La Guida di Motherboard per Non Farsi Hackerare

Nota degli editor: Questa è La Guida di Motherboard per Non Farsi Hackerare, una guida comprensiva alla sicurezza digitale. Questa guida è disponibile anche nel formato di PDF stampabile.

Ultimo update: 15 maggio 2018

Per osservazioni, refusi o domande, scriveteci a: itmotherboard@vice.com.

Segui Motherboard Italia su Facebook e Twitter.

Una delle domande che ci fanno più spesso qui a Motherboard è “Cosa posso fare per proteggermi da un attacco hacker?”

Dato che vivere nella società moderna significa affidarsi in misura sempre maggiore nelle mani di terze parti, la risposta è spesso “Non molto”. Prendete, ad esempio, l'enorme attacco a Equifax — LA società americana di controllo del credito dei consumatori — che ha coinvolto all'incirca metà della popolazione americana: alcune persone si erano iscritte al servizio proprio perché volevano proteggersi da eventuali attacchi, eppure i loro dati sono stati rubati.

Gli hacker possono entrare in possesso di centinaia di milioni di password in un colpo solo e creare interruzioni di servizio di proporzioni notevoli. Non ci possiamo aspettare che in futuro le cose migliorino se pensiamo che presto avremo a che fare con robot domestici intelligenti che potrebbero essere manomessi e programmati per uccidere, gingilli in grado di causare veri e propri disastri una volta connessi alla rete, droni volanti che trasportano computer con software per effettuare attacchi informatici; per non parlare dei pericoli legati all’archiviazione delle nostre informazioni genetiche.

Questo non significa che sia tutto inutile. Ci sono un sacco di cose che si possono fare per rendere la vita più complicata agli hacker intenzionati ad accedere ai vostri dispositivi o ai vostri account, e lo scopo di questa guida è quello di fornirvi dei chiari e semplici punti da seguire per incrementare il vostro livello di sicurezza digitale. Esistono, grosso modo, due tipi di attacchi: quelli che gli utenti non possono evitare e quelli che normalmente possono essere prevenuti. Noi vogliamo aiutarvi a ridurre i danni causati dai primi ed evitare che i secondi si verifichino.

In quanto singoli utenti, non potete far niente per impedire al vostro provider e-mail o all'azienda che custodisce i vostri dati finanziari di essere bersaglio di un hacker. Ma potete certamente evitare attacchi di phishing che permetterebbero a un hacker di accedere al vostro account di posta elettronica, e potreste anche impedire che una vostra password finita in mezzo a un furto di dati su vasta scala venga riutilizzata per accedere a un altro vostro account su cui magari avete usato la stessa password.

Questa guida è in continuo aggiornamento e non è adattabile ad ogni singolo caso; non esistono cose come “la sicurezza perfetta” e non ci sono soluzioni per tutti. Ma speriamo che possa essere un buon punto di partenza per chi ha intenzione di mettere al riparo la propria vita digitale. Questo è il motivo per il quale abbiamo cercato di mantenere questa guida il più accessibile possibile, ma se vi capita di imbattervi in un qualche termine tecnico che non conoscete, c'è un glossario alla fine.

Questo è un lavoro a cui hanno partecipato membri dello staff di Motherboard del presente e del passato, ed è stata esaminata da molte delle nostre fonti. Hanno collaborato Lorenzo Franceschi-Bicchierai, Joseph Cox, Sarah Jeong e Jason Koebler, ma i suggerimenti che trovate al suo interno nascono grazie a un percorso fatto di anni di articoli e ricerche sulla sicurezza digitale portato avanti da dozzine di reporter e di professionisti appartenenti al campo dell'information security. Consideratela un work-in-progress: apporteremo piccoli aggiornamenti nel caso si presentassero nuove e rilevanti vulnerabilità. Un ringraziamento speciale a Matt Mitchell di Crypto Harlem e a Eva Galperin della Electronic Frontier Foundation per aver revisionato alcune parti di questa guida.

Versione italiana: Antonella Di Biase, Federico Nejrotti
Revisione: Riccardo Coluccini
Traduzione: Alessandro Franchi
Adattamento grafico: Pietro Amoruoso

Ad ogni modo, basta con le chiacchiere. Ecco la GUIDA DI MOTHERBOARD CONTRO GLI ATTACCHI HACKER

In questa guida tutto inizia con il “threat modeling”, che nel linguaggio hacker significa stimare le probabilità di essere attaccati o sorvegliati. Quando ci si propone di proteggere le proprie comunicazioni digitali è fondamentale pensare in primo luogo a cosa si vuole proteggere e dall'attacco di chi. Se chiedessimo ad un esperto di information security se Signal è la migliore app di messaggistica o se Tor è il browser più sicuro, lui risponderebbe sicuramente “dipende dal vostro threat modeling.” La risposta a qualsiasi domanda sulla sicurezza è, essenzialmente: “Dipende.”

I piani di sicurezza non sono mai identici tra loro. Il tipo di protezione da adottare deve tener conto di chi potrebbe tentare di accedere ai vostri account o di leggere i vostri messaggi. La cattiva notizia è che non esiste una soluzione infallibile (perdonateci!), ma la buona notizia è che la maggior parte delle persone hanno un threat modeling che gli permette di navigare in rete senza troppe preoccupazioni, e di non vivere come dei reclusi paranoici.

Quindi, prima di fare qualsiasi altra cosa, dovreste valutare il vostro threat modeling. In sostanza, cosa state cercando di proteggere e da chi state cercando di proteggerlo?

La Electronic Frontier Foundation, in materia di threat modeling, consiglia di porsi queste cinque domande:

• Cosa volete proteggere?
• Da chi?
• Quante probabilità ci sono che la protezione risulti necessaria?
• Quanto negative sarebbero le conseguenze di un eventuale fallimento?
• Quante difficoltà siete disposti ad affrontare per prevenirle?

La minaccia è un ex che potrebbe tentare di accedere al vostro account Facebook? Assicurarsi che nessuno sappia la vostra password, allora, è un buon modo per iniziare. (Non condividete password importanti con le persone, non importa chi esse siano: se state pensando a Netflix, assicuratevi di non utilizzare quella password per nessun altro account personale). State cercando di impedire che, tramite la pratica del doxing, qualcuno raccolga i vostri dati personali — la data del vostro compleanno, ad esempio — per poi arrivare ad acquisire ulteriori informazioni? Bene, tenere d'occhio quello che si pubblica sui social potrebbe essere una buona idea. E l'autenticazione a due fattori (ne parleremo più avanti) contribuisce in larga misura a fermare criminali ben più pericolosi. Se siete attivisti, giornalisti, o in qualche modo avete ragioni per temere il governo, lo stato o rappresentanti delle forze dell'ordine che vogliono sorvegliarvi, le misure che dovete adottare per proteggervi sono assai diverse da quelle che dovreste prendere per mantenere segreti i piani per un party a sorpresa che state organizzando per il vostro migliore amico.

Anche sopravvalutare la minaccia potrebbe essere un problema: iniziare a usare strani sistemi operativi personalizzati, macchine virtuali, o un qualsiasi altro espediente tecnico quando non è veramente necessario (o quando non si sa come utilizzarlo), vi farà sprecare del tempo e potrebbe farvi correre dei rischi. Nel migliore dei casi finirete per spendere un po’ più tempo per eseguire azioni informatiche molto banali; nell'ipotesi peggiore potreste cullarvi in un falso senso di sicurezza con servizi e hardware di cui non avete bisogno, sopravvalutando quello che veramente è importante per voi e le reali minacce nelle quali potreste incorrere.

In alcuni punti, questa guida vi fornirà dei passi specifici da seguire se avete un threat modeling che include soggetti sofisticati. In generale, però, è stata progettata per coloro che vogliono conoscere lo stretto indispensabile per rafforzare la propria sicurezza digitale. Se il vostro threat modeling include gli hacker della NSA o altri gruppi finanziati dallo stato come Fancy Bear, vi consigliamo di parlare della vostra situazione specifica con un professionista qualificato.

Probabilmente la cosa più semplice e importante che possiate fare per proteggervi è mantenere il software che utilizzate aggiornato all'ultima versione. Ciò significa avere una versione aggiornata di qualsiasi sistema operativo stiate utilizzando, e aggiornare tutte le vostre app e programmi. Significa anche aggiornare i firmware del vostro router, i dispositivi connessi e ogni altro gadget in vostro possesso che può connettersi alla rete.

Tenete a mente che, sul vostro computer, non dovete necessariamente utilizzare l'ultima versione di un sistema operativo. In alcuni casi, anche le versioni un po' più vecchie hanno i loro aggiornamenti per la sicurezza. (Sfortunatamente non è più il caso di Windows XP, smettete di utilizzarlo!) La cosa più importante è che il vostro sistema operativo riceva ancora gli aggiornamenti di sicurezza e che voi li installiate.

Quindi se c'è una lezione che dovete imparare da questa guida è: aggiornate, aggiornate, aggiornate, o installate patch, installate patch, installate patch.

Spesso i cyber-attacchi sfruttano i difetti di software obsoleti come vecchi browser, lettori PDF o programmi di elaborazione testo. Mantenendo tutto aggiornato, avrete meno possibilità di diventare vittime di un malware, perché le ditte di produzione competenti e gli sviluppatori dei software rendono velocemente disponibili nuove patch per i loro prodotti non appena notano il minimo segnale di un attacco.

Gli attacchi hacker scelgono spesso la strada più semplice: si concentrano in prima istanza sul bersaglio più debole e abbordabile. Ad esempio, gli hacker dietro il rovinoso attacco ransomware divenuto noto come WannaCry scelsero vittime che non avevano installato un aggiornamento di sicurezza che era stato reso disponibile già da diverse settimane. In altre parole, sapevano che sarebbero riusciti a entrare dato che le vittime non avevano cambiato la serratura della loro porta di ingresso, anche se le chiavi erano già state rese disponibili a chiunque.

Abbiamo tutti un sacco di password da ricordare e questo è il motivo per cui alcune persone preferiscono utilizzare sempre le stesse. Riutilizzare le password è una cattiva idea perché se, per esempio, un hacker riesce a prendere possesso della vostra password di Netflix o Spotify, può poi usarla per entrare nel vostro account di car sharing o nel vostro conto corrente e prosciugare la vostra carta di credito. Anche se le nostre menti non sono in realtà poi così male nel ricordarsi le password, è quasi impossibile ricordarne dozzine che siano sicure ed univoche.

La buona notizia è che la soluzione a questi problemi esiste già: i password manager. Sono app o estensioni per il browser che tengono a mente le password al posto vostro, aiutano a crearne di buone e semplificano la vostra vita in rete. Se utilizzate un password manager, dovete ricordare una sola password, quella che sblocca il caveau che contiene tutte le altre.

È bene, però, che quella password sia davvero buona. Scordatevi le lettere maiuscole, i simboli e i numeri. Il metodo più semplice per creare una password sicura è utilizzare una passphrase: una serie di parole scelte a caso che siano però pronunciabili — così da essere più semplici da memorizzare. Ad esempio: dadi colbacco deltoide landa lucia (non usate questa, l'abbiamo appena bruciata).

Una volta fatto questo potete utilizzare singole password formate da molti caratteri per tutto il resto, se le create con un password manager e non le riutilizzate per altro. La password principale è meglio che sia una passphrase perché è più semplice da memorizzare, cosa non necessaria per le altre, delle quali si occuperà il password manager.

Intuitivamente, potreste pensare che non sia saggio archiviare le password sul vostro computer o affidarle a un password manager esterno al vostro personale e costante controllo. E se un hacker riuscisse a metterci le mani? Non è meglio tenerle tutte a mente? Be’ non proprio: è molto più probabile che un truffatore riutilizzi una password rubata da qualche altra parte piuttosto che un hacker esperto decida autonomamente di prendere come bersaglio il vostro database di password. Per esempio, se aveste utilizzato la stessa password su molti siti e questa fosse stata rubata nel massiccio attacco a Yahoo! (che ha colpito 3 miliardi di persone), potrebbe venir facilmente riutilizzata per il vostro account Gmail, Uber, Facebook e su altri siti. Alcuni password manager archiviano le vostre password criptate nel cloud in modo che, anche se l'azienda dovesse subire un attacco hacker, rimarrebbero al sicuro. Ad esempio, il password manager LastPass è stato hackerato almeno due volte, ma nessuna password è mai stata rubata perché l'azienda le aveva archiviate al sicuro. LastPass rimane un password manager raccomandabile anche se è incorso in questi incidenti. Ma di nuovo, tutto sta nel valutare il proprio threat modeling.

Quindi, per favore, utilizzate uno dei tanti password manager disponibili, come 1Password, LastPass o KeePass. Non c'è ragione per non farlo. Farà sentire più tranquilli anche noi, e renderà la vostra vita più semplice.

E se il vostro capo vi chiede di cambiare periodicamente le password in nome della sicurezza, vi prego, ditegli che è un'idea terribile. Se utilizzate un password manager, l'autenticazione a due fattori (vedete sotto) e avete delle password sicure e univoche per ogni account, non c'è bisogno di cambiarle ogni volta — a meno che non sia stato violato il backend, o la vostra password sia stata in qualche modo rubata.

Avere password forti e univoche è un primo passo importante, ma anche queste possono essere rubate. Quindi per i vostri account più importanti (gli account della mail, di Twitter o di Facebook, i vostri conti bancari o finanziari) dovreste aggiungere un ulteriore livello di protezione conosciuto come autenticazione a due fattori (o “a più fattori” o “strong authentication”). Molti servizi, oggi, offrono l'autenticazione a due fattori, quindi non sarebbe certo sbagliato attivarla dove possibile. Controllate tutti i servizi su questo sito: twofactorauth.org.

Abilitando questo tipo di autenticazione non basterà solo la vostra password per avere accesso ai vostri account. Avrete bisogno anche di qualcos'altro, che di solito è un codice numerico inviato tramite SMS sul vostro telefono, o un codice generato da una app appositamente creata (che può tornare utile se il vostro telefono non ha copertura nel momento in cui cercate di accedere), o un piccolo apparecchio fisico come un token USB (talvolta chiamato U2F security key o YubiKey, prendendo il nome dai brand più conosciuti).

Negli ultimi anni si è spesso discusso della sicurezza degli SMS come “secondo fattore”. L'attivista Deray McKesson era stato derubato del suo numero di telefono e gli hacker erano così riusciti a trovare il modo di ricevere i messaggi con i codici di sicurezza che proteggevano i suoi account. E il National Institute of Standards and Technology (NIST), una sezione del governo degli Stati Uniti che scrive linee guida su regole e misure, inclusa la sicurezza, ha recentemente scoraggiato l'uso dell'autenticazione a due fattori tramite SMS.

L'attacco a Deray è stato reso possibile grazie all'ingegneria sociale. In questo caso, un addetto al servizio clienti è stato indotto con l'inganno a rendere Deray vulnerabile. La truffa è consistita nel farsi inviare dalla sua compagnia telefonica una nuova scheda SIM per mettere le mani sul suo numero di telefono. Ciò ha permesso che, una volta immessa la prima password, il secondo fattore venisse inviato direttamente a loro. Questa è una truffa comune che sta diventando sempre più frequente.

È difficile difendersi da un attacco del genere, ed è una triste verità che non esista una forma di sicurezza perfetta. Ma ci sono passi che si possono compiere per rendere questi attacchi più complessi da attuare e ne parleremo nel dettaglio poco più avanti, nella sezione della mobile security.

L'autenticazione a due fattori tramite SMS può essere raggirata ed è anche possibile utilizzare a proprio vantaggio vulnerabilità nell'infrastruttura delle telecomunicazioni che trasmettono le nostre conversazioni, o utilizzare un dispositivo conosciuto come IMSI-Catcher, o Stingray, per raccogliere le conversazioni e i vostri SMS di verifica. Non scriviamo tutto questo per spaventarvi, ma vale la pena far notare che anche se ogni tipo di autenticazione a due fattori è meglio che niente, sarebbe più consigliabile utilizzare una app di autenticazione o, ancora meglio, una chiavetta fisica.

Dovreste, se il sito lo permette, usare un'altra opzione a due fattori che non sia quella tramite SMS, come una app di autenticazione sul vostro smartphone (ad esempio Google Authenticator, DUO Mobile o Authy) o un apparecchio fisico. Se questa opzione fosse disponibile, sarebbe un'ottima idea utilizzarla.

Non utilizzate Flash: Flash è storicamente uno dei software più meno sicuri che sia mai stato presente nel vostro computer. Gli hacker adorano Flash perché ha più buchi del groviera. La buona notizia è che molti siti ne hanno abbandonato l'utilizzo, quindi non ne avrete più realmente bisogno per godervi una completa e intensa esperienza in rete. Prendete in considerazione l'idea di eliminarlo dal vostro computer, o almeno di cambiare le impostazioni sul vostro browser, in modo da dover cliccare ogni volta per avviarlo.

Utilizzate un antivirus: sì, questa l'avevate già sentita. Ma è ancora una cosa (generalmente) vera. Gli antivirus sono, ironicamente, pieni di buchi di sicurezza. Ma se non siete persone a rischio di essere prese di mira da hacker assunti dallo stato o criminali di livello avanzato, avere un antivirus è pur sempre una buona idea. Tuttavia, un software antivirus non è una panacea, e nel 2018 vi servirà qualcosa in più per essere al sicuro. Inoltre, tenete presente che il software antivirus, per definizione, è estremamente invasivo: deve cercare a fondo nel vostro computer per essere in grado di identificare e fermare i malware. Questa ricerca può essere sfruttata. Ad esempio il governo degli Stati Uniti accusa Kaspersky Lab, uno delle aziende di software antivirus più conosciute al mondo, di aver passato al governo russo dei documenti sensibili di proprietà di uno dei suoi clienti.

Utilizzate alcuni semplici plugin per la sicurezza: a volte, tutto quello di cui un hacker ha bisogno per prendere il controllo del vostro computer è farvi arrivare sul giusto sito carico di malware. Ecco perché vale la pena utilizzare alcuni semplici plug-in, di quelli che si installano una volta e non ci si pensa più, come gli adblocker, che proteggono dai malware che sono incorporati nelle pubblicità presentate dai siti più loschi in cui vi potreste imbattere in rete o, a volte, anche nei siti legittimi. (Naturalmente sarebbe molto gradito se sceglieste di inserire Motherboard nella vostra whitelist, visto che le pubblicità online sono quelle che ci permettono di svolgere il nostro lavoro).

Un altro plugin utile è HTTPS Everywhere, che forza il criptaggio della vostra connessione (quando il sito lo supporta). Questo non vi salverà se il sito che state visitando nasconde un malware ma, in alcuni casi, vi aiuterà a impedire che gli hacker vi reindirizzino su una falsa versione di quel sito, e in generale vi proteggerà da quegli hacker che tentano di interferire con la vostra connessione, riportandovi su quella valida.

Utilizzate una VPN: le Virtual Private Network (reti di telecomunicazione private) sono un canale sicuro tra il vostro computer e la rete internet. Se utilizzate una VPN, vi collegate prima ad essa e poi alla rete internet nella sua interezza, aggiungendo uno strato di sicurezza e di privacy. Se state utilizzando internet in uno spazio pubblico, mettiamo da Starbucks, in aeroporto o in un Airbnb, lo state condividendo con persone che non conoscete. E se un hacker fosse sul vostro stesso network, potrebbe creare problemi alla vostra connessione e potenzialmente al vostro computer. Vale la pena fare qualche ricerca sulle VPN prima di sceglierne una, perché alcune sono di gran lunga migliori di altre (la maggior parte di quelle gratuite non sono infallibili nel proteggere la privacy). Consigliamo Freedome, Private Internet Access o, se siete utenti competenti, Algo.

Disabilitate le macro: gli hacker possono utilizzare le macro di Microsoft Office contenute all'interno dei documenti per introdurre malware nel vostro computer. È un vecchio trucco, ma è tornato in voga per diffondere ransomware. Disabilitatele!

Eseguite il backup dei file: questa non è certo una novità, ma se temete che gli hacker distruggano o blocchino i vostri file (ad esempio con dei ransomware), allora dovete farne un backup. Possibilmente fatelo su un hard disk esterno mentre non siete connessi alla rete: così, anche se ci fossero dei ransomware, il backup non verrebbe infettato.

Non esponetevi troppo senza una ragione: alle persone piace condividere pressoché tutto ciò che concerne le proprie vite sui social media. Ma per favore, vi supplichiamo, evitate di twittare foto della vostra carta di credito o della carta di imbarco del vostro volo, ad esempio. Più in generale, ci si dovrebbe render conto che un post su un social media è spesso un post rivolto a chiunque in rete si prenda la briga di controllare il vostro profilo, anche se si trattasse solo di capire il vostro indirizzo di casa tramite i vostri percorsi su un sito come Strava, il social network per corridori e ciclisti.

Informazioni personali come il vostro indirizzo di casa o la vostra scuola (o anche solo la mascotte della scuola, che comporta solamente un passaggio in più di ricerca su Google) possono essere utilizzate per trovare ulteriori informazioni attraverso schemi di ingegneria sociale. Più informazioni personali un hacker possiede, più è probabile che riesca ad accedere a uno dei vostri account. Tenendo a mente queste cose, magari prendete in considerazione l'idea di modificare le impostazioni sulla privacy anche su alcuni dei vostri account.

Non aprite allegati senza precauzioni: per decenni i cybercriminali hanno nascosto malware all'interno degli allegati delle mail su documenti Word o PDF. Gli antivirus a volte bloccano queste minacce, ma è sempre meglio utilizzare il buon senso: non aprite allegati (e non cliccate su link) di fonti non note o che non stavate aspettando. E se proprio volete farlo, usate alcune precauzioni come aprire gli allegati all'interno di Chrome (senza scaricare i file). Ancora meglio sarebbe salvare il file su Google Drive per poi aprirlo al suo interno, che è un procedimento ancora più sicuro perché il file viene aperto da Google e non dal vostro computer.

Adesso viviamo in un mondo dove gli smartphone sono diventati i nostri principali apparecchi informatici. Non solo utilizziamo i cellulari più dei computer fissi, ma li abbiamo con noi praticamente tutto il giorno. È scontato, dunque, che gli hacker concentrino sempre più su di essi i loro attacchi.

La buona notizia è che esistono alcuni semplici passi e precauzioni da seguire per minimizzare i rischi. Ecco quali sono.

La maggior parte delle persone usa codici di accesso, password o pattern per “bloccare” il proprio telefono. Se non lo fate anche voi, dovreste assolutamente! (anche se, secondo uno studio recente, i pattern sono meno sicuri e più facili da indovinare rispetto ai PIN o ai codici di accesso).

Una delle più grandi minacce per i telefoni è che qualcuno abbia accesso fisico al vostro cellulare e che possa sbloccarlo. Questo significa che la vostra sicurezza corrisponde al vostro codice di accesso: possibilmente, evitate di rivelare il vostro PIN o la password, ed evitate di utilizzare codici di accesso facilmente prevedibili come la data del vostro compleanno. Perfino i codici di accesso più semplici sono un buon modo per fermare i borseggiatori o ladruncoli di strada, ma non sono così efficaci se quello che vi preoccupa è un partner scorretto che conosce il vostro PIN, ad esempio.

Tenendo a mente queste cose, ecco alcuni semplici passi da seguire per prevenire altre minacce comuni per il vostro telefono.

Più o meno tutti nel mondo della cybersicurezza — eccetto forse gli ingegneri che lavorano per Android — ritengono che gli iPhone siano i cellulari più sicuri che si possano avere. Ci sono diverse ragioni, ma le principali sono che iOS, il sistema operativo della Apple, è estremamente protetto. Le app sono sottoposte a controlli approfondito prima di finire nell'App Store e vengono sempre testate attraverso minuziose misure di sicurezza. Ad esempio, ogni codice viene approvato e firmato digitalmente dalla Apple (una procedura che prende il nome di code-signing) e vengono applicate limitazioni nelle interazioni tra le app (sandboxing). Queste caratteristiche fanno sì che, per gli hacker, attaccare il sistema operativo risulti davvero difficile. Dato che Apple controlla l'infrastruttura iOS, mette a disposizione per gli iPhone aggiornamenti e patch istantanei; importanti upgrade per la sicurezza di molti apparecchi Android possono richiedere settimane o mesi per essere messi a disposizione dei clienti. Perfino l'iPhone 5S, che è stato lanciato nel 2013, continua a godere di questi benefici.

Quindi, se siete tipi paranoici, l'iPhone è il cellulare preconfigurato più sicuro. Ma, a meno che non abbiate una buona ragione per farlo, NON fate il jailbreak. Anche se il jailbreak e gli hacker che lo hanno sviluppato hanno contribuito a rendere l'iPhone più sicuro, oggi farlo sul proprio telefono significa rinunciare a gran parte delle caratteristiche che rendono iPhone sicuro. In passato, hacker sono riusciti a prendere di mira su larga scala solo iPhone sui quali era stato effettuato un jailbreak.

Non c’è niente che non possa essere hackerato, comunque. È risaputo che alcuni governi dispongono di strumenti per l'hacking del valore di milioni di dollari per attaccare gli iPhone, e forse anche alcuni sofisticati criminali potrebbero esserne in possesso. A parte questo, procuratevi un iPhone, installate gli aggiornamenti, non fate il jailbreak e molto probabilmente non correrete alcun rischio.

Android è diventato il sistema operativo più diffuso al mondo grazie alla sua natura decentralizzata e open-source, e al fatto che molti telefoni sono disponibili a prezzi parecchio inferiori rispetto agli iPhone. In qualche modo, questa natura open-source è stato il peccato originale di Android: Google ha rinunciato al controllo, e perciò alla sicurezza, per acquisire una fetta di mercato. In questo modo, gli aggiornamenti di sicurezza essenziali sono a carico dell'azienda produttrice e delle compagnie telefoniche che sono sempre molto lente nel rilasciarli.

La buona notizia è che negli ultimi due anni le cose sono migliorate molto. Google ha spinto i suoi partner a fornire ai clienti aggiornamenti mensili, e i dispositivi marchiati Google assicurano un supporto che ha pressoché la stessa regolarità che fornisce Apple ai propri iPhone e anche alcune delle stesse caratteristiche di sicurezza.

Quindi la cosa migliore è scegliere uno smartphone Pixel o Nexus, la cui sicurezza dipende esclusivamente da Google.

Qualsiasi telefono Android abbiate, fate attenzione alle app che installate. Generalmente gli hacker riescono a introdurre applicazioni dannose su Play Store con molta facilità, quindi pensateci due volte prima di installare una app poco conosciuta, oppure controllate che la app che state scaricando sia davvero quella che volete. La scorsa primavera una versione falsa di WhatsApp è stata installata da più di un milione di utenti Android. Inoltre, rimanete fedeli a Play Store ed evitate di scaricare e installare applicazioni da store di terze parti che potrebbero benissimo rivelarsi pericolose. Sulla maggior parte dei telefoni Android non è abilitata di default l'opzione di installare app di terze parti, e sarebbe meglio che questa preferenza rimanesse invariata.

Per proteggere i dati sul vostro telefono Android, assicuratevi che sia abilitata la crittografia dell'intero disco. Se non lo avete già fatto, aprite le Impostazioni, andate su “Sicurezza” e cliccate su “Esegui crittografia telefono”. (Se non ci riuscite, cercate su Google come attivarla sul vostro modello di telefono.)

Infine, anche se non è obbligatorio, sarebbe una buona idea installare un antivirus per telefono cellulare come Lookout o Zips. Probabilmente non fermeranno gli hacker del governo, ma possono risultare efficaci contro i malware più comuni.

Sul nostro sito, abbiamo recentemente raccontato di come alcuni hacker abbiano sfruttato un virus su un sito della T-Mobile per entrare in possesso dei dati personali dei clienti nel tentativo di raccogliere informazioni che avrebbero poi potuto utilizzare per impersonare le vittime e, sfruttando le loro abilità nel campo dell'ingegneria sociale, convincere i componenti dello staff per il supporto di T-Mobile a emettere nuove schede SIM. Questo tipo di attacco, noto come “SIM swap”, permette agli hacker di acquisire il vostro numero di telefono e di conseguenza di tutto ciò che è ad esso connesso. Il furto di SIM è ciò che rende l'autenticazione a due fattori tramite SMS così pericolosa.

Il vostro numero di telefono, probabilmente, è la strada che porta a molti altri elementi, forse ancora più sensibili, della vostra vita digitale: la vostra email, il vostro conto in banca, i vostri backup su iCloud.

In qualità di consumatori, non potete controllare se la vostra compagnia telefonica lascia dei bug che gli hacker possono sfruttare. Ma potete complicargli la vita nel momento in cui tentano di spacciarsi per voi con gli ingenui dipendenti del supporto tecnico. La soluzione è semplice, anche se non sono in tanti a conoscerla: un codice di sicurezza o una password secondari da fornire quando si chiama il proprio gestore telefonico.

A seguito dell'11 Settembre, gli Stati Uniti hanno costruito un forte apparato di sorveglianza, indebolito le garanzie costituzionali e limitato il possibile ricorso al sistema legale.

Dati gli enormi poteri della sorveglianza di stato negli Stati Uniti — come del resto quella dei governi di tutto il mondo — può capitare di sentirsi un po' paranoici. Non solo la NSA, perfino la polizia locale ha più strumenti a disposizione per ficcare il naso negli affari delle persone più di quanto abbia mai fatto. C'è da temere anche una terrificante quantità di sorveglianza passiva e imprevedibile: i vostri account social possono essere citati in giudizio, le vostre telefonate o le vostre mail potrebbero venir prese in esame per più ampi fini di indagine, e i metadati dei vostri telefoni potrebbero essere acquisiti da alcuni IMSI Catcher o Stingray che avevano un altro bersaglio.

Ricordate, l'anti-sorveglianza non è la cura, è solo una contromisura che potete prendere per proteggere voi stessi e gli altri. Probabilmente non sarete le persone più a rischio, ma questo non significa che non dobbiate prendere misure di sicurezza adeguate. La sorveglianza è una questione delicata: potete cercare di prendere più provvedimenti possibili per proteggervi ma, se mandate messaggi a qualcuno che non lo fa, potreste comunque essere spiati attraverso i loro dispositivi o tramite le loro conversazioni con altre persone (se questi riportassero informazioni che gli avete riferito, ad esempio).

Ecco perché è importante che le pratiche per la buona sicurezza diventino una norma: se non avete niente da temere, è ancora più importante che utilizziate alcuni di questi strumenti perché, così facendo, mettereste al sicuro le azioni dei vostri amici che, per esempio, potrebbero essere immigrati senza documenti o attivisti. Il direttore della CIA scelto da Trump pensa che usare la crittografia possa essere un’ammissione di colpevolezza. Se non si ha “niente da nascondere”, l'uso della crittografia può, in realtà, beneficiare persone che vogliono celare qualcosa. Seguendo questa guida renderete qualcun altro più sicuro. Pensatela come una sorta di immunità collettiva. Più le persone praticano buone norme di sicurezza, più tutti gli altri saranno al sicuro.

I suggerimenti forniti precedentemente sono sempre validi: più ci si tiene alla larga dagli attacchi hacker, meno si rischierà di essere sorvegliati (quando si tratta di sorvegliare un iPhone, ad esempio, i governi hanno spesso poche opzioni oltre quella di hackerare il dispositivo). Ma gli strumenti di alta tecnologia non risolvono tutti i problemi. I governi hanno nelle mani un'arma che gli hacker criminali non hanno: il potere della legge. Molti suggerimenti in questa sezione della guida vi aiuteranno non solo contro le richieste giuridiche e gli attacchi hacker governativi, ma anche contro chiunque voglia cercare di spiarvi.

Non dovete diventare degli esperti di sicurezza. Iniziate solo a pensare ai vostri rischi e non lasciatevi intimidire dalla tecnologia. La sicurezza è un continuo processo di apprendimento. Le minacce e gli strumenti sviluppati per metterle in atto cambiano continuamente, ragione per cui spesso i consigli sulla privacy e la sicurezza possono sembrare mutevoli e contraddittori. Ma i suggerimenti che seguono sono un buon punto di partenza.

Ricordatevi che nuovi strumenti sollevano nuovi problemi. Senza threat modeling è facile sentirsi schiacciati dalla quantità di strumenti in circolazione. Il threat modeling per la sorveglianza è simile al threat modeling per gli attacchi hacker ma, ovviamente, ci sono sfumature che variano in ogni circostanza.

Per alcune persone è facile dire “usate Signal, usate Tor” e chiudere la faccenda, ma in realtà non vale per tutti la stessa cosa. Ad esempio, conosco una persona che raccontava agli amici degli abusi del suo ex-partner tramite la chat del gioco Words With Friends perché sapeva che lui leggeva i suoi SMS e le sue chat di Google. Words With Friends non ha un sistema di messaggistica particolarmente sicuro ma, in questo caso, è stata una scelta migliore di Signal o Hangouts perché a lui non veniva in mente di leggere quella chat.

Quando si parla di soggetti governativi, potrebbe risultare utile valutare la sorveglianza sotto due aspetti differenti: la sorveglianza dei metadati (chi siete, con chi parlate, quando lo fate) e quella dei contenuti (di cosa state parlando). Come in tutte le cose, quando si scava un po' più a fondo, non è così semplice come sembra. Ma se è la prima volta che ci pensate, questo è sicuramente un buon punto di partenza.

La legge sulla sorveglianza è complicata ma, per farla breve, sia la legge che l'attuale infrastruttura tecnologica rendono più semplice entrare in possesso dei metadati piuttosto che dei contenuti. I metadati non sono necessariamente meno importanti o meno eloquenti rispetto al dati veri e propri. Mettiamo che abbiate ricevuto una telefonata da un’associazione antiabortista. Voi chiamate il vostro partner, la vostra compagnia assicurativa (se ce l’avete), infine vi rivolgete alla clinica per l'aborto. Queste informazioni verranno riportate sul vostro registro telefonico e la vostra compagnia potrebbe tranquillamente cederle al governo. Il vostro provider potrebbe non aver registrato le telefonate, il contenuto è ancora privato. Ma a questo punto non serve, anche con i soli metadati sarebbe semplice farsi un'idea plausibile del contenuto delle conversazioni.

Iniziate a pensare a cosa è aperto ed esposto, e a quello che potete proteggere. A volte dovrete accettare che c’è ben poco da fare riguardo a un determinato canale di comunicazione. Se la situazione è drammatica non resta che tentare di aggirarla.

Signal è un servizio di messaggistica criptato per smartphone e computer desktop. È per molti — ma non per tutti — un buon modo di evitare la sorveglianza. Visto che il governo ha la possibilità di intercettare i messaggi elettronici mentre vengono trasmessi, il vostro obiettivo è quello di utilizzare un sistema di crittografia end-to-end per più comunicazioni possibili.

Utilizzare Signal è semplice. Potete trovarlo e installarlo dallo store del vostro telefono (sull'App Store di iOS e sul Play Store di Google si chiama Signal Private Messenger ed è sviluppato da Open Whisper Systems).

Se avete il numero di telefono dell'altra persona nella vostra lista dei contatti potrete vederli su Signal e inviare loro messaggi o chiamarli. Se anche l'altra persona ha Signal i messaggi verranno automaticamente criptati e tutto risulterà invisibile.

Esiste anche un'applicazione desktop, quindi potete utilizzarlo allo stesso modo in cui gli utenti iOS/Mac OS utilizzano iMessage sul loro telefono o sul loro computer. Andate sul sito Signal.org e scaricate l'app per il sistema operativo che preferite. Basta seguire le istruzioni, è molto semplice e intuitivo.

Signal vi permette di impostare un timer per i messaggi in modo che si cancellino tutti automaticamente. L'intervallo di tempo può variare ed essere anche molto breve. Questa è una funzione molto utile per i giornalisti che vogliono proteggere le loro fonti o le loro conversazioni con gli altri redattori.

Queste sono tutte ottime funzionalità, e sono alcune delle ragioni per cui consigliamo Signal tra le tante altre app di messaggistica end-to-end. Anche iMessage e WhatsApp lo sono, ma hanno entrambe lati negativi.

Sconsigliamo WhatsApp perchè è di proprietà di Facebook e condivide le informazioni dell'utente con l'azienda madre. Anche se si tratta solo di metadati, è in definitiva una promessa che Facebook aveva fatto quando ha acquistato WhatsApp ma che non ha mantenuto. Pensiamo che questo la dica lunga sull'attendibilità dell'azienda al giorno d'oggi. Al momento Facebook sta discutendo e provvedendo a limitare o cessare del tutto la condivisione di dati tra le due piattaforme.

Che Apple codifichi i messaggi end-to-end è una cosa molto positiva. Ma iMessage, di default, effettua un backup dei messaggi su iCloud, grazie al quale potete inviarli tramite tutti i vostri dispositivi Apple. Questa è una funzione comoda e piacevole ma, se siete preoccupati dalla sorveglianza governativa, ricordate che Apple adempie alle richieste legali del governo sui dati presenti nel vostro iCloud: “Per tua comodità facciamo un backup su iCloud dei tuoi iMessage e SMS”, recita la pagina riguardante la privacy sul sito di Apple. Puoi disattivare questa funzione, ma in teoria Apple potrebbe essere costretta ad accedere agli iMessage che avete mandato alle persone che hanno ancora questa funzione abilitata.

Signal trattiene davvero poche informazioni. Lo sappiamo perché Open Whisper Systems è stato citato in giudizio dal governo lo scorso anno ed è stato costretto a cedere informazioni. Le informazioni che avevano erano, però, volutamente minime. Signal memorizza il numero di telefono, la data di creazione dell'account e l'ora dell'ultima connessione ai server di Signal. Sì, è comunque qualcosa, ma non poi molto.

Ci sono applicazioni che sono meno sicure anche di iMessage e WhatsApp. Ad esempio, dovreste assolutamente evitare di utilizzare Telegram per comunicazioni sensibili. E Google può leggere i vostri Hangout a meno che non prendiate ulteriori provvedimenti per attivare una codifica end-to-end. Ci sono molti altri prodotti sul mercato che costituiscono una valida alternativa (Wire, ad esempio) ma, come WhatsApp e iMessage, sono creati e sovvenzionati da aziende a scopo di lucro e non si può mai sapere come decideranno di monetizzare in futuro. Signal è un progetto no-profit e open source. Ha i suoi difetti (ad esempio non è pratico quanto iMessage e non ha il lusso di avere un vasto team di sicurezza alle spalle) quindi si potrebbe pensare di donare qualcosa una volta che si decide di scaricarlo.

Una cosa che vale la pena menzionare è che Signal richiede di associare il dispositivo a un numero di telefono. Questo significa che dovete fidarvi a lasciare il vostro numero di telefono alle persone con cui messaggiate (oppure dovrete fare i salti mortali per usare Signal con un numero di telefono fasullo); ci sono molte ragioni per le quali potreste voler scrivere a persone senza dar loro il vostro numero e questo è uno dei potenziali svantaggi di Signal. Se per voi questo è un problema, prendete in considerazione un'altra opzione.

Un'altra cosa da tenere a mente è che anche se una comunicazione è codificata end-to-end non significa che il governo non possa vederla. Significa solamente che i suoi contenuti sono criptati nel percorso da un’estremità all'altra. Voi potete vedere il messaggio, il vostro destinatario può vedere il messaggio. Se viene intercettato durante il trasferimento è completamente alterato e il suo contenuto è protetto dagli occhi di una spia.

Ma se una “estremità” è compromessa — in altre parole se il vostro telefono viene hackerato o fisicamente confiscato dal governo, o se la persona a cui scrivete fa uno screenshot della vostra conversazione — il gioco è finito.

La crittografia non impedisce al governo di curiosare, lo rende solo più difficile. Il punto è che introdurre incognite nell'equazione aiuta ad aumentare il livello di privacy.

Se postate pubblicamente sui social, tenete presente che la polizia locale (e non solo) tiene sotto controllo gli attivisti online. Ad esempio Facebook, Instagram e Twitter hanno tutti fornito dati a prodotti di monitoraggio sui social che i dipartimenti di polizia hanno usato per rintracciare gli attivisti di Black Lives Matter.

Anche se modificate le impostazioni per blindare la vostra privacy, le aziende di social media sono soggette a citazioni in giudizio, ordini della corte e richieste di dati per ottenere informazioni. E spesso smollano le informazioni senza nemmeno notificare l'utente. Per quanto riguarda i social media, dovete pensare che tutto quello che postate è pubblico. Questo non significa che dovete smettere di utilizzarli, significa soltanto che dovete essere consapevoli.

Se siete attivisti, prendete in considerazione l'idea di usare uno pseudonimo. Se non postate mai niente in rete, prendete comunque qualche altra misura di sicurezza.

Chi taggate nei vostri post? Aggiungete informazioni sulla posizione? Chi fotografate e perché? Prestate particolare attenzione alle foto o ai post sulle proteste, le manifestazioni o gli incontri. La tecnologia di riconoscimento facciale è ormai piuttosto sofisticata quindi, anche se non taggate nessuno, teoricamente un algoritmo potrebbe esaminare ed identificare gli attivisti nella fotografia di una manifestazione. Questa funzionalità è già in atto nei suggerimenti di tag su Facebook.

Quando scattate la foto di qualcuno durante una protesta assicuratevi che loro diano il consenso e conoscano le implicazioni di avere una loro foto in rete.

Vivete attorno a delle telecamere? Se in casa vostra utilizzate telecamere di sicurezza connesse alla rete o avete una webcam, adottate alcune misure di sicurezza. Controllate di aver cambiato ogni password di default che era stata impostata quando vi sono state spedite e copritele quando non le utilizzate.

Se avete un laptop o uno smartphone usate uno sticker per coprire la telecamera frontale. Non dovete smettere di usare Facetime o di farvi selfie, basta oscurare la visuale così che nessuno possa vedere quando voi non lo desiderate. La Electronic Frontier Foundation vende adesivi oscuranti removibili per laptop (5 a 5 dollari) che non lasciano alcun segno sulla vostra telecamera in modo che possiate applicarli e toglietrli ogni volta. Prendete in considerazione l'idea di comprarne un po' e magari anche di regalarne qualcuno ai vostri amici.

Infine, non esiste un modo per essere completamente certi che il vostro microfono non stia registrando. Se vi preoccupa essere intercettati, valutate l'idea di spegnere il vostro telefono e di metterlo nel microonde (temporaneamente, a microonde spento) o di lasciarlo in un’altra stanza. Spegnere semplicemente il telefono non vi assicura di essere fuori pericolo. E prendete in considerazione l'idea di lasciare tutti i vostri dispositivi fuori dalla camera da letto quando avete un rapporto sessuale con il vostro partner.

Nel 2012 Khadija Ismayilova, una giornalista azera, è stata ricattata con un video hard filmato di nascosto. L'estorsore chiese a Ismayilova di smetterla di pubblicare articoli di critica nei confronti del governo, altrimenti avrebbero pubblicato il filmato. (Ismayilova è uscita allo scoperto e il video è stato postato in rete). Nel 2015 il governo azero l'ha condannata a sette anni e mezzo di reclusione per evasione fiscale. Attualmente è stata rilasciata in regime di libertà vigilata.

I governi hanno utilizzato l'arma sessuale per ricattare i dissidenti fuori e dentro i confini del loro stato. Siatene consapevoli e proteggete la vostra privacy.

Mettete una password o un codice di sicurezza sul vostro telefono e sul vostro computer. Non fate affidamento solo sull'impronta digitale. È più probabile che la polizia possa obbligarvi legalmente a utilizzare l'impronta per sbloccare il vostro telefono. Potreste avere più possibilità di esercitare il vostro diritto di non rivelare la password.

La scelta migliore per chattare con le persone tramite computer desktop è Signal. Ma esiste un'altra valida opzione che risulta particolarmente utile per i giornalisti.

Per chattare, chiudete la vostra finestra Gmail e utilizzate OTR (Off The Record). Tenete a mente che potete usare OTR solamente se anche l'altra persona lo fa. Gli utenti Mac possono installare Adium, chi ha il PC (o Linux) dovrà installare Pidgin e il plugin di OTR.

Potete usare il vostro account Gmail come ID della chat. In questo modo starete conversando tramite Hangouts, ma con un ulteriore livello di codifica. Aprite una finestra della chat e cliccate sull'icona del lucchetto per far partire la procedura di criptaggio. E assicuratevi di aver modificato le impostazioni in modo tale da non conservare il registro delle conversazioni quando vi scambiate messaggi codificati.

Anche in questo caso la procedura end-to-end funziona solo in quello spazio limitato. Se l'altra persona registra le vostre conversazioni, tutti questi sforzi potrebbero risultare inutili. Se questo vi preoccupa, chiedete ai vostri amici di non farlo.

Tor — che prende il suo nome dall'acronimo di “The Onion Router” — codifica il vostro traffico in rete smistandolo attraverso una serie di strati di server. In questo modo, se accedete a un sito web, risulta impossibile capire da dove vi state connettendo. Il modo più semplice per utilizzarlo è quello di installare il browser Tor. È come Firefox o Chrome ma molto più lento, visto la privacy che assicura.

Usando Tor si incrementa di gran lunga la propria privacy, ma risulterebbe alquanto scomodo. Non sperate, ad esempio, di guardare Netflix su Tor.

Fate una valutazione di ciò di cui avete bisogno e cercate di capire quanto potete servirvi di Tor. Ricordatevi sempre che, quando non lo utilizzate, il vostro indirizzo IP (che può rivelare dove siete e dunque chi potreste essere) è sempre alla luce del sole.

Ci sono quattro ragioni che possono spingervi a usarlo:

• State cercando di nascondere la vostra identità
• Utilizzate spesso reti Wi-Fi pubbliche
• State cercando di eludere una censura governativa
• Volete proteggere altre persone che usano Tor

Se siete attivisti che cercano di nascondere la propria identità, avrete bisogno di Tor per mascherare il vostro indirizzo IP. Questo è uno dei casi per i quali non lo si utilizza molto. Sarebbe controproducente se io aprissi Tor, accedessi al mio profilo Twitter pubblico e tweettassi, “Salve a tutti, sto twittando dagli uffici di Vice di New York.” È come se rivelassi tutte le informazioni che Tor sta mascherando per me.

Se vi collegate spesso a reti Wi-Fi pubbliche, invece, (pensate a Starbucks, a un hotel o agli aeroporti) dovreste utilizzare Tor. Fornisce benefici simili a quelli delle VPN, ma senza molti dei loro svantaggi (questo argomento verrà affrontato meglio nella prossima sezione).

Se gli Stati Uniti iniziassero a censurare alcune aree del web come fanno molti altri governi, Tor potrebbe aiutarvi ad aggirare questa imposizione. Senz'altro Tor aiuta le persone a connettersi da paesi che praticano censure in rete.

Infine, il bello di Tor è che più persone lo usano, meno tracciabili sono anche tutti gli altri. Quando molte persone sparse per il mondo cominciano a utilizzarlo autonomamente, la protezione aumenta sempre di più. Se vi prendeste un po' di tempo per utilizzare Tor ogni giorno, aiutereste le persone che ne hanno davvero bisogno.

Ma facciamo qualche precisazione: Tor non è inattaccabile. È risaputo che il governo ha hackerato gruppi di utenti su Tor, come è noto che abbia hackerato in modo massiccio utenti che utilizzavano delle VPN. Tor, di per sé, non elimina le possibilità di essere attaccati. È utile per la privacy, non per la sicurezza. Ed è progettato per rendere più difficile la vita a chi vuole registrare il vostro traffico, ma non per impedirlo, quindi c'è sempre un rischio.

I server che formano la rete Tor — quelli sui quali rimbalza il vostro traffico — sono gestiti da volontari, istituzioni e organizzazioni provenienti da tutto il mondo, alcuni dei quali rischiano di imbattersi in problemi legali per questo. Non sono obbligati a registrare il traffico che passa attraverso di loro ma, visto che è una rete di volontari, alcuni potrebbero esserlo. Il rischio è mitigato dal fatto che ogni snodo vede solo una parte del traffico che lo attraversa e nessuno ha accesso allo stesso tempo all'IP dell'utente e al loro traffico codificato. Un malintenzionato dovrebbe gestire un vasto numero di snodi Tor per iniziare a registrare una quantità significativa di traffico — sforzo già di per sé complicato — ma il progetto Tor monitora costantemente alla ricerca di qualcuno che potrebbe tentare di farlo.

Per difendersi della sorveglianza governativa, Tor è meglio di una VPN e una VPN è meglio di niente.

Non è chiaro se Tor continuerà ad esistere, in futuro. Tor funziona parzialmente grazie a sussidi governativi (come molte altre tecnologie all'avanguardia, Tor è stato inizialmente sviluppato dall'esercito degli Stati Uniti). È possibile che molto presto perda la maggior parte della sua dotazione finanziaria. Valutate l'idea di fare una donazione al Tor Project.

Quando si parla di sorveglianza governativa, le VPN non aiutano molto. Una VPN oscura il vostro indirizzo IP, ma se entra in gioco lo stato, le VPN possono venir citate in giudizio ed essere obbligate a fornire informazioni sull'utente che potrebbero poi aiutare a identificarvi. Ad esempio, molte compagnie VPN tengono traccia degli indirizzi IP che si connettono, quando e a quali siti si è effettuato l'accesso — tutte cose che alla fine possono portare a individuarvi, specialmente se avete usato la vostra carta di credito per pagare l'iscrizione alla VPN.

Alcune compagnie VPN sostengono di non registrare le informazioni dell'utente. Dovete valutare quanto vi fidate e prendere da soli questa decisione. Se quello che vi preoccupa è la sorveglianza dello stato, il nostro consiglio è quello di utilizzare Tor.

L'unico modo affidabile per criptare la vostra email è PGP — noto anche come Pretty Good Privacy. Tuttavia PGP è molto scomodo da utilizzare. Lo stesso creatore, Phil Zimmermann, ha smesso di usarlo, visto che non riesce a farlo funzionare sul suo telefono. Il problema è che non siete soltanto

voi

a dover capire come usarlo, ma anche tutti quelli con cui parlate. Dire a qualcuno di scaricare Signal è molto più semplice rispetto a spiegargli nel dettaglio come funziona la crittografia asimmetrica. Ecco dove può tornare utile il vostro threat modeling, per aiutarvi a capire se vale la pena utilizzare PGP.

Se il 2016 ha avuto un merito, è stato quello di convincere tutti a non utilizzare server di posta elettronica privati. È vero che Google e altre aziende devono rispettare gli ordini delle corti di giustizia riguardo alle vostre informazioni, incluse le vostre email, ma d'altra parte Google sa come gestire i server di posta elettronica molto meglio di voi. I server delle email sono complessi, provate a chiederlo a Hillary Clinton.

Se state criptando l'email, Google può mettere le mani soltanto sui metadati (mittente, destinatario e oggetto del messaggio). Dato che criptare l'email è molto complicato, cercate di tenere i dati sensibili al di fuori della posta elettronica e di utilizzare al suo posto i canali criptati end-to-end. Non abbandonate i vostri account email di terze parti, ma siate consapevoli che il governo può averne accesso.

Buona notizia: non è più così difficile come lo era un tempo. La codifica dell'intero disco comporta che una volta che il tuo dispositivo è bloccato (quando è spento o quando è acceso con lo schermo bloccato), i contenuti del vostro disco rigido non sono accessibili senza la vostra password/chiave.

Molti smartphone nascono già con la completa codifica del disco. Se possedete un iPhone con un sistema operativo recentemente aggiornato (in realtà negli ultimi tre anni), metteteci sopra un codice di sicurezza e siete a posto.

Se avete un telefono Android, potrebbe già essere criptato di default (Google Pixel lo è). Ma è probabile che non lo sia. Non esiste una guida aggiornata su come attivare la codifica per tutti i dispositivi Android, quindi, dovrete andare a curiosare in giro voi stessi oppure chiedere a un amico. E se avete un Windows phone, che Dio vi aiuti, perché noi non possiamo.

Per quanto riguarda i computer, di nuovo, le cose sono diventate molto più semplici di quanto lo fossero in precedenza. Basta utilizzare l'opzione per la crittografia dell'intero disco del vostro sistema operativo. Per i MacBook che hanno installato Lion o un sistema più recente, attivate FileVault.

Per Windows, invece, risulta tutto più complicato. Innanzitutto, alcuni utenti hanno attivato un sistema di crittografia di default. Altri possono attivarlo, ma è abbastanza difficile. E se invece avete Microsoft Bitlocker, dovrete trafficare con ulteriori impostazioni per renderlo più sicuro. La Apple non ha il potere di sbloccare i vostri dispositivi. Com'è noto, se il governo si rivolge alla Apple, la Apple non può prendere e decodificare il vostro telefono per i federali, se non elaborando un bug che colpirebbe tutti gli iPhone in circolazione. Microsoft non fa la stessa cosa — in alcuni casi usa la pratica nota come “key escrow”, che permette di decodificare il vostro dispositivo — dunque dovete prendere ulteriori precauzioni (specificate in questo articolo) per raggiungere lo stesso livello di protezione.

Potreste aver bisogno di far ricorso a VeraCrypt. Molte guide più datate vi diranno di utilizzare TrueCrypt, a prescindere dal sistema operativo. È un consiglio che adesso non è più valido. VeraCrypt era TrueCrypt e la storia del perché non lo è più è una contorta critto-soap-opera con dei buchi nella trama della grandezza di Marte, e francamente al di fuori dell'ambito di questa guida. Per farla breve, a quanto dicono gli esperti non c'è niente che non vada in VeraCrypt ma, se ne avete la possibilità, utilizzate la crittografia completa del disco che vi fornisce il vostro sistema operativo.

Se usate Linux, il vostro disco ha sicuramente un sistema di crittografia già preconfigurato. Seguite le istruzioni mentre lo installate.

Sappiate che le compagnie delle carte di credito non scendono mai in campo contro il governo. Se pagate qualcosa utilizzando la vostra carta di credito, siate consapevoli che il governo può arrivare ad avere quell'informazione piuttosto facilmente. E ricordate che, una volta che la vostra identità tocca qualcosa, si crea una pista che il governo può risalire fino ad arrivarne a capo.

Ad esempio, se acquistate una gift card Visa prepagata usando la vostra carta di credito personale e con quella pagate una compagnia VPN, il governo può semplicemente seguire la pista a ritroso, trovare prima la vostra carta e poi voi. Se pagate una compagnia VPN in Bitcoin, ma avete comprato i Bitcoin con la vostra carta di credito personale, sarete ugualmente rintracciabili.

Questo è applicabile a qualsiasi altra cosa per la quale utilizziate del denaro, come comprare un dominio o un telefono economico prepagato, conosciuto anche come burner. In pratica, non è che si possa fare molto. Questo è il motivo per cui consigliamo Tor invece che un servizio VPN.

Questa è anche una delle ragioni per le quali è così difficile procurarsi un burner che sia veramente un burner (Come pagherete per prolungare i servizi telefonici senza collegare a quel telefono il vostro nome?). Non c'è una risposta scontata. Non fingeremo di essere in grado di dare un buon consiglio in questa circostanza. Se vi trovate in una situazione nella quale la vostra vita dipende dal rimanere nell'anonimato, vi servirà molto di più di una qualsiasi guida in rete.

Un ultima cosa: per adesso, ci sono organizzazioni non governative che hanno il diritto costituzionale di astenersi dal rivelare il nome dei donatori. Ma la vostra carta di credito o PayPal potrebbero tradirvi ugualmente. Questo non significa che non dovreste fare donazioni alle organizzazioni che si oppongono agli abusi e che lottano per i diritti e le libertà civili. Piuttosto è ancora più importante che lo facciate. Più persone comuni lo fanno, più i singoli donatori sono protetti dallo sguardo indagatore e dal sospetto.

Volete proteggere le vostre fonti?

I vostri appunti, le vostre chat su Slack, i vostri Hangouts, il vostro Google Drive, Dropbox, le interviste che avete registrato, le trascrizioni e i vostri messaggi potrebbero tutti finire in tribunale. A seconda del caso giudiziario, potrebbe non importare se questi siano criptati o meno.

Non aspettate l'imminenza di una causa per cancellare tutte le vostre cose. Potrebbero essere illegali e potreste rischiare di finire in prigione. Ogni situazione è diversa: i vostri appunti potrebbero risultare necessari per scagionarvi. Quindi se siete dei tipi che accumulano gli appunti in modo compulsivo, informatevi sui rischi, parlate con un avvocato e comportatevi responsabilmente.

Questo ci porta al nostro prossimo punto: non sappiamo cosa ha in serbo il futuro. Questa guida è stata scritta tenendo a mente le attuali potenzialità tecniche e legali del governo degli Stati Uniti. Ma tutto questo in futuro potrebbe cambiare. Una crittografia solida potrebbe diventare illegale. I paesi in cui viviamo potrebbero iniziare a mettere in pratica una censura in rete allo stesso modo della Cina e di altre nazioni. Il governo potrebbe istituire una politica sui codici di identificazione per connettersi alla rete, rendendo praticamente impossibile postare nell'anonimato.

Queste cose sono più difficili da attuare e rendere effettive, quindi è improbabile che si verifichino nel breve termine. Non è impossibile che il governo faccia pressione sugli app store per togliere Signal e altre applicazioni di crittografia end-to-end. Questa guida potrebbe essere valida solo fino ad allora. Ecco un motivo in più per agire immediatamente contro la sorveglianza e per continuare ad adattarsi alle circostanze che si verranno a creare.

In molti luoghi pubblici ci sono telecamere, alcuni posti sono pieni di microfoni. E c'è sempre la possibilità che possiate essere presi di mira per essere sorvegliati. Ma, in ultima analisi, è molto più difficile sorvegliare qualcuno di specifico dal vivo piuttosto che raccogliere le comunicazioni elettroniche di molte persone allo stesso tempo.

Prendetevi una pausa dal mondo in rete e incontrate gli altri di persona. Se rimanete fuori dalla portata dell'orecchio non verrete spiati e le vostre parole svaniranno nell'aria, senza essere sorvegliate o registrate.

Oltretutto, se state leggendo questa guida, è probabile che a questo punto abbiate proprio bisogno di un abbraccio.

Quindi incontratevi con gli amici, verificate le vostre chiavi di Signal e scambiatevi un bell'abbraccio. Perché probabilmente sarete entrambi spaventati e avrete bisogno l'uno dell'altro, più di quanto possiate aver bisogno di queste tecnologie.

Per adesso è tutto. Di nuovo, questa voleva essere una semplice guida per utenti di medio livello. Quindi se siete attivisti per i diritti umani che lavorano in una nazione ad alto rischio o in una zona di conflitto o un'organizzazione che costruisce infrastrutture informatiche in tempi ristretti, tutto questo non sarà certo abbastanza e dovrete prendere ulteriori precauzioni.

Ma questi sono suggerimenti base che seguono il buonsenso e che tutti dovrebbero conoscere.

Ovviamente alcuni lettori non esiteranno a far notare tutto quello che questa guida si è dimenticata di dire, ma noi saremmo contenti di avere il vostro feedback. La sicurezza è un mondo in costante evoluzione e quello che oggi è un buon consiglio potrebbe non esserlo più domani, quindi il nostro obiettivo è quello di aggiornare questa guida piuttosto regolarmente e dunque, per favore, non esitate a contattarci se pensate che manchi qualcosa o che ci sia qualche errore.

E ricordate, prestate sempre attenzione!

Questo articolo è apparso originariamente su Motherboard US.