Vai al contenuto

Consigli spassionati sull’ambito della sicurezza informatica

Only the paranoid survive” – Andrew “Andy” Grove

Andy Grove è una delle figure più importanti di sempre per lo sviluppo dell’industria informatica. Crebbe nell’Ungheria comunista, da cui fuggì nel 1956, studiò ingegneria in America e alla fine guidò la rivoluzione dei personal computer come CEO di Intel. È morto nel marzo del 2016 nella Silicon Valley dopo una lunga battaglia con la malattia di Parkinson. Ma cosa c’entra con la sicurezza tutto questo? Beh, quando una delle persone più potenti del mondo ci incoraggia a essere paranoici, forse dovremmo ascoltarlo…

Persino il direttore dell’FBI  James Comey – lo stesso dirigente che ha pagato degli hacker un milione di dollari per sbloccare l’iPhone – sta incoraggiando tutti a coprire le loro webcam. Dopotutto negli uffici governativi americani è prassi consolidata utilizzare una cover per coprire la webcam. E se lo dice lui…

Di cosa ti devi preoccupare? Come ricorda il motto del programma di sorveglianza del Regno Unito, “Se non hai nulla da nascondere, non hai nulla da temere”. I cittadini rispettosi della legge, invece, hanno ragione di temere! Hanno tutti i motivi per proteggere i loro dispositivi, i loro file e le loro comunicazioni con i propri cari.

Innanzitutto buonsenso

Se ti preoccupi di chiudere le porte di notte, dovresti preoccuparti di usare la crittografia. La realtà è che, finché gli esseri umani sono coinvolti, nessun sistema sarà mai privato o sicuro al 100%. Se il telefono, i computer e gli account sono sufficientemente protetti, il loro contenuto rimarranno delle “scatole crittografate” sulle quali c’è ben poco da fare, a prescindere da quanto potenti siano gli strumenti usati per tentare di aprirle.

Tutto ciò che segnalo in questo articolo è 100% open source, legale e gratuito.

Suggerimento n. 1: utilizza l’autenticazione a due fattori nella casella di posta

La tua casella di posta è lo scheletro della tua “vita digitale”. Se un malintenzionato riesce a comprometterla, non solo può leggere le tue e-mail, ma può reimpostare la password e usare la tua email praticamente per qualsiasi cosa. Questo include gli account di social network e purtroppo i conti bancari.

La cosa più semplice che puoi fare per migliorare la sicurezza nella tua casella di posta è attivare l‘autenticazione a due fattori.

In pratica, l’autenticazione a due fattori è un secondo livello di sicurezza al momento dell’accesso. Di solito comporta la ricezione di un avviso sullo smartphone ogni volta che accedi al tuo account. L’autenticazione a due fattori riduce sostanzialmente la probabilità che l’account di posta venga compromesso.

Suggerimento n. 2: crittografare il disco rigido

Nonostante Windows e MacOs supportino, attraverso dei tools proprietari, la FDE (Full Disk Encryption), l’utilizzo strumenti open source è sempre da preferire. In questo modo il processo di crittografia risulta trasparente e l’affidabilità del software è garantita dalla community di sviluppo pronta a scovare qualsiasi presenza di eventuali backdoor malevoli.

Personalmente consiglio l’utilizzo di VeraCrypt, un programma che permette di crittografare file, partizioni ed interi dischi fissi proteggendone il contenuto da malintenzionati ed utenti non autorizzati. L’applicazione è totalmente open source e gratuita. E’ stata sviluppata a partire dal codice sorgente del noto TrueCrypt migliorandone soprattutto gli aspetti legati alla sicurezza.
La Full Disk Encryption protegge il contenuto di tutto il disco compreso il sistema operativo installato. In questo caso, VeraCrypt attiva un meccanismo di autenticazione pre-boot che consentirà l’accesso al sistema ed ai dati in esso conservati solo dopo aver inserito la password corretta.

Suggerimento n. 3: attiva la protezione con password del telefono

L’identificazione con impronta digitale è un meccanismo utile di protezione, ma spesso non è sufficiente. Il quinto emendamento americano (contro l’autoincriminazione) consente di mantenere segreta la propria password, tuttavia un tribunale può obbligare una persona a sbloccare il telefono con la propria impronta digitale. Inoltre, l’impronta rimane unica per tutta la vita e non è possibile cambiarla dopo che un malintenzionato ha “craccato” il dispositivo.

Solitamente la password di sblocco del telefono è di 4 caratteri e si hanno da 3 a 10 tentativi prima che il telefono si blocchi completamente. Di seguito un elenco di password da non utilizzare, perché ritenute comuni:

1234   
9999 
1111   
3333 
0000   
5555 
1212   
6666 
7777   
1122 
1004   
1313 
2000   
8888 
4444   
4321 
2222   
2001 
6969   
1010

Suggerimento n. 4: utilizzare password diverse per ciascun servizio.

Le password sono intrinsecamente insicure. Sapevate che la password del account LinkedIn di Mark Zuckerberg era “dadada”? Come faccio a saperlo? All’inizio del 2016, quando alcuni hacker hanno rilasciato 117 milioni di combinazioni di password e-mail, quella di Zuckerberg era tra queste. Quindi chiunque in possesso di questi parametri era in grado di accedere ai suoi account Twitter e Pinterest.

Il consiglio è quello di non usare la stessa password per più di un servizio. Ovviamente, ricordare centinaia di password è pressoché impossibile, per cui sarebbe opportuno utilizzare un gestore di password, come ad esempio Keepass, anche questo open source e gratuito (tra l’altro esiste anche una versione portable e una per Android).

Suggerimento n. 5: invia messaggi di testo privati ​​con app di messaggistica crittografata e peer to peer

Il vantaggio di utilizzare un sistema di messagistica privo di tecnologia client-server è evidente. In questo modo tutte le comunicazioni testo/voce non passano da alcun server (non possiamo mai sapere per certo cosa accade all’interno di un server…) aumentando cosi il livello di sicurezza.

Esistono tecnologie peer to peer (come i torrent, per intenderci) open source sicure che utilizzano protocolli crittografici esistenti. Per inviare un messaggio ad un amico sarà però necessario che entrambi siano connessi alla rete e che entrambi abbiano installato lo stesso applicativo: la tecnologia peer to peer, infatti, “esiste” solo se i due punti sono connessi alla rete.

Alcuni software open source più utilizzati sono: Retroshare, una suite completa di comunicazione (chat, mail, forum, etc…) oppure qTox (o i suoi derivati), un messenger gratuito end-to-end crittografato che permette di comunicare in modo sicuro, completamente decentralizzato, peer-to-peer messenger senza alcun server centrale di appoggio.

Suggerimento n. 6: la modalità di navigazione in incognito del tuo browser non è abbastanza privata

Se pensate che utilizzando la “Modalità navigazione in incognito”, avete risolto gran parte dei problemi di sicurezza, vi sbagliate di grosso. Da Google Chrome a Mozilla Firefox, passando per Safari Edge, i browser più popolari informano preventivamente l’utente che i dati della navigazione in incognito possono essere visualizzati dai siti web visitati, dal provider di servizi Internet e, se siamo connessi in una rete non domestica, dal datore di lavoro o dalla scuola. Inoltre, non siamo del tutto irrintracciabili e le nostre attività potrebbero essere monitorate anche dalla polizia postale o da terze parti capaci anche di geolocalizzare la nostra posizione. La modalità privata, inoltre, non rende i nostri dispositivi immuni da attacchi di virus e malware.

La nostra privacy, durante la navigazione in incognito, è garantita solamente per alcuni aspetti, come la cronologia, i cookie e i dati dei siti e le informazioni immesse nei moduli.

Per navigare in incognito avendo la relativa certezza di non lasciare tracce (nessun sistema può mai essere sicuro al 100%), bisognerebbe usare Tor.

Suggerimento n. 7: Naviga in privato con Tor

Tor è l’acronimo di “The Onion Router”. È gratuito, open source e ragionevolmente facile da usare. Tor consente già da molti anni la navigazione anonima su Windows, Mac e Linux. Grazie alla sua rete crittografata, che redistribuisce i pacchetti del traffico online degli utenti attraverso migliaia di server sparsi in tutto il mondo, rende estremamente difficile risalire all’identità del navigatore. Per questa ragione, è diventato lo strumento essenziale per navigare nel famigerato deep web e per le comunicazioni dei dissidenti che vivono in regimi autoritari.

Sul comparto smartphone esistono già diverse app che possono essere installate dai vari market: Orbot, l’app che consente di collegarsi alla rete Tor e Orfox, il browser che permette la navigazione anonima sfruttando la connessione Tor creata con Orbot. In fase di ultimazione c’è il nuovo Tor Browser, che non necessita di Orbot rendendo la navigazione anonima semplice come con Google Chrome o Firefox. In più è in grado di bloccare tutti i tracker che seguono la navigazione (per scoprire le vostre abitudini di consumo e non solo) e di cancellare automaticamente i cookies al termine di ogni sessione di utilizzo.

Suggerimento n. 8: ricerca in privato

Se Tor non ti convince o non vuoi usarlo, puoi quantomeno effettuare ricerche in privato usando DuckDuckGo , il motore di ricerca che non ti rintraccia. DuckDuckGo non ha tutte le migliaia di anni di ingegneria riversati nel motore di ricerca di Google, ma ha una scorciatoia per ottenere ricerche di Google crittografate quando ne hai bisogno. Devi solo aggiungere il prefisso alla ricerca con !Google