hackerare, una guida comprensiva alla sicurezza digitale. Questa guida è disponibile anche nel formato di PDF stampabile.Ultimo update: 15 maggio 2018Per osservazioni, refusi o domande, scriveteci a: itmotherboard@vice.com.Segui Motherboard Italia su Facebook e Twitter.
Una delle domande che ci fanno più spesso qui a Motherboard è “Cosa posso fare per proteggermi da un attacco hacker?”Dato che vivere nella società moderna significa affidarsi in misura sempre maggiore nelle mani di terze parti, la risposta è spesso “Non molto”. Prendete, ad esempio, l'enorme attacco a Equifax — LA società americana di controllo del credito dei consumatori — che ha coinvolto all'incirca metà della popolazione americana: alcune persone si erano iscritte al servizio proprio perché volevano proteggersi da eventuali attacchi, eppure i loro dati sono stati rubati.
LA GUIDA DI MOTHERBOARD PER NON FARSI HACKERARE
Pubblicità
Gli hacker possono entrare in possesso di centinaia di milioni di password in un colpo solo e creare interruzioni di servizio di proporzioni notevoli. Non ci possiamo aspettare che in futuro le cose migliorino se pensiamo che presto avremo a che fare con robot domestici intelligenti che potrebbero essere manomessi e programmati per uccidere, gingilli in grado di causare veri e propri disastri una volta connessi alla rete, droni volanti che trasportano computer con software per effettuare attacchi informatici; per non parlare dei pericoli legati all’archiviazione delle nostre informazioni genetiche.Questo non significa che sia tutto inutile. Ci sono un sacco di cose che si possono fare per rendere la vita più complicata agli hacker intenzionati ad accedere ai vostri dispositivi o ai vostri account, e lo scopo di questa guida è quello di fornirvi dei chiari e semplici punti da seguire per incrementare il vostro livello di sicurezza digitale. Esistono, grosso modo, due tipi di attacchi: quelli che gli utenti non possono evitare e quelli che normalmente possono essere prevenuti. Noi vogliamo aiutarvi a ridurre i danni causati dai primi ed evitare che i secondi si verifichino.In quanto singoli utenti, non potete far niente per impedire al vostro provider e-mail o all'azienda che custodisce i vostri dati finanziari di essere bersaglio di un hacker. Ma potete certamente evitare attacchi di phishing che permetterebbero a un hacker di accedere al vostro account di posta elettronica, e potreste anche impedire che una vostra password finita in mezzo a un furto di dati su vasta scala venga riutilizzata per accedere a un altro vostro account su cui magari avete usato la stessa password.
Pubblicità
Questa guida è in continuo aggiornamento e non è adattabile ad ogni singolo caso; non esistono cose come “la sicurezza perfetta” e non ci sono soluzioni per tutti. Ma speriamo che possa essere un buon punto di partenza per chi ha intenzione di mettere al riparo la propria vita digitale. Questo è il motivo per il quale abbiamo cercato di mantenere questa guida il più accessibile possibile, ma se vi capita di imbattervi in un qualche termine tecnico che non conoscete, c'è un glossario alla fine.Questo è un lavoro a cui hanno partecipato membri dello staff di Motherboard del presente e del passato, ed è stata esaminata da molte delle nostre fonti. Hanno collaborato Lorenzo Franceschi-Bicchierai, Joseph Cox, Sarah Jeong e Jason Koebler, ma i suggerimenti che trovate al suo interno nascono grazie a un percorso fatto di anni di articoli e ricerche sulla sicurezza digitale portato avanti da dozzine di reporter e di professionisti appartenenti al campo dell'information security. Consideratela un work-in-progress: apporteremo piccoli aggiornamenti nel caso si presentassero nuove e rilevanti vulnerabilità. Un ringraziamento speciale a Matt Mitchell di Crypto Harlem e a Eva Galperin della Electronic Frontier Foundation per aver revisionato alcune parti di questa guida.Versione italiana: Antonella Di Biase, Federico Nejrotti
Revisione: Riccardo Coluccini
Traduzione: Alessandro Franchi
Adattamento grafico: Pietro Amoruoso
Revisione: Riccardo Coluccini
Traduzione: Alessandro Franchi
Adattamento grafico: Pietro Amoruoso
Pubblicità
Ad ogni modo, basta con le chiacchiere. Ecco la GUIDA DI MOTHERBOARD CONTRO GLI ATTACCHI HACKER
THREAT MODELING
Pubblicità
- Cosa volete proteggere?
- Da chi?
- Quante probabilità ci sono che la protezione risulti necessaria?
- Quanto negative sarebbero le conseguenze di un eventuale fallimento?
- Quante difficoltà siete disposti ad affrontare per prevenirle?
Pubblicità
In alcuni punti, questa guida vi fornirà dei passi specifici da seguire se avete un threat modeling che include soggetti sofisticati. In generale, però, è stata progettata per coloro che vogliono conoscere lo stretto indispensabile per rafforzare la propria sicurezza digitale. Se il vostro threat modeling include gli hacker della NSA o altri gruppi finanziati dallo stato come Fancy Bear, vi consigliamo di parlare della vostra situazione specifica con un professionista qualificato.Probabilmente la cosa più semplice e importante che possiate fare per proteggervi è mantenere il software che utilizzate aggiornato all'ultima versione. Ciò significa avere una versione aggiornata di qualsiasi sistema operativo stiate utilizzando, e aggiornare tutte le vostre app e programmi. Significa anche aggiornare i firmware del vostro router, i dispositivi connessi e ogni altro gadget in vostro possesso che può connettersi alla rete.Tenete a mente che, sul vostro computer, non dovete necessariamente utilizzare l'ultima versione di un sistema operativo. In alcuni casi, anche le versioni un po' più vecchie hanno i loro aggiornamenti per la sicurezza. (Sfortunatamente non è più il caso di Windows XP, smettete di utilizzarlo!) La cosa più importante è che il vostro sistema operativo riceva ancora gli aggiornamenti di sicurezza e che voi li installiate.Quindi se c'è una lezione che dovete imparare da questa guida è: aggiornate, aggiornate, aggiornate, o installate patch, installate patch, installate patch.
TENETE AGGIORNATI I VOSTRI SOFTWARE
Pubblicità
Spesso i cyber-attacchi sfruttano i difetti di software obsoleti come vecchi browser, lettori PDF o programmi di elaborazione testo. Mantenendo tutto aggiornato, avrete meno possibilità di diventare vittime di un malware, perché le ditte di produzione competenti e gli sviluppatori dei software rendono velocemente disponibili nuove patch per i loro prodotti non appena notano il minimo segnale di un attacco.Gli attacchi hacker scelgono spesso la strada più semplice: si concentrano in prima istanza sul bersaglio più debole e abbordabile. Ad esempio, gli hacker dietro il rovinoso attacco ransomware divenuto noto come WannaCry scelsero vittime che non avevano installato un aggiornamento di sicurezza che era stato reso disponibile già da diverse settimane. In altre parole, sapevano che sarebbero riusciti a entrare dato che le vittime non avevano cambiato la serratura della loro porta di ingresso, anche se le chiavi erano già state rese disponibili a chiunque.Abbiamo tutti un sacco di password da ricordare e questo è il motivo per cui alcune persone preferiscono utilizzare sempre le stesse. Riutilizzare le password è una cattiva idea perché se, per esempio, un hacker riesce a prendere possesso della vostra password di Netflix o Spotify, può poi usarla per entrare nel vostro account di car sharing o nel vostro conto corrente e prosciugare la vostra carta di credito. Anche se le nostre menti non sono in realtà poi così male nel ricordarsi le password, è quasi impossibile ricordarne dozzine che siano sicure ed univoche.La buona notizia è che la soluzione a questi problemi esiste già: i password manager. Sono app o estensioni per il browser che tengono a mente le password al posto vostro, aiutano a crearne di buone e semplificano la vostra vita in rete. Se utilizzate un password manager, dovete ricordare una sola password, quella che sblocca il caveau che contiene tutte le altre.
LE PASSWORD
Pubblicità
È bene, però, che quella password sia davvero buona. Scordatevi le lettere maiuscole, i simboli e i numeri. Il metodo più semplice per creare una password sicura è utilizzare una passphrase: una serie di parole scelte a caso che siano però pronunciabili — così da essere più semplici da memorizzare. Ad esempio: dadi colbacco deltoide landa lucia (non usate questa, l'abbiamo appena bruciata).Una volta fatto questo potete utilizzare singole password formate da molti caratteri per tutto il resto, se le create con un password manager e non le riutilizzate per altro. La password principale è meglio che sia una passphrase perché è più semplice da memorizzare, cosa non necessaria per le altre, delle quali si occuperà il password manager.Intuitivamente, potreste pensare che non sia saggio archiviare le password sul vostro computer o affidarle a un password manager esterno al vostro personale e costante controllo. E se un hacker riuscisse a metterci le mani? Non è meglio tenerle tutte a mente? Be’ non proprio: è molto più probabile che un truffatore riutilizzi una password rubata da qualche altra parte piuttosto che un hacker esperto decida autonomamente di prendere come bersaglio il vostro database di password. Per esempio, se aveste utilizzato la stessa password su molti siti e questa fosse stata rubata nel massiccio attacco a Yahoo! (che ha colpito 3 miliardi di persone), potrebbe venir facilmente riutilizzata per il vostro account Gmail, Uber, Facebook e su altri siti. Alcuni password manager archiviano le vostre password criptate nel cloud in modo che, anche se l'azienda dovesse subire un attacco hacker, rimarrebbero al sicuro. Ad esempio, il password manager LastPass è stato hackerato almeno due volte, ma nessuna password è mai stata rubata perché l'azienda le aveva archiviate al sicuro. LastPass rimane un password manager raccomandabile anche se è incorso in questi incidenti. Ma di nuovo, tutto sta nel valutare il proprio threat modeling.
Pubblicità
Quindi, per favore, utilizzate uno dei tanti password manager disponibili, come 1Password, LastPass o KeePass. Non c'è ragione per non farlo. Farà sentire più tranquilli anche noi, e renderà la vostra vita più semplice.E se il vostro capo vi chiede di cambiare periodicamente le password in nome della sicurezza, vi prego, ditegli che è un'idea terribile. Se utilizzate un password manager, l'autenticazione a due fattori (vedete sotto) e avete delle password sicure e univoche per ogni account, non c'è bisogno di cambiarle ogni volta — a meno che non sia stato violato il backend, o la vostra password sia stata in qualche modo rubata.Avere password forti e univoche è un primo passo importante, ma anche queste possono essere rubate. Quindi per i vostri account più importanti (gli account della mail, di Twitter o di Facebook, i vostri conti bancari o finanziari) dovreste aggiungere un ulteriore livello di protezione conosciuto come autenticazione a due fattori (o “a più fattori” o “strong authentication”). Molti servizi, oggi, offrono l'autenticazione a due fattori, quindi non sarebbe certo sbagliato attivarla dove possibile. Controllate tutti i servizi su questo sito: twofactorauth.org.Abilitando questo tipo di autenticazione non basterà solo la vostra password per avere accesso ai vostri account. Avrete bisogno anche di qualcos'altro, che di solito è un codice numerico inviato tramite SMS sul vostro telefono, o un codice generato da una app appositamente creata (che può tornare utile se il vostro telefono non ha copertura nel momento in cui cercate di accedere), o un piccolo apparecchio fisico come un token USB (talvolta chiamato U2F security key o YubiKey, prendendo il nome dai brand più conosciuti).
L'AUTENTICAZIONE A DUE FATTORI
Pubblicità
Negli ultimi anni si è spesso discusso della sicurezza degli SMS come “secondo fattore”. L'attivista Deray McKesson era stato derubato del suo numero di telefono e gli hacker erano così riusciti a trovare il modo di ricevere i messaggi con i codici di sicurezza che proteggevano i suoi account. E il National Institute of Standards and Technology (NIST), una sezione del governo degli Stati Uniti che scrive linee guida su regole e misure, inclusa la sicurezza, ha recentemente scoraggiato l'uso dell'autenticazione a due fattori tramite SMS.L'attacco a Deray è stato reso possibile grazie all'ingegneria sociale. In questo caso, un addetto al servizio clienti è stato indotto con l'inganno a rendere Deray vulnerabile. La truffa è consistita nel farsi inviare dalla sua compagnia telefonica una nuova scheda SIM per mettere le mani sul suo numero di telefono. Ciò ha permesso che, una volta immessa la prima password, il secondo fattore venisse inviato direttamente a loro. Questa è una truffa comune che sta diventando sempre più frequente.È difficile difendersi da un attacco del genere, ed è una triste verità che non esista una forma di sicurezza perfetta. Ma ci sono passi che si possono compiere per rendere questi attacchi più complessi da attuare e ne parleremo nel dettaglio poco più avanti, nella sezione della mobile security.L'autenticazione a due fattori tramite SMS può essere raggirata ed è anche possibile utilizzare a proprio vantaggio vulnerabilità nell'infrastruttura delle telecomunicazioni che trasmettono le nostre conversazioni, o utilizzare un dispositivo conosciuto come IMSI-Catcher, o Stingray, per raccogliere le conversazioni e i vostri SMS di verifica. Non scriviamo tutto questo per spaventarvi, ma vale la pena far notare che anche se ogni tipo di autenticazione a due fattori è meglio che niente, sarebbe più consigliabile utilizzare una app di autenticazione o, ancora meglio, una chiavetta fisica.
Pubblicità
Dovreste, se il sito lo permette, usare un'altra opzione a due fattori che non sia quella tramite SMS, come una app di autenticazione sul vostro smartphone (ad esempio Google Authenticator, DUO Mobile o Authy) o un apparecchio fisico. Se questa opzione fosse disponibile, sarebbe un'ottima idea utilizzarla.
Non utilizzate Flash: Flash è storicamente uno dei software più meno sicuri che sia mai stato presente nel vostro computer. Gli hacker adorano Flash perché ha più buchi del groviera. La buona notizia è che molti siti ne hanno abbandonato l'utilizzo, quindi non ne avrete più realmente bisogno per godervi una completa e intensa esperienza in rete. Prendete in considerazione l'idea di eliminarlo dal vostro computer, o almeno di cambiare le impostazioni sul vostro browser, in modo da dover cliccare ogni volta per avviarlo.Utilizzate un antivirus: sì, questa l'avevate già sentita. Ma è ancora una cosa (generalmente) vera. Gli antivirus sono, ironicamente, pieni di buchi di sicurezza. Ma se non siete persone a rischio di essere prese di mira da hacker assunti dallo stato o criminali di livello avanzato, avere un antivirus è pur sempre una buona idea. Tuttavia, un software antivirus non è una panacea, e nel 2018 vi servirà qualcosa in più per essere al sicuro. Inoltre, tenete presente che il software antivirus, per definizione, è estremamente invasivo: deve cercare a fondo nel vostro computer per essere in grado di identificare e fermare i malware. Questa ricerca può essere sfruttata. Ad esempio il governo degli Stati Uniti accusa Kaspersky Lab, uno delle aziende di software antivirus più conosciute al mondo, di aver passato al governo russo dei documenti sensibili di proprietà di uno dei suoi clienti.
Pubblicità
Utilizzate alcuni semplici plugin per la sicurezza: a volte, tutto quello di cui un hacker ha bisogno per prendere il controllo del vostro computer è farvi arrivare sul giusto sito carico di malware. Ecco perché vale la pena utilizzare alcuni semplici plug-in, di quelli che si installano una volta e non ci si pensa più, come gli adblocker, che proteggono dai malware che sono incorporati nelle pubblicità presentate dai siti più loschi in cui vi potreste imbattere in rete o, a volte, anche nei siti legittimi. (Naturalmente sarebbe molto gradito se sceglieste di inserire Motherboard nella vostra whitelist, visto che le pubblicità online sono quelle che ci permettono di svolgere il nostro lavoro).Un altro plugin utile è HTTPS Everywhere, che forza il criptaggio della vostra connessione (quando il sito lo supporta). Questo non vi salverà se il sito che state visitando nasconde un malware ma, in alcuni casi, vi aiuterà a impedire che gli hacker vi reindirizzino su una falsa versione di quel sito, e in generale vi proteggerà da quegli hacker che tentano di interferire con la vostra connessione, riportandovi su quella valida.Utilizzate una VPN: le Virtual Private Network (reti di telecomunicazione private) sono un canale sicuro tra il vostro computer e la rete internet. Se utilizzate una VPN, vi collegate prima ad essa e poi alla rete internet nella sua interezza, aggiungendo uno strato di sicurezza e di privacy. Se state utilizzando internet in uno spazio pubblico, mettiamo da Starbucks, in aeroporto o in un Airbnb, lo state condividendo con persone che non conoscete. E se un hacker fosse sul vostro stesso network, potrebbe creare problemi alla vostra connessione e potenzialmente al vostro computer. Vale la pena fare qualche ricerca sulle VPN prima di sceglierne una, perché alcune sono di gran lunga migliori di altre (la maggior parte di quelle gratuite non sono infallibili nel proteggere la privacy). Consigliamo Freedome, Private Internet Access o, se siete utenti competenti, Algo.
Pubblicità
Disabilitate le macro: gli hacker possono utilizzare le macro di Microsoft Office contenute all'interno dei documenti per introdurre malware nel vostro computer. È un vecchio trucco, ma è tornato in voga per diffondere ransomware. Disabilitatele!Eseguite il backup dei file: questa non è certo una novità, ma se temete che gli hacker distruggano o blocchino i vostri file (ad esempio con dei ransomware), allora dovete farne un backup. Possibilmente fatelo su un hard disk esterno mentre non siete connessi alla rete: così, anche se ci fossero dei ransomware, il backup non verrebbe infettato.Non esponetevi troppo senza una ragione: alle persone piace condividere pressoché tutto ciò che concerne le proprie vite sui social media. Ma per favore, vi supplichiamo, evitate di twittare foto della vostra carta di credito o della carta di imbarco del vostro volo, ad esempio. Più in generale, ci si dovrebbe render conto che un post su un social media è spesso un post rivolto a chiunque in rete si prenda la briga di controllare il vostro profilo, anche se si trattasse solo di capire il vostro indirizzo di casa tramite i vostri percorsi su un sito come Strava, il social network per corridori e ciclisti.Informazioni personali come il vostro indirizzo di casa o la vostra scuola (o anche solo la mascotte della scuola, che comporta solamente un passaggio in più di ricerca su Google) possono essere utilizzate per trovare ulteriori informazioni attraverso schemi di ingegneria sociale. Più informazioni personali un hacker possiede, più è probabile che riesca ad accedere a uno dei vostri account. Tenendo a mente queste cose, magari prendete in considerazione l'idea di modificare le impostazioni sulla privacy anche su alcuni dei vostri account.
Pubblicità
Non aprite allegati senza precauzioni: per decenni i cybercriminali hanno nascosto malware all'interno degli allegati delle mail su documenti Word o PDF. Gli antivirus a volte bloccano queste minacce, ma è sempre meglio utilizzare il buon senso: non aprite allegati (e non cliccate su link) di fonti non note o che non stavate aspettando. E se proprio volete farlo, usate alcune precauzioni come aprire gli allegati all'interno di Chrome (senza scaricare i file). Ancora meglio sarebbe salvare il file su Google Drive per poi aprirlo al suo interno, che è un procedimento ancora più sicuro perché il file viene aperto da Google e non dal vostro computer.Adesso viviamo in un mondo dove gli smartphone sono diventati i nostri principali apparecchi informatici. Non solo utilizziamo i cellulari più dei computer fissi, ma li abbiamo con noi praticamente tutto il giorno. È scontato, dunque, che gli hacker concentrino sempre più su di essi i loro attacchi.La buona notizia è che esistono alcuni semplici passi e precauzioni da seguire per minimizzare i rischi. Ecco quali sono.
LA MOBILE SECURITY
Pubblicità
Tenendo a mente queste cose, ecco alcuni semplici passi da seguire per prevenire altre minacce comuni per il vostro telefono.Più o meno tutti nel mondo della cybersicurezza — eccetto forse gli ingegneri che lavorano per Android — ritengono che gli iPhone siano i cellulari più sicuri che si possano avere. Ci sono diverse ragioni, ma le principali sono che iOS, il sistema operativo della Apple, è estremamente protetto. Le app sono sottoposte a controlli approfondito prima di finire nell'App Store e vengono sempre testate attraverso minuziose misure di sicurezza. Ad esempio, ogni codice viene approvato e firmato digitalmente dalla Apple (una procedura che prende il nome di code-signing) e vengono applicate limitazioni nelle interazioni tra le app (sandboxing). Queste caratteristiche fanno sì che, per gli hacker, attaccare il sistema operativo risulti davvero difficile. Dato che Apple controlla l'infrastruttura iOS, mette a disposizione per gli iPhone aggiornamenti e patch istantanei; importanti upgrade per la sicurezza di molti apparecchi Android possono richiedere settimane o mesi per essere messi a disposizione dei clienti. Perfino l'iPhone 5S, che è stato lanciato nel 2013, continua a godere di questi benefici.Quindi, se siete tipi paranoici, l'iPhone è il cellulare preconfigurato più sicuro. Ma, a meno che non abbiate una buona ragione per farlo, NON fate il jailbreak. Anche se il jailbreak e gli hacker che lo hanno sviluppato hanno contribuito a rendere l'iPhone più sicuro, oggi farlo sul proprio telefono significa rinunciare a gran parte delle caratteristiche che rendono iPhone sicuro. In passato, hacker sono riusciti a prendere di mira su larga scala solo iPhone sui quali era stato effettuato un jailbreak.
PRENDETEVI UN iPHONE
Pubblicità
Non c’è niente che non possa essere hackerato, comunque. È risaputo che alcuni governi dispongono di strumenti per l'hacking del valore di milioni di dollari per attaccare gli iPhone, e forse anche alcuni sofisticati criminali potrebbero esserne in possesso. A parte questo, procuratevi un iPhone, installate gli aggiornamenti, non fate il jailbreak e molto probabilmente non correrete alcun rischio.Android è diventato il sistema operativo più diffuso al mondo grazie alla sua natura decentralizzata e open-source, e al fatto che molti telefoni sono disponibili a prezzi parecchio inferiori rispetto agli iPhone. In qualche modo, questa natura open-source è stato il peccato originale di Android: Google ha rinunciato al controllo, e perciò alla sicurezza, per acquisire una fetta di mercato. In questo modo, gli aggiornamenti di sicurezza essenziali sono a carico dell'azienda produttrice e delle compagnie telefoniche che sono sempre molto lente nel rilasciarli.La buona notizia è che negli ultimi due anni le cose sono migliorate molto. Google ha spinto i suoi partner a fornire ai clienti aggiornamenti mensili, e i dispositivi marchiati Google assicurano un supporto che ha pressoché la stessa regolarità che fornisce Apple ai propri iPhone e anche alcune delle stesse caratteristiche di sicurezza.Quindi la cosa migliore è scegliere uno smartphone Pixel o Nexus, la cui sicurezza dipende esclusivamente da Google.
MA IO ADORO ANDROID!
Pubblicità
Qualsiasi telefono Android abbiate, fate attenzione alle app che installate. Generalmente gli hacker riescono a introdurre applicazioni dannose su Play Store con molta facilità, quindi pensateci due volte prima di installare una app poco conosciuta, oppure controllate che la app che state scaricando sia davvero quella che volete. La scorsa primavera una versione falsa di WhatsApp è stata installata da più di un milione di utenti Android. Inoltre, rimanete fedeli a Play Store ed evitate di scaricare e installare applicazioni da store di terze parti che potrebbero benissimo rivelarsi pericolose. Sulla maggior parte dei telefoni Android non è abilitata di default l'opzione di installare app di terze parti, e sarebbe meglio che questa preferenza rimanesse invariata.Per proteggere i dati sul vostro telefono Android, assicuratevi che sia abilitata la crittografia dell'intero disco. Se non lo avete già fatto, aprite le Impostazioni, andate su “Sicurezza” e cliccate su “Esegui crittografia telefono”. (Se non ci riuscite, cercate su Google come attivarla sul vostro modello di telefono.)Infine, anche se non è obbligatorio, sarebbe una buona idea installare un antivirus per telefono cellulare come Lookout o Zips. Probabilmente non fermeranno gli hacker del governo, ma possono risultare efficaci contro i malware più comuni.Sul nostro sito, abbiamo recentemente raccontato di come alcuni hacker abbiano sfruttato un virus su un sito della T-Mobile per entrare in possesso dei dati personali dei clienti nel tentativo di raccogliere informazioni che avrebbero poi potuto utilizzare per impersonare le vittime e, sfruttando le loro abilità nel campo dell'ingegneria sociale, convincere i componenti dello staff per il supporto di T-Mobile a emettere nuove schede SIM. Questo tipo di attacco, noto come “SIM swap”, permette agli hacker di acquisire il vostro numero di telefono e di conseguenza di tutto ciò che è ad esso connesso. Il furto di SIM è ciò che rende l'autenticazione a due fattori tramite SMS così pericolosa.Il vostro numero di telefono, probabilmente, è la strada che porta a molti altri elementi, forse ancora più sensibili, della vostra vita digitale: la vostra email, il vostro conto in banca, i vostri backup su iCloud.
BLOCCATE QUELLA SIM CARD
Pubblicità
In qualità di consumatori, non potete controllare se la vostra compagnia telefonica lascia dei bug che gli hacker possono sfruttare. Ma potete complicargli la vita nel momento in cui tentano di spacciarsi per voi con gli ingenui dipendenti del supporto tecnico. La soluzione è semplice, anche se non sono in tanti a conoscerla: un codice di sicurezza o una password secondari da fornire quando si chiama il proprio gestore telefonico.
A seguito dell'11 Settembre, gli Stati Uniti hanno costruito un forte apparato di sorveglianza, indebolito le garanzie costituzionali e limitato il possibile ricorso al sistema legale.Dati gli enormi poteri della sorveglianza di stato negli Stati Uniti — come del resto quella dei governi di tutto il mondo — può capitare di sentirsi un po' paranoici. Non solo la NSA, perfino la polizia locale ha più strumenti a disposizione per ficcare il naso negli affari delle persone più di quanto abbia mai fatto. C'è da temere anche una terrificante quantità di sorveglianza passiva e imprevedibile: i vostri account social possono essere citati in giudizio, le vostre telefonate o le vostre mail potrebbero venir prese in esame per più ampi fini di indagine, e i metadati dei vostri telefoni potrebbero essere acquisiti da alcuni IMSI Catcher o Stingray che avevano un altro bersaglio.Ricordate, l'anti-sorveglianza non è la cura, è solo una contromisura che potete prendere per proteggere voi stessi e gli altri. Probabilmente non sarete le persone più a rischio, ma questo non significa che non dobbiate prendere misure di sicurezza adeguate. La sorveglianza è una questione delicata: potete cercare di prendere più provvedimenti possibili per proteggervi ma, se mandate messaggi a qualcuno che non lo fa, potreste comunque essere spiati attraverso i loro dispositivi o tramite le loro conversazioni con altre persone (se questi riportassero informazioni che gli avete riferito, ad esempio).
Pubblicità
Ecco perché è importante che le pratiche per la buona sicurezza diventino una norma: se non avete niente da temere, è ancora più importante che utilizziate alcuni di questi strumenti perché, così facendo, mettereste al sicuro le azioni dei vostri amici che, per esempio, potrebbero essere immigrati senza documenti o attivisti. Il direttore della CIA scelto da Trump pensa che usare la crittografia possa essere un’ammissione di colpevolezza. Se non si ha “niente da nascondere”, l'uso della crittografia può, in realtà, beneficiare persone che vogliono celare qualcosa. Seguendo questa guida renderete qualcun altro più sicuro. Pensatela come una sorta di immunità collettiva. Più le persone praticano buone norme di sicurezza, più tutti gli altri saranno al sicuro.I suggerimenti forniti precedentemente sono sempre validi: più ci si tiene alla larga dagli attacchi hacker, meno si rischierà di essere sorvegliati (quando si tratta di sorvegliare un iPhone, ad esempio, i governi hanno spesso poche opzioni oltre quella di hackerare il dispositivo). Ma gli strumenti di alta tecnologia non risolvono tutti i problemi. I governi hanno nelle mani un'arma che gli hacker criminali non hanno: il potere della legge. Molti suggerimenti in questa sezione della guida vi aiuteranno non solo contro le richieste giuridiche e gli attacchi hacker governativi, ma anche contro chiunque voglia cercare di spiarvi.
Pubblicità
Non dovete diventare degli esperti di sicurezza. Iniziate solo a pensare ai vostri rischi e non lasciatevi intimidire dalla tecnologia. La sicurezza è un continuo processo di apprendimento. Le minacce e gli strumenti sviluppati per metterle in atto cambiano continuamente, ragione per cui spesso i consigli sulla privacy e la sicurezza possono sembrare mutevoli e contraddittori. Ma i suggerimenti che seguono sono un buon punto di partenza.Ricordatevi che nuovi strumenti sollevano nuovi problemi. Senza threat modeling è facile sentirsi schiacciati dalla quantità di strumenti in circolazione. Il threat modeling per la sorveglianza è simile al threat modeling per gli attacchi hacker ma, ovviamente, ci sono sfumature che variano in ogni circostanza.Per alcune persone è facile dire “usate Signal, usate Tor” e chiudere la faccenda, ma in realtà non vale per tutti la stessa cosa. Ad esempio, conosco una persona che raccontava agli amici degli abusi del suo ex-partner tramite la chat del gioco Words With Friends perché sapeva che lui leggeva i suoi SMS e le sue chat di Google. Words With Friends non ha un sistema di messaggistica particolarmente sicuro ma, in questo caso, è stata una scelta migliore di Signal o Hangouts perché a lui non veniva in mente di leggere quella chat.Quando si parla di soggetti governativi, potrebbe risultare utile valutare la sorveglianza sotto due aspetti differenti: la sorveglianza dei metadati (chi siete, con chi parlate, quando lo fate) e quella dei contenuti (di cosa state parlando). Come in tutte le cose, quando si scava un po' più a fondo, non è così semplice come sembra. Ma se è la prima volta che ci pensate, questo è sicuramente un buon punto di partenza.
THREAT MODELING (per privacy e sorveglianza)
Pubblicità
La legge sulla sorveglianza è complicata ma, per farla breve, sia la legge che l'attuale infrastruttura tecnologica rendono più semplice entrare in possesso dei metadati piuttosto che dei contenuti. I metadati non sono necessariamente meno importanti o meno eloquenti rispetto al dati veri e propri. Mettiamo che abbiate ricevuto una telefonata da un’associazione antiabortista. Voi chiamate il vostro partner, la vostra compagnia assicurativa (se ce l’avete), infine vi rivolgete alla clinica per l'aborto. Queste informazioni verranno riportate sul vostro registro telefonico e la vostra compagnia potrebbe tranquillamente cederle al governo. Il vostro provider potrebbe non aver registrato le telefonate, il contenuto è ancora privato. Ma a questo punto non serve, anche con i soli metadati sarebbe semplice farsi un'idea plausibile del contenuto delle conversazioni.Iniziate a pensare a cosa è aperto ed esposto, e a quello che potete proteggere. A volte dovrete accettare che c’è ben poco da fare riguardo a un determinato canale di comunicazione. Se la situazione è drammatica non resta che tentare di aggirarla.Signal è un servizio di messaggistica criptato per smartphone e computer desktop. È per molti — ma non per tutti — un buon modo di evitare la sorveglianza. Visto che il governo ha la possibilità di intercettare i messaggi elettronici mentre vengono trasmessi, il vostro obiettivo è quello di utilizzare un sistema di crittografia end-to-end per più comunicazioni possibili.Utilizzare Signal è semplice. Potete trovarlo e installarlo dallo store del vostro telefono (sull'App Store di iOS e sul Play Store di Google si chiama Signal Private Messenger ed è sviluppato da Open Whisper Systems).
SIGNAL
Pubblicità
Se avete il numero di telefono dell'altra persona nella vostra lista dei contatti potrete vederli su Signal e inviare loro messaggi o chiamarli. Se anche l'altra persona ha Signal i messaggi verranno automaticamente criptati e tutto risulterà invisibile.Esiste anche un'applicazione desktop, quindi potete utilizzarlo allo stesso modo in cui gli utenti iOS/Mac OS utilizzano iMessage sul loro telefono o sul loro computer. Andate sul sito Signal.org e scaricate l'app per il sistema operativo che preferite. Basta seguire le istruzioni, è molto semplice e intuitivo.Signal vi permette di impostare un timer per i messaggi in modo che si cancellino tutti automaticamente. L'intervallo di tempo può variare ed essere anche molto breve. Questa è una funzione molto utile per i giornalisti che vogliono proteggere le loro fonti o le loro conversazioni con gli altri redattori.Queste sono tutte ottime funzionalità, e sono alcune delle ragioni per cui consigliamo Signal tra le tante altre app di messaggistica end-to-end. Anche iMessage e WhatsApp lo sono, ma hanno entrambe lati negativi.Sconsigliamo WhatsApp perchè è di proprietà di Facebook e condivide le informazioni dell'utente con l'azienda madre. Anche se si tratta solo di metadati, è in definitiva una promessa che Facebook aveva fatto quando ha acquistato WhatsApp ma che non ha mantenuto. Pensiamo che questo la dica lunga sull'attendibilità dell'azienda al giorno d'oggi. Al momento Facebook sta discutendo e provvedendo a limitare o cessare del tutto la condivisione di dati tra le due piattaforme.
Pubblicità
Che Apple codifichi i messaggi end-to-end è una cosa molto positiva. Ma iMessage, di default, effettua un backup dei messaggi su iCloud, grazie al quale potete inviarli tramite tutti i vostri dispositivi Apple. Questa è una funzione comoda e piacevole ma, se siete preoccupati dalla sorveglianza governativa, ricordate che Apple adempie alle richieste legali del governo sui dati presenti nel vostro iCloud: “Per tua comodità facciamo un backup su iCloud dei tuoi iMessage e SMS”, recita la pagina riguardante la privacy sul sito di Apple. Puoi disattivare questa funzione, ma in teoria Apple potrebbe essere costretta ad accedere agli iMessage che avete mandato alle persone che hanno ancora questa funzione abilitata.Signal trattiene davvero poche informazioni. Lo sappiamo perché Open Whisper Systems è stato citato in giudizio dal governo lo scorso anno ed è stato costretto a cedere informazioni. Le informazioni che avevano erano, però, volutamente minime. Signal memorizza il numero di telefono, la data di creazione dell'account e l'ora dell'ultima connessione ai server di Signal. Sì, è comunque qualcosa, ma non poi molto.Ci sono applicazioni che sono meno sicure anche di iMessage e WhatsApp. Ad esempio, dovreste assolutamente evitare di utilizzare Telegram per comunicazioni sensibili. E Google può leggere i vostri Hangout a meno che non prendiate ulteriori provvedimenti per attivare una codifica end-to-end. Ci sono molti altri prodotti sul mercato che costituiscono una valida alternativa (Wire, ad esempio) ma, come WhatsApp e iMessage, sono creati e sovvenzionati da aziende a scopo di lucro e non si può mai sapere come decideranno di monetizzare in futuro. Signal è un progetto no-profit e open source. Ha i suoi difetti (ad esempio non è pratico quanto iMessage e non ha il lusso di avere un vasto team di sicurezza alle spalle) quindi si potrebbe pensare di donare qualcosa una volta che si decide di scaricarlo.
Pubblicità
Una cosa che vale la pena menzionare è che Signal richiede di associare il dispositivo a un numero di telefono. Questo significa che dovete fidarvi a lasciare il vostro numero di telefono alle persone con cui messaggiate (oppure dovrete fare i salti mortali per usare Signal con un numero di telefono fasullo); ci sono molte ragioni per le quali potreste voler scrivere a persone senza dar loro il vostro numero e questo è uno dei potenziali svantaggi di Signal. Se per voi questo è un problema, prendete in considerazione un'altra opzione.Un'altra cosa da tenere a mente è che anche se una comunicazione è codificata end-to-end non significa che il governo non possa vederla. Significa solamente che i suoi contenuti sono criptati nel percorso da un’estremità all'altra. Voi potete vedere il messaggio, il vostro destinatario può vedere il messaggio. Se viene intercettato durante il trasferimento è completamente alterato e il suo contenuto è protetto dagli occhi di una spia.Ma se una “estremità” è compromessa — in altre parole se il vostro telefono viene hackerato o fisicamente confiscato dal governo, o se la persona a cui scrivete fa uno screenshot della vostra conversazione — il gioco è finito.La crittografia non impedisce al governo di curiosare, lo rende solo più difficile. Il punto è che introdurre incognite nell'equazione aiuta ad aumentare il livello di privacy.Se postate pubblicamente sui social, tenete presente che la polizia locale (e non solo) tiene sotto controllo gli attivisti online. Ad esempio Facebook, Instagram e Twitter hanno tutti fornito dati a prodotti di monitoraggio sui social che i dipartimenti di polizia hanno usato per rintracciare gli attivisti di Black Lives Matter.Anche se modificate le impostazioni per blindare la vostra privacy, le aziende di social media sono soggette a citazioni in giudizio, ordini della corte e richieste di dati per ottenere informazioni. E spesso smollano le informazioni senza nemmeno notificare l'utente. Per quanto riguarda i social media, dovete pensare che tutto quello che postate è pubblico. Questo non significa che dovete smettere di utilizzarli, significa soltanto che dovete essere consapevoli.
SOCIAL MEDIA
Pubblicità
Se siete attivisti, prendete in considerazione l'idea di usare uno pseudonimo. Se non postate mai niente in rete, prendete comunque qualche altra misura di sicurezza.Chi taggate nei vostri post? Aggiungete informazioni sulla posizione? Chi fotografate e perché? Prestate particolare attenzione alle foto o ai post sulle proteste, le manifestazioni o gli incontri. La tecnologia di riconoscimento facciale è ormai piuttosto sofisticata quindi, anche se non taggate nessuno, teoricamente un algoritmo potrebbe esaminare ed identificare gli attivisti nella fotografia di una manifestazione. Questa funzionalità è già in atto nei suggerimenti di tag su Facebook.Quando scattate la foto di qualcuno durante una protesta assicuratevi che loro diano il consenso e conoscano le implicazioni di avere una loro foto in rete.Vivete attorno a delle telecamere? Se in casa vostra utilizzate telecamere di sicurezza connesse alla rete o avete una webcam, adottate alcune misure di sicurezza. Controllate di aver cambiato ogni password di default che era stata impostata quando vi sono state spedite e copritele quando non le utilizzate.Se avete un laptop o uno smartphone usate uno sticker per coprire la telecamera frontale. Non dovete smettere di usare Facetime o di farvi selfie, basta oscurare la visuale così che nessuno possa vedere quando voi non lo desiderate. La Electronic Frontier Foundation vende adesivi oscuranti removibili per laptop (5 a 5 dollari) che non lasciano alcun segno sulla vostra telecamera in modo che possiate applicarli e toglietrli ogni volta. Prendete in considerazione l'idea di comprarne un po' e magari anche di regalarne qualcuno ai vostri amici.
LE CAMERE I MICROFONI
Pubblicità
Infine, non esiste un modo per essere completamente certi che il vostro microfono non stia registrando. Se vi preoccupa essere intercettati, valutate l'idea di spegnere il vostro telefono e di metterlo nel microonde (temporaneamente, a microonde spento) o di lasciarlo in un’altra stanza. Spegnere semplicemente il telefono non vi assicura di essere fuori pericolo. E prendete in considerazione l'idea di lasciare tutti i vostri dispositivi fuori dalla camera da letto quando avete un rapporto sessuale con il vostro partner.Nel 2012 Khadija Ismayilova, una giornalista azera, è stata ricattata con un video hard filmato di nascosto. L'estorsore chiese a Ismayilova di smetterla di pubblicare articoli di critica nei confronti del governo, altrimenti avrebbero pubblicato il filmato. (Ismayilova è uscita allo scoperto e il video è stato postato in rete). Nel 2015 il governo azero l'ha condannata a sette anni e mezzo di reclusione per evasione fiscale. Attualmente è stata rilasciata in regime di libertà vigilata.I governi hanno utilizzato l'arma sessuale per ricattare i dissidenti fuori e dentro i confini del loro stato. Siatene consapevoli e proteggete la vostra privacy.Mettete una password o un codice di sicurezza sul vostro telefono e sul vostro computer. Non fate affidamento solo sull'impronta digitale. È più probabile che la polizia possa obbligarvi legalmente a utilizzare l'impronta per sbloccare il vostro telefono. Potreste avere più possibilità di esercitare il vostro diritto di non rivelare la password.La scelta migliore per chattare con le persone tramite computer desktop è Signal. Ma esiste un'altra valida opzione che risulta particolarmente utile per i giornalisti.Per chattare, chiudete la vostra finestra Gmail e utilizzate OTR (Off The Record). Tenete a mente che potete usare OTR solamente se anche l'altra persona lo fa. Gli utenti Mac possono installare Adium, chi ha il PC (o Linux) dovrà installare Pidgin e il plugin di OTR.
BLOCCATE LO SCHERMO
USATE OTR PER CHATTARE (se proprio dovete)
Pubblicità
Potete usare il vostro account Gmail come ID della chat. In questo modo starete conversando tramite Hangouts, ma con un ulteriore livello di codifica. Aprite una finestra della chat e cliccate sull'icona del lucchetto per far partire la procedura di criptaggio. E assicuratevi di aver modificato le impostazioni in modo tale da non conservare il registro delle conversazioni quando vi scambiate messaggi codificati.Anche in questo caso la procedura end-to-end funziona solo in quello spazio limitato. Se l'altra persona registra le vostre conversazioni, tutti questi sforzi potrebbero risultare inutili. Se questo vi preoccupa, chiedete ai vostri amici di non farlo.Tor — che prende il suo nome dall'acronimo di “The Onion Router” — codifica il vostro traffico in rete smistandolo attraverso una serie di strati di server. In questo modo, se accedete a un sito web, risulta impossibile capire da dove vi state connettendo. Il modo più semplice per utilizzarlo è quello di installare il browser Tor. È come Firefox o Chrome ma molto più lento, visto la privacy che assicura.Usando Tor si incrementa di gran lunga la propria privacy, ma risulterebbe alquanto scomodo. Non sperate, ad esempio, di guardare Netflix su Tor.Fate una valutazione di ciò di cui avete bisogno e cercate di capire quanto potete servirvi di Tor. Ricordatevi sempre che, quando non lo utilizzate, il vostro indirizzo IP (che può rivelare dove siete e dunque chi potreste essere) è sempre alla luce del sole.
IL TOR BROWSER
Pubblicità
Ci sono quattro ragioni che possono spingervi a usarlo:
- State cercando di nascondere la vostra identità
- Utilizzate spesso reti Wi-Fi pubbliche
- State cercando di eludere una censura governativa
- Volete proteggere altre persone che usano Tor
Pubblicità
Ma facciamo qualche precisazione: Tor non è inattaccabile. È risaputo che il governo ha hackerato gruppi di utenti su Tor, come è noto che abbia hackerato in modo massiccio utenti che utilizzavano delle VPN. Tor, di per sé, non elimina le possibilità di essere attaccati. È utile per la privacy, non per la sicurezza. Ed è progettato per rendere più difficile la vita a chi vuole registrare il vostro traffico, ma non per impedirlo, quindi c'è sempre un rischio.I server che formano la rete Tor — quelli sui quali rimbalza il vostro traffico — sono gestiti da volontari, istituzioni e organizzazioni provenienti da tutto il mondo, alcuni dei quali rischiano di imbattersi in problemi legali per questo. Non sono obbligati a registrare il traffico che passa attraverso di loro ma, visto che è una rete di volontari, alcuni potrebbero esserlo. Il rischio è mitigato dal fatto che ogni snodo vede solo una parte del traffico che lo attraversa e nessuno ha accesso allo stesso tempo all'IP dell'utente e al loro traffico codificato. Un malintenzionato dovrebbe gestire un vasto numero di snodi Tor per iniziare a registrare una quantità significativa di traffico — sforzo già di per sé complicato — ma il progetto Tor monitora costantemente alla ricerca di qualcuno che potrebbe tentare di farlo.Per difendersi della sorveglianza governativa, Tor è meglio di una VPN e una VPN è meglio di niente.Non è chiaro se Tor continuerà ad esistere, in futuro. Tor funziona parzialmente grazie a sussidi governativi (come molte altre tecnologie all'avanguardia, Tor è stato inizialmente sviluppato dall'esercito degli Stati Uniti). È possibile che molto presto perda la maggior parte della sua dotazione finanziaria. Valutate l'idea di fare una donazione al Tor Project.
Pubblicità
LE VIRTUAL PRIVATE NETWORK
PGP (probabilmente non ne vale la pena)
Pubblicità