La Guida di Motherboad per Non Farsi Hackerare

La Guida di Motherboard Per Non Farsi Hackerare

VERSIONE 1.1

AGGIORNATO AL 15.05.2018

La Guida di Motherboard per non Farsi Hackerare

Una delle domande che ci fanno più spesso qui nessi alla rete, droni volanti che trasportano a Motherboard è “Cosa posso fare per proteg- computer con software per effettuare attacchi germi da un attacco hacker?” informatici; per non parlare dei pericoli legati all’archiviazione delle nostre informazioni Dato che vivere nella società moderna signigenetiche. ca afdarsi in misura sempre maggiore nelle mani di terze parti, la risposta r isposta è spesso “Non Questo non signica che sia tutto inutile. molto”. Prendete, ad esempio, l’enorme atCi sono un sacco di cose che si possono fare tacco a Equifax — LA società americana di per rendere la vita più complicata complicata agli hacker controllo del credito dei consumatori — che intenzionati ad accedere ai vostri dispositivi ha coinvolto all’incirca metà della popolazione o ai vostri account, e lo scopo di questa guida americana: alcune persone si erano iscritte al è quello di fornirvi dei chiari e semplici punti servizio proprio perché volevano proteggersi da seguire per incrementare il vostro livello di da eventuali attacchi, eppure i loro dati sono sicurezza digitale. Esistono, grosso modo, due stati rubati. tipi di attacchi: quelli che gli utenti non possono evitare e quelli che normalmente possono Gli hacker possono entrare in possesso di cen- essere prevenuti. Noi vogliamo aiutarvi tinaia di milioni di password in un colpo solo a ridurre i danni causati dai primi ed evitare e creare interruzioni di servizio di proporzioni che i secondi si verichino. notevoli. Non ci possiamo aspettare che in futuro le cose migliorino se pensiamo che presto In quanto singoli utenti, non potete far niente avremo a che fare con robot domestici intelli- per impedire al vostro provider provider e-mail o all’agenti che potrebbero essere manomessi zienda che custodisce i vostri dati nanziari e programmati per uccidere, gingilli in grado di essere bersaglio di un hacker. Ma potete di causare veri e propri disastri una volta con- certamente evitare attacchi di phishing che 1

VERSIONE 1.1

permetterebbero a un hacker di accedere al vostro account di posta elettronica, e potreste anche impedire che una vostra password nita in mezzo a un furto di dati su vasta scala venga riutilizzata per accedere a un altro vostro account su cui magari avete usato la stessa s tessa password. Questa guida è in continuo aggiornamento e non è adattabile ad ogni singolo caso; non esistono cose come “la sicurezza perfetta” e non ci sono soluzioni soluzioni per tutti. tutti. Ma speriamo che possa essere un buon punto di partenza per chi ha intenzione di mettere al riparo la propria vita digitale. Questo è il motivo per il quale abbiamo cercato di mantenere questa guida il più accessibile possibile, possibile, ma se vi capita di im battervi in un qualche qualche termine tecnico che non non conoscete, c’è un glossario alla ne.


Ad ogni modo, basta con le chiacchiere. Ecco la GUIDA DI MOTHERBOARD CONTRO GLI ATTACCHI HACKER

Questo è un lavoro a cui hanno partecipato membri dello staff di Motherboard del presente e del passato, ed è stata esaminata da molte delle nostre fonti. Hanno collaborato Lorenzo Franceschi-Bicchierai, Joseph Cox, Sarah Jeong e Jason Koebler, ma i suggerimenti che trovate al suo interno nascono grazie a un percorso fatto di anni di articoli e ricerche sulla sicurezza digitale portato avanti da dozzine di reporter e di professionisti appartenenti al campo dell’information security security.. Consideratela un work-in-progress: apporteremo piccoli aggiornamenti nel caso si presentassero nuove e rilevanti vulnerabilità. Un ringraziamento speciale a Matt Mitchell di Crypto Harlem e a Eva Galperin della Electronic Frontier Foundation per aver revisionato alcune parti di questa guida. Versione italiana a cura di Antonella Di Biase, Federico Nejrotti, Giulia Trincardi Trincardi e Federico F ederico Martelli Traduzionee di Alessandro Franchi Traduzion Adattamento graco di Pietro Amoruoso

2

VERSIONE 1.1


indice

04 Le basi della sicurezza digitale 05 Il Threat Modeling 07 Tenete aggiornati i vostri software

19 Privacy, Messaggistica e sorveglianza governativa

08 Le Password 10 L’autenticazione a due fattori

15 La sicurezza dei dispositivi mobili 16 Il Threat Modeling (per gli smartphone) 17 iPhone vs Android 17 La sicurezza di Android 18 SIM Card & Sicurezza dell’account

20 Il Threat Modeling (per privacy e sorveglianza) 21 Signal 22 Social Media 23 Le Telecamere e i Microfoni 23 Bloccate lo Schermo 23 Usate OTR per chattare 24 Il Browser Tor 25 Le Virtual Private Network 25 Il PGP 25 Provider di Email e Server 26 Criptare gli Hardware 26 Carte di Credito 27 Note per i Giornalisti 27 Il Futuro 27 Disconnettersi

30 Glossario di Hacking e Cyber-parole 3

VERSIONE 1.1


Le basi della sicurezza digitale

4

VERSIONE 1.1


Il Threat Modeling

In questa guida tutto inizia con il “threat modeling”, che nel linguaggio hacker signica stimare le probabilità di essere attaccati o sorvegliati. Quando ci si propone di proteggere le proprie comunicazioni digitali digitali è fondamentale pensare in primo luogo a cosa si vuole proteggere e dall’attacco di chi. Se chiedessimo ad un esperto di information security se Signal è la migliore app di messaggistica o se Tor è il browser più sicuro, lui risponderebbe risponderebbe sicuramente “dipende dal vostro threat modeling.” La risposta a qualsiasi domanda sulla sicurezza è, essenzialmente: “Dipende.” I piani di sicurezza non sono mai identici tra loro. Il tipo di protezione da adottare deve tener conto di chi potrebbe tentare di accedere ai vostri account o di leggere i vostri messaggi. La cattiva notizia è che non esiste una soluzione infallibile (perdonateci!), ma la buona notizia è che la maggior parte delle persone

hanno un threat modeling che gli permette di navigare in rete senza troppe preoccupazioni, e di non vivere come dei reclusi paranoici. Quindi, prima di fare qualsiasi altra cosa, dovreste valutare il vostro threat modeling. In sostanza, cosa state cercando di proteggere e da chi state cercando di proteggerlo? La Electronic Frontier Foundation, in materia di threat modeling, consiglia di porsi queste cinque domande: 1. Cosa volete proteggere? 2. Da chi? 3. Quante probabilità ci sono che la protezione risulti necessaria? 4. Quanto negative sarebbero le conseguenze di un eventuale fallimento? 5. Quante difcoltà siete disposti ad affrontare per prevenirle? 5

VERSIONE 1.1

La minaccia è un ex che potrebbe tentare di accedere al vostro account Facebook? AssicuAssicurarsi che nessuno sappia la vostra password, allora, è un buon modo per iniziare. (Non ( Non condividete password importanti con le persone, non importa chi esse siano: se state pensando a Netix, assicuratevi di non utilizzare quella password per nessun altro account account personale). State cercando di impedire che, tramite la pratica del doxing, qualcuno raccolga i vostri vostri dati personali — la data del vostro compleanno, ad esempio — per poi arrivare ad acquisire ulteriori informazioni? Bene, tenere d’occhio quello che si pubblica sui social potrebbe essere una buona idea. E l’autenticazione a due fattori (ne parleremo più avanti) contribuisce in larga misura a fermare criminali ben più pericolosi. Se siete attivisti, giornalisti, o in qualche modo avete ragioni per temere il governo, lo stato o rappresentanti delle forze dell’ordine che vogliono sorvegliarvi, le misure che dovete adottare per proteggervi sono assai diverse da quelle che dovreste prendere per mantenere segreti i piani per un party a sorpresa che state organizzando per il vostro migliore amico.


In generale, però, è stata progettata per coloro che vogliono conoscere lo stretto indispensa bile per rafforzare la propria sicurezza digitale. Se il vostro threat modeling include gli hacker della NSA o altri gruppi nanziati dallo stato come Fancy Bear, vi consigliamo di parlare della vostra situazione specica con un profes sionista qualicato.

Anche sopravvalutare la minaccia potrebbe essere un problema: iniziare a usare strani sistemi operativi personalizzati, macchine virtuali, o un qualsiasi altro espediente tecnico quando non è veramente necessario (o quando non si sa come utilizzarlo), vi farà sprecare del tempo e potrebbe farvi correre dei rischi. Nel migliore dei casi nirete  nirete per spendere un po’ più più tempo per eseguire azioni informatiche molto banali; nell’ipotesi peggiore potreste cullarvi in un falso senso di sicurezza con servizi e hardware di cui non avete bisogno, sopravvalutando quello che veramente è importante per voi e le reali minacce nelle nelle quali potreste incorrere. In alcuni punti, questa guida vi fornirà dei passi specici da seguire se avete un threat modemode ling che include soggetti sosticati. 6

VERSIONE 1.1


Tenete Aggio Aggiornati rnati i Vostri Software

Probabilmente la cosa più semplice e imporSpesso i cyber-attacchi sfruttano i difetti di tante che possiate fare per proteggervi è man- software obsoleti come vecchi browser, lettenere il software che utilizzate aggiornato tori PDF o programmi di elaborazione testo. all’ultima versione. Ciò signica avere una Mantenendo tutto aggiornato, avrete meno versione aggiornata di qualsiasi sistema opera- possibilità di diventare diventare vittime di un malware, tivo stiate utilizzando, e aggiornare tutte le vo- perché le ditte di produzione produzione competenti e gli gli stre app e programmi. Signica anche aggior - sviluppatori dei software rendono velocemente nare i rmware del vostro router, i dispositivi disponibili nuove patch per i loro prodotti non connessi e ogni altro gadget in vostro possesso appena notano il minimo segnale di un attacco. che può connettersi alla rete. Gli attacchi hacker scelgono spesso la strada Tenete a mente che, sul vostro computer, non più semplice: si concentrano concentrano in prima istandovete necessariamente utilizzare l’ultima ver- za sul bersaglio più debole e abbordabile. Ad sione di un sistema operativo. In alcuni casi, esempio, gli hacker dietro il rovinoso attacco anche le versioni un po’ più vecchie hanno ransomware divenuto noto come WannaCry i loro aggiornamenti per la sicurezza. sicurezza. (Sforscelsero vittime che non avevano installato un tunatamente non è più il caso di Windows XP, aggiornamento di sicurezza che era stato reso smettete di utilizzarlo!) La cosa più importante disponibile già da diverse settimane. In altre è che il vostro sistema operativo riceva anco- parole, sapevano che sarebbero sarebbero riusciti a entrara gli aggiornamenti di sicurezza e che voi li re dato che le vittime non avevano cambiato installiate. la serratura della loro porta di ingresso, anche se le chiavi erano già state rese r ese disponibili Quindi se c’è una lezione che dovete imparaa chiunque. re da questa guida è: aggiornate, aggiornate, aggiornate, o installate patch, installate patch, installate patch. 7

VERSIONE 1.1


Le Password

Abbiamo tutti un sacco di password da ricordare e questo è il motivo per cui alcune persone preferiscono utilizzare sempre le stesse. Riutilizzare le password è una cattiva idea perché se, per esempio, e sempio, un hacker riesce r iesce a prendere possesso della vostra password di Netix o Spotify, può poi usarla per entrare nel vostro account di car sharing o nel vostro conto corrente e prosciugare la vostra carta di credito. Anche se le nostre menti non sono in realtà poi così male nel ricordarsi le password, è quasi impossibile ricordarne dozzine che siano sicure ed univoche.

quella che sblocca il caveau che contiene tutte le altre. È bene, però, che quella password sia davvero buona. Scordatevi le lettere maiuscole, i sim boli e i numeri. Il I l metodo più semplice per creare una password sicura è utilizzare una passphrase: una serie s erie di parole scelte sc elte a caso che siano però pronunciabili — così da essere più semplici da memorizzare. mem orizzare. Ad esempio: dadi colbacco deltoide landa lucia (non usate questa, l’abbiamo appena bruciata).

Una volta fatto questo potete utilizzare singoLa buona notizia è che la soluzione a questi le password formate da molti caratteri per tut problemi esiste già: g ià: i password manager. mana ger. to il resto, se le create con un password manaSono app o estensioni per il browser che ger e non le riutilizzate per altro. La password tengono a mente le password al posto vostro, principale è meglio che c he sia una passphrase passphr ase aiutano a crearne di buone e semplicano la perché è più semplice sempli ce da memorizzare, memorizzar e, cosa vostra vita in rete. Se utilizzate un password non necessaria per le altre, delle quali si occumanager, dovete ricordare una sola password, perà il password manager. m anager. 8

VERSIONE 1.1

Intuitivamente, potreste pensare che non sia Intuitivamente, saggio archiviare le password sul vostro com puter o afdarle afdarle a un password password manager manager ester no al vostro personale e costante controllo. E se un hacker riuscisse a metterci le mani? Non è meglio meglio tenerle tutte a mente? mente? Be’ non proprio: è molto più probabile che che un truffatore truffatore riutilizzi una password rubata da qualche altra parte piuttosto piuttosto che un un hacker esperto esperto decida decida autonomamente autonomamen te di prendere come bersaglio il vostro database di password. Per esempio, se aveste utilizzato la stessa password su molti siti e questa fosse stata rubata nel massiccio attacco a Yahoo! (che ha colpito 3 miliardi di persone), potrebbe potrebbe venir venir facilmente riutilizzat riutilizzataa per il vostro vostro account Gmail, Uber, Uber, Facebook Facebook e su altri siti. Alcuni password manager archiviano le vostre password criptate nel cloud in modo che, anche se l’azienda dovesse subire un attacco hacker, rimarrebbero al sicuro. Ad esempio, il password manager LastPass è stato hackerato almeno due volte, ma nessuna


password è mai stata rubata rubata perché l’azienda l’azienda le aveva archiviate al sicuro. LastPass rimane un password manager manager raccomandabile raccomandabile anche anche se è incorso in questi incidenti. Ma di nuovo, tutto sta nel valutare il proprio threat modeling. Quindi, per favore, utilizzate uno dei tanti password manager disponibili, come 1Password, LastPass o KeePass. Non c’è ragione per non farlo. Farà sentire più tranquilli anche noi, e renderà la vostra vita più semplice. E se il vostro capo vi chiede di cambiare periodicamente le password in nome della sicurezza, vi prego, ditegli che è un’idea terribile. Se utilizzate un password manager, l’autenticazione a due fattori (vedete sotto) e avete delle password sicure sicure e univoche univoche per ogni ogni account, account, non c’è bisogno di cambiarle ogni volta — a meno che non sia stato violato il backend, o la vostra password sia stata in qualche modo rubata. 9

VERSIONE 1.1


L’Autenticazione a Due Fattori

Avere password forti e univoche è un primo passo importante, importante, ma anche queste queste possono possono essere rubate. Quindi per i vostri account più importanti (gli account della mail, di Twitter o di Facebook, i vostri conti bancari o nan ziari) dovreste aggiungere un ulteriore livello di protezione conosciuto come autenticazione a due fattori (o “a più fattori” o “strong authentication”). Molti servizi, oggi, offrono l’autenticazione a due fattori, quindi non sarebbe certo sbagliato attivarla dove possibile. Controllate tutti i servizi su questo sito: twofactorauth.org. Abilitando questo tipo di autenticazione non basterà solo solo la vostra vostra password password per avere accesso ai vostri account. Avrete bisogno anche di qualcos’altro, che di solito è un codice numerico inviato tramite SMS sul vostro telefono, o un codice generato da una app apposita-

mente creata (che può tornare utile se il vostro telefono non ha copertura nel momento in cui cercate di accedere), o un piccolo apparecchio sico come un token USB (talvolta chiamato U2F security secur ity key o YubiKey YubiKey,, prendendo il nome dai brand più conosciuti). Negli ultimi ultimi anni anni si è spesso spesso discusso della sicurezza degli SMS come “secondo fattore”. L’attivista Deray McKesson era stato derubato del suo numero di telefono e gli hacker erano così riusciti a trovare il modo di ricevere i messaggi con i codici di sicurezza che proteggevano i suoi account. E il National Institute of Standards and Technology (NIST), una sezione del governo degli Stati Uniti che scrive linee guida su regole e misure, inclusa la sicurezza, ha recentemente scoraggiato l’uso dell’autenticazione a due fattori tramite SMS. 10

VERSIONE 1.1

L’attacco a Deray è stato reso possibile grazie all’ingegneria sociale. In questo caso, un addetto al servizio clienti è stato indotto con l’inganno a rendere Deray vulnerabile. La truffa è consistita nel farsi inviare dalla sua compagnia telefonica una nuova scheda SIM per metm ettere le mani sul suo numero di telefono. Ciò ha permesso che, una volta immessa la prima password, il secondo fattore fattore venisse inviato direttamente a loro. Questa è una truffa comune che sta diventando sempre più frequente.


presente nel vostro computer. computer. Gli hacker adorano Flash perché ha più buchi del groviera. La buona notizia è che molti siti ne hanno ab bandonato l’utilizzo, l’utilizzo, quindi non ne avrete avrete più realmente bisogno per godervi una completa e intensa esperienza in rete. Prendete in considerazione l’idea di eliminarlo dal vostro computer,, o almeno di cambiare le impostazicomputer oni sul vostro browser, in modo da dover cliccare ogni volta per avviarlo.

È difcile difendersi da un attacco del genere, ed è una triste verità che non esista una forma di sicurezza perfetta. Ma ci sono passi che si possono compiere per rendere questi questi attacchi più complessi da attuare e ne parleremo nel dettaglio poco più avanti, nella sezione della mobile security. L’autenticazione a due fattori tramite SMS può essere raggirata ed è anche possibile utilizzare a proprio vantaggio vulnerabilità nell’infrastruttura delle telecomunicazioni che trasmettono le nostre conversazioni, o utilizzare un dispositivo conosciuto come IMSI-Catcher IMSI- Catcher,, o Stingray, Stingray, per raccogliere r accogliere le conversazioni e i vostri SMS di verica. Non scriviamo tutto questo per spaventarvi, ma vale la pena far notare che anche se ogni tipo di autenticazione a due fattori è meglio che niente, sarebbe più consigliabile utilizzare una app di autenticazione o, ancora meglio, una chiavetta sica. Dovreste, se il sito lo permette, usare un’altra opzione a due fattori che non sia quella tramite tram ite SMS, come una app di autenticazione sul vostro smartphone (ad esempio Google Authenticator,, DUO Mobile o Authy) o un Authenticator apparecchio sico. Se questa opzione fosse disponibile, sarebbe un’ottima idea utilizzarla. Non utilizzate Flash: Flash è storicamente uno dei software più meno sicuri che sia s ia mai stato 11

VERSIONE 1.1


Dos & Don’ts

12

VERSIONE 1.1


Dos Do – Utilizzate un antivirus: sì, questa l’a-

Do – Utilizzate una VPN: le Virtual Private

vevate già sentita. Gli antivirus sono, ironi Network (reti di telecomunicaz telec omunicazione ione private) pr ivate) camente, pieni di buchi di sicurezza. Se non sono un canale sicuro tra il vostro computer siete persone a rischio di essere prese di mira e la rete internet. Se utilizzate una VPN, da hacker di livello avanzato, averne uno è vi collegate prima ad essa e poi alla rete una buona idea. Un antivirus però non è una internet nella sua interezza, aggiungendo uno panacea, e nel 2018 20 18 vi servirà se rvirà qualcosa in più strato di sicurezza e di privacy privacy.. Se state utiliz per essere ess ere al sicuro. Inoltre gli antivirus, anti virus, per zando internet in uno spazio pubblico, mettiadenizione, sono estremamente invasivi: mo da Starbucks, in aeroporto o in un Airbnb, devono cercare a fondo nel vostro computer lo state condividendo con persone che non per essere ess ere in grado di identic identicare are i malware malware.. conoscete. E se un hacker fosse sul vostro La conseguenza è che, per esempio, il gover- stesso network, potrebbe creare problemi alla no degli Stati Uniti ha accusato Kaspersky vostra connessione e potenzialmente al vostro Lab di aver passato al governo russo dei docomputer. Vale la pena fare qualche ricerca cumenti sensibili di proprietà di uno dei suoi sulle VPN prima di sceglierne una, perché clienti. alcune sono di gran lunga migliori di altre (la maggior parte di quelle gratuite non sono Do – Utilizzate dei plugin per la sicurezza: infallibili nel proteggere la privacy). Consia volte, ad un hacker basta farvi arrivare su gliamo Freedome, Private Internet Access o, un sito pieno di malware per prendere il con- se siete utenti competenti, Algo. trollo del vostro computer. Per proteggervi gli AdBlocker,, che proteggono dai malware che Do – Disabilitate le macro: gli hacker posAdBlocker sono incorporati nelle pubblicità presenti nei sono utilizzare le macro di Microsoft OfOf siti più loschi o, a volte, anche nei siti legitti- ce contenute all’interno dei documenti per mi. introdurre malware nel vostro computer. È un vecchio trucco, ma è tornato in voga per Un altro plugin utile è HTTPS Everywhere, diffondere ransomware. Disabilitatele! che forza il criptaggio della vostra connessione (quando il sito lo supporta). Questo non vi Do – Eseguite il backup dei le: questa non è salverà se il sito che state visitando nasconde certo una novità, ma se temete che gli hacker un malware ma, in alcuni casi, vi aiuterà a distruggano o blocchino i vostri le (ad esem impedire che gli hacker vi reindirizzino su pio con dei d ei ransomware rans omware), ), allora allo ra dovete dove te farne far ne una falsa versione di quel sito, e in generale un backup. Possibilmente fatelo su un hard vi proteggerà da quegli hacker che tentano disk esterno mentre non siete connessi alla di interferire con la vostra connessione, ripor- rete: così, anche se ci fossero dei ransomwatandovi su quella valida. re, il backup non verrebbe infettato. 13

VERSIONE 1.1


Don’ts utili zzate Flash, F lash, è uno dei Don’t – Non utilizzate

software meno sicuri di sempre. Gli hacker lo adorano perché ha più buchi del groviera. La buona notizia è che molti siti ne hanno abbandonato l’utilizzo, quindi non ne avrete più realmente rea lmente bisogno. b isogno. Prende Prendete te in considera co nsidera-zione l’idea di eliminarlo dal vostro computer, o almeno di cambiare le impostazioni del browser in modo da dover cliccar cliccaree ogni volta vo lta per avviarlo. avv iarlo. Don’t – Non esponetevi troppo senza una

ragione: alle persone piace condividere le proprie vite sui social. Ma vi supplichi s upplichiamo, amo, evitate di twittare foto della vostra carta di credito o della carta di imbarco del vostro volo, ad esempio. Più in generale, un post su un social media è rivolto a chiunque in rete si prenda la briga di controllare contr ollare il vostro vost ro prolo, pro lo, anche se si trattasse solo di capire il vostro indirizzo di casa tramite i percorsi segnati su un sito come Strava, il social network per corridori cor ridori e ciclisti. ciclis ti.

Don’t – Non aprite allegati senza precauzio-

ni: per decenni i cybercriminali hanno nascosto malware all’interno di allegati come Word Word o PDF. PDF. Gli antivirus a volte bloccano queste minacce, ma è sempre meglio utilizzare il buon senso: sen so: non aprite allegati (e non cliccate su link) di fonti non note o che non state aspettando. E se proprio volete farlo, ricorrete r icorrete ad alcune precauzioni come aprire gli allegati all’interno di Chrome (senza scaricare i le). Ancora meglio sarebbe salvare il le su GoGo ogle Drive per poi aprirlo al suo interno, così il le viene aperto da Google e non dal vostro computer.

Informazioni personali come il vostro indirizzo di casa o la vostra scuola possono essere utilizzate per trovare ulteriori informazioni attraverso schemi di ingegneria sociale. Più informazioni personali un hacker possiede, più è probabile che riesca ad accedere a uno dei vostri account. Tenendo Tenendo a mente queste cose, magari prendete in considerazione l’idea di modicare le impostazioni sulla privacy anche su s u alcuni dei vostri vost ri account. acco unt.

14

VERSIONE 1.1


La Mobile Security

15

VERSIONE 1.1


La Mobile Security

Adesso viviamo in un mondo dove gli smartphone sono diventati i nostri principali ap parecchi informatici. Non solo solo utilizziamo i cellulari più dei computer ssi, ma li abbiamo con noi praticamente tutto il giorno. È scontato, dunque, che gli hacker concentrino sempre più su di essi i loro attacchi.La attacchi.La buona notizia notizia è che esistono alcuni semplici passi e precauzioni da seguire per minimizzare i rischi. r ischi. Ecco quali sono. Il Threat Modeling (per gli smartphone)

La maggior parte delle persone usa codici di accesso, password o pattern per “bloccare” il proprio telefono. Se non lo lo fate anche voi, dovreste assolutamente! (anche se, secondo uno studio recente, i pattern sono meno sicuri e più facili da indovinare rispetto ai PIN o ai codici di accesso).

Una delle più grandi minacce per i telefoni è che qualcuno abbia accesso sico al vostro cellulare e che possa sbloccarlo. Questo signica che la vostra sicurezza corrisponde al vostro codice di accesso: possibilmente, evitate di rivelare il vostro PIN o la password, ed evitate di utilizzare codici di accesso facilmente prevedibili come la data del vostro compleanno. Perno i codici di accesso più semplici sono un buon modo per fermare i borseggiatori o ladruncoli di strada, ma non sono così efcaci se quello che vi preoccupa è un partner scorretto che conosce il vostro PIN, ad esempio. Tenendo a mente queste cose, ecco alcuni semplici passi da seguire per prevenire altre minacce comuni per il vostro telefono.

16

VERSIONE 1.1

iPhone vs Android

Più o meno tutti nel mondo della cybersicurezza — eccetto forse gli ingegneri che lavorano per Android — ritengono che gli iPhone siano i cellulari più sicuri che si possano avere. Ci sono diverse ragioni, ma le principali sono che iOS, il sistema operativo della Apple, è estremamente protetto. Le app sono sottoposte a controlli approfondito prima di nire nell’App Store e vengono sempre testa te attraverso minuziose misure di sicurezza. Ad esempio, ogni codice viene approvato e rmato digitalmente dalla Apple (una proceproce dura che prende il nome di code-signing) e vengono applicate limitazioni nelle interazioni tra le app (sandboxing). (sandboxing). Queste caratteristiche caratteristiche fanno sì che, per gli hacker, attaccare il sistema operativo risulti davvero difcile. Dato che Apple Apple controlla l’infrastruttura iOS, mette a disposizione per gli iPhone aggiornamenti e patch istantanei; importanti importanti upgrade per la sicurezza di molti m olti apparecchi Android possono richiedere settimane o mesi per essere messi a disposizione dei clienti. Perno l’iPhone 5S, che è stato lanciato nel 2013, continua a godere di questi beneci. Quindi, se siete tipi paranoici, l’iPhone è il cellulare precongurato più sicuro. Ma, a meno che non abbiate una buona ragione per farlo, NON fate il jailbreak. Anche se il jailbreak e gli hacker che lo hanno sviluppato hanno contribuito a rendere l’iPhone più sicuro, oggi farlo sul proprio telefono signica rinunciare a gran parte delle caratteristiche che rendono iPhone sicuro. In passato, hacker sono riusciti a prendere di mira su larga scala solo iPhone sui quali era stato effettuato un jailbreak.


trebbero esserne in possesso. A parte questo, procuratevi un iPhone, installate gli aggiornaaggiornamenti, non fate il jailbreak e molto probabilmente non correrete alcun rischio. Ma io adoro Android!

Android è diventato il sistema operativo più diffuso al mondo grazie alla sua natura decentralizzata e open-source, e al fatto che molti telefoni sono disponibili a prezzi parecchio inferiori rispetto agli iPhone. In qualche modo, questa natura open-source è stato il peccato originale di Android: Google ha rinunciato al controllo, e perciò alla sicurezza, per acquisire una fetta di mercato. In I n questo modo, gli aggiornamenti di sicurezza essenziali sono a carico dell’azienda produttrice e delle compagnie telefoniche che sono sempre molto lente nel rilasciarli. La buona notizia è che negli ultimi due anni le cose sono migliorate molto. Google ha spinto i suoi partner a fornire ai clienti aggiornamenti mensili, e i dispositivi marchiati Google assicurano un supporto che ha pressoché la stessa regolarità che fornisce Apple ai propri iPhone e anche alcune delle stesse caratteristiche di sicurezza. Quindi la cosa migliore è scegliere uno smartphone Pixel o Nexus, la cui sicurezza dipende esclusivamente da Google.

Qualsiasi telefono Android abbiate, fate attenzione alle app che installate. Generalmente gli hacker riescono a introdurre applicazioni dannose su Play Store con molta facilità, quindi pensateci due volte prima di installare una app poco conosciuta, oppure controllate che la app che state scaricando sia davvero quella Non c’è niente che non non possa essere hackerato, che volete. La scorsa primavera una versione comunque. È risaputo che alcuni governi difalsa di WhatsApp è stata installata da più di spongono di strumenti per l’hacking del valore un milione di utenti Android. Inoltre, rimanedi milioni di dollari per attaccare gli iPhone, te fedeli a Play Store ed evitate di scaricare e e forse anche alcuni sosticati criminali po installare applicazioni da store di terze parti 17

VERSIONE 1.1

che potrebbero benissimo rivelarsi pericolose. Sulla maggior parte dei telefoni Android Android non è abilitata di default l’opzione di installare app di terze parti, e sarebbe meglio che questa preferenza rimanesse invariata. Per proteggere i dati sul vostro telefono Android, assicuratevi che sia abilitata la crittograa dell’intero disco. Se non lo avete già fatto, aprite le Impostazioni, andate su “Sicurezza” e cliccate su “Esegui crittograa telefono”. (Se non ci riuscite, cercate su Google come attivarla sul vostro modello di telefono.)


In qualità di consumatori, non potete controllare se la vostra compagnia telefonica lascia dei bug che gli hacker possono sfruttare. Ma potete complicargli la vita nel momento in cui tentano di spacciarsi per voi con gli ingenui dipendenti del supporto tecnico. La soluzione è semplice, anche se non sono in tanti a conoscerla: un codice di sicurezza o una password secondari da fornire quando si chiama il proprio gestore telefonico.

Inne, anche se non è obbligatorio, sarebbe una buona idea installare un antivirus per telefono cellulare come Lookout o Zips. Probabilmente non fermeranno gli hacker del governo, ma possono risultare efcaci contro i malware più comuni. Bloccate quella Sim Card

Sul nostro sito, abbiamo recentemente raccontato di come alcuni hacker abbiano sfruttato un virus su un sito della T-Mobile T-Mobile per entrare in possesso dei dati personali dei clienti nel tententativo di raccogliere informazioni che avreb bero poi potuto utilizzare utilizzare per impersonare le vittime e, sfruttando le loro abilità nel campo dell’ingegneria sociale, convincere i componenti dello staff per il supporto di T-Mobile a emettere nuove schede SIM. Questo tipo di attacco, noto come “SIM swap”, permette agli hacker di acquisire il vostro numero di telefono e di conseguenza di tutto ciò che è ad esso connesso. Il furto di SIM è ciò che rende l’autenticazione a due fattori tramite SMS così pericolosa. Il vostro numero di telefono, probabilmente, è la strada che porta a molti altri elementi, forse ancora più sensibili, della vostra vita digitale: la vostra email, il vostro conto in banca, i vostri backup su iCloud.

18

VERSIONE 1.1


La guida di Motherboard alla privacy, alla messaggistica e alla sorveglian sorveglianza za A seguito dell’11 dell’11 Settembre, gli Stati Uniti Ricordate, l’anti-sorveglianza non è la cura, hanno costruito un forte apparato di sorveè solo una contromisura che potete prendere glianza, indebolito le garanzie costituzionali per proteggere voi stessi e gli gli altri. Probabile limitato il possibile ricorso al sistema legale. mente non sarete le persone più a rischio, ma questo non signica che non dobbiate prendere Dati gli enormi poteri della sorveglianza di misure di sicurezza adeguate. La sorveglianstato negli Stati Uniti — come del resto quelquel- za è una questione delicata: potete cercare la dei dei governi governi di tutto il mondo mondo — può capicapi- di prendere più provvedimenti possibili per tare di sentirsi un po’ paranoici. Non solo la proteggervi ma, se mandate messaggi messaggi a qual NSA, perno la polizia locale locale ha più strumenti cuno che non lo fa, potreste comunque essere a disposizione per ccare il naso negli affari spiati attraverso i loro dispositivi o tramite le delle persone più di quanto abbia mai fatto. loro conversazioni con altre persone (se questi C’è da temere anche una terricante terr icante quantiquanti riportassero informazioni che gli avete riferito, tà di sorveglianza passiva e imprevedibile: i ad esempio). vostri account social possono essere citati in giudizio, le vostre telefonate o le vostre mail Ecco perché è importante che le pratiche per potrebbero venir prese in esame per più ampi la buona sicurezza diventino una norma: se ni di indagine, e i metadati dei vostri telefo telefo-- non avete niente da temere, è ancora più imni potrebbero essere acquisiti da alcuni IMSI portante che utilizziate utilizziate alcuni di questi strustruCatcher o Stingray che avevano un altro bersa- menti perché, così facendo, mettereste al sicuglio. ro le azioni dei vostri amici che, per esempio, potrebbero essere immigrati senza documenti documenti 19

VERSIONE 1.1

o attivisti. Il direttore della CIA scelto da Trump pensa che usare la crittograa possa essere un’ammissione di colpevolezza. Se non si ha “niente da nascondere”, l’uso della crittograa può, in realtà, beneciare beneciare persone che vogliovoglio no celare qualcosa. Seguendo questa guida renderete qualcun altro più sicuro. Pensatela come una sorta di immunità collettiva. Più le persone praticano buone buone norme di sicurezza, più tutti gli altri altri saranno al sicuro. I suggerimenti forniti precedentemente sono sempre validi: più ci si tiene alla larga dagli attacchi hacker, meno si rischierà rischierà di essere sorvegliati (quando si tratta di sorvegliare un iPhone, ad esempio, i governi hanno spesso poche opzioni oltre oltre quella di hackerare il didispositivo). Ma gli strumenti di alta tecnologia non risolvono tutti i problemi. I governi hanno nelle mani un’arma che gli hacker criminali non hanno: il potere della legge. Molti suggerimenti in questa sezione della guida vi aiuteranno non solo contro le richieste giuridiche e gli attacchi hacker governativi, ma anche contro chiunque voglia cercare di spiarvi.


mature che variano in ogni circostanza. Per alcune persone è facile dire “usate Signal, usate Tor” Tor” e chiudere la faccenda, ma in realtà non vale per tutti la stessa cosa. Ad esempio, conosco una persona che raccontava agli amici degli abusi del suo ex-partner tramite la chat del gioco Words Words With Friends perché sapeva che lui leggeva i suoi SMS e le sue chat di Google. Words With Friends non ha un sistema di messaggistica particolarmente sicuro ma, in questo caso, è stata una scelta migliore di Signal o Hangouts perché a lui non veniva in mente di leggere quella chat. Quando si parla di soggetti governativi, potrebbe risultare utile valutare la sorveglianza sotto due aspetti differenti: la sorveglianza dei metadati (chi siete, con chi parlate, quando lo fate) e quella dei contenuti (di cosa state parlando). Come in tutte le cose, quando si scava un po’ più a fondo, non è così semplice come sembra. Ma se è la prima volta che ci pensate, questo è sicuramente un buon punto di partenza.

Non dovete diventare diventare degli esperti di sicurezza. Iniziate solo a pensare ai vostri rischi e non lasciatevi intimidire dalla tecnologia. La sicurezza è un continuo processo di apprendimento. Le minacce e gli strumenti sviluppati per metterle in atto cambiano cambiano continuamente, ragione per cui spesso i consigli sulla privacy e la sicurezza possono sembrare mutevoli e contraddittori. Ma i suggerimenti che seguono sono un buon punto di partenza.

La legge sulla sorveglianza è complicata ma, per farla breve, sia la legge che che l’attuale infrastruttura tecnologica rendono più semplice entrare in possesso dei metadati piuttosto che dei contenuti. I metadati non sono necessariamente meno importanti o meno eloquenti rispetto al dati veri e propri. Mettiamo che abbiate ricevuto una telefonata da un’associazione antiabortista. Voi chiamate il vostro partner, la vostra compagnia assicurativa assicurativa (se ce l’avete), inne vi rivolgete alla clinica per Threat Modeling (per privacy l’aborto. Queste informazioni verranno riportate sul vostro registro telefonico e la vostra e sorveglianza) Ricordatevi che nuovi strumenti sollevano compagnia potrebbe tranquillamente cederle nuovi problemi. Senza threat modeling è facile al governo. sentirsi schiacciati dalla quantità di strumenti Il vostro provider potrebbe non aver registrato in circolazione. Il threat modeling per la sorle telefonate, il contenuto è ancora privato. veglianza è simile al threat modeling per gli Ma a questo punto non serve, anche con i soli attacchi hacker ma, ovviamente, ci sono sfumetadati sarebbe semplice farsi un’idea plausi20

VERSIONE 1.1

bile del contenuto delle conversazioni. Iniziate a pensare a cosa è aperto ed esposto, e a quello che potete proteggere. A volte dovrete accettare che c’è ben poco da fare riguardo a un determinato canale di comunicazione. Se la situazione è drammatica non resta r esta che tentare di aggirarla.


con gli altri redattori. Queste sono tutte ottime funzionalità, e sono alcune delle ragioni per cui consigliamo Signal tra le tante altre app di messaggistica end-toend. Anche Anche iMessage e WhatsApp lo sono, ma hanno entrambe lati negativi.

Sconsigliamo WhatsApp perchè è di proprietà Signal di Facebook e condivide le informazioni Signal è un servizio di messaggistica criptato dell’utente con l’azienda madre. Anche se si per smartphone smartphone e computer computer desktop. desktop. È per mol- tratta solo di metadati, è in denitiva una pro ti — ma non per tutti — un buon modo di evi- messa che Facebook aveva fatto quando ha actare la sorveglianza. Visto che il governo ha la quistato WhatsApp ma che non ha mantenuto. possibilità possibili tà di intercettare intercettare i messaggi elettroni elettronici ci Pensiamo che questo la dica lunga sull’attenmentre vengono trasmessi, il vostro obiettivo dibilità dell’azienda al giorno d’oggi. Al moè quello di utilizzare un sistema di crittograa mento Facebook sta discutendo e provvedendo end-to-end per più comunicazioni possibili. a limitare o cessare del tutto la condivisione di dati tra le due piattaforme. Utilizzare Signal è semplice. Potete trovarlo e installarlo dallo store del vostro telefono Che Apple Apple codichi i messaggi end-to-end (sull’App Store di iOS e sul Play Store di è una cosa molto positiva. Ma iMessage, Google si chiama Signal Private Messenger di default, effettua un backup dei messaggi ed è sviluppato da Open Whisper Systems). su iCloud, grazie al quale potete inviarli tramite tutti i vostri dispositivi Apple. Apple. Questa è Se avete il numero di telefono dell’altra perso- una funzione comoda e piacevole ma, se siete na nella vostra lista dei contatti potrete vederli preoccupati dalla sorveglianza sorveglianza governativa, su Signal e inviare loro messaggi o chiamarli. ricordate che Apple adempie alle richieste Se anche l’altra persona ha Signal i messaggi legali del governo sui dati presenti nel vostro verranno automaticamente criptati e tutto risul- iCloud: “Per tua comodità facciamo un backup terà invisibile. su iCloud dei tuoi iMessage e SMS”, recita la pagina riguardante la privacy sul sito di Apple. Esiste anche un’applicazione desktop, quindi Puoi disattivare questa funzione, ma in teoria potete utilizzarl utilizzarloo allo stesso stesso modo in in cui gli gli Apple potrebbe essere costretta ad accedere utenti iOS/Mac OS utilizzano iMessage sul agli iMessage che avete mandato alle persone loro telefono o sul loro computer. Andate sul che hanno ancora questa funzione abilitata. sito Signal.org e scaricate l’app per il sistema operativo che preferite. Basta seguire le istruSignal trattiene davvero poche informazioni. zioni, è molto semplice e intuitivo. Lo sappiamo perché Open Whisper Systems è stato citato in giudizio dal governo lo scorso Signal vi permette di impostare un timer per anno ed è stato costretto a cedere informazioi messaggi in modo che si cancellino tutti auto- ni. Le informazioni che avevano erano, però, maticamente. L’intervallo di tempo può variare volutamente minime. Signal memorizza il nued essere anche molto breve. Questa è una fun- mero di telefono, la data di creazione dell’aczione molto utile per i giornalisti che vogliono count e l’ora dell’ultima connessione ai server proteggere protegge re le loro fonti o le le loro conversazion conversazionii di Signal. Sì, è comunque qualcosa, ma non 21

VERSIONE 1.1

poi molto. Ci sono applicazioni che sono meno sicure anche di iMessage e WhatsApp. W hatsApp. Ad esempio, dovreste assolutamente evitare di utilizzare Telegram per comunicazioni sensibili. E Google può leggere i vostri Hangout Hangout a meno che non prendiate ulteriori provvedimenti provvedimenti per attivare una codica end-to-end. Ci sono molti altri prodotti sul mercato che costituiscono costituiscono una valida alternativa (Wire, ad esempio) ma, come WhatsApp e iMessage, sono creati e sovvenzionati da aziende a scopo di lucro e non si può mai sapere come decideranno decideranno di monetizzare in futuro. Signal è un progetto no-prot e open source. Ha i suoi difetti (ad esempio non è pratico quanto iMessage e non ha il lusso di avere un vasto team di sicurezza alle spalle) quindi si potrebbe pensare di donare qualcosa una volta che si decide di scaricarlo. Una cosa che vale la pena menzionare è che Signal richiede di associare il dispositivo a un numero di telefono. Questo signica che dove te darvi a lasciare il vostro numero di telefotelefo no alle persone con cui messaggiate (oppure dovrete fare i salti mortali per usare Signal con un numero di telefono fasullo); ci sono s ono molte ragioni per le quali potreste voler scrivere a persone senza dar loro il vostro numero e questo è uno dei potenziali svantaggi di Signal. Se per voi questo è un problema, prendete in considerazione un’altra opzione. Un’altra cosa da tenere a mente è che anche se una comunicazione è codicata end-to-end non signica che il governo non possa vederla. Signica solamente che i suoi contenuti sono criptati nel percorso da un’estremità all’altra. Voi potete vedere il messaggio, il vostro destinatario può vedere il messaggio. Se viene intercettato durante il trasferimento è completamente alterato e il suo contenuto è protetto dagli occhi di una spia. Ma se una “estremità” è compromessa —


in altre parole se il vostro telefono viene hackerato o sicamente conscato dal gover no, o se la persona a cui scrivete fa uno screenshot della vostra conversazione — il gioco è nito. La crittograa non impedisce al governo di curiosare, lo rende solo più difcile. Il punto è che introdurre incognite nell’equazione aiuta ad aumentare il livello di privacy. Social Media

Se postate pubblicamente sui social, tenete presentee che la polizia present polizia locale locale (e non solo) tiene tiene sotto controllo gli attivisti online. Ad esempio Facebook, Instagram e Twitter Twitter hanno tutti fornito dati a prodotti di monitoraggio sui social che i dipartimenti di polizia hanno usato per rintracciare gli attivisti di Black Lives Matter. Anche se modicate le impostazioni per blinda re la vostra privacy, le aziende di social media sono soggette a citazioni in giudizio, ordini della corte e richieste di dati per ottenere informazioni. E spesso smollano le informazioni senza nemmeno noticare l’utente. Per quanto riguarda i social media, dovete pensare che tutto quello che postate è pubblico. Questo non signica che dovete smettere di utilizzarli, si gnica soltanto che dovete essere consapevoli. Se siete attivisti, prendete in considerazione l’idea di usare uno pseudonimo. Se non postate mai niente in rete, prendete comunque qualche altra misura di sicurezza. Chi taggate nei vostri post? Aggiungete informazioni sulla posizione? Chi fotografate e perché? Prestate particolare attenzione alle foto o ai post sulle proteste, le manifestazioni o gli incontri. La tecnologia di riconoscimento facciale è ormai piuttosto sosticata quindi, anche se non taggate nessuno, teoricamente un algoritmo potrebbe potreb be esaminare esaminare ed ed identicare identicare gli attivist attivistii nella fotograa di una manifestazione. Questa 22

VERSIONE 1.1

funzionalità è già in atto nei suggerimenti di tag su Facebook.Quando Facebook.Quando scattate la foto di qualcuno durante una protesta assicuratevi che loro diano il consenso e conoscano le implicazioni di avere una loro foto in rete. Le Telecamere e i Microfoni


confronti del governo, altrimenti avrebbero pubblicato il lmato. (Ismayilova è uscita allo scoperto e il video è stato postato in rete). Nel 2015 il governo governo azero l’ha condannata a sette anni e mezzo di reclusione per evasione scale. Attualmente Attualmente è stata rilasciata in regime di libertà vigilata.

Vivete attorno a delle telecamere? Se in casa vostra utilizzate telecamere di sicurezza conI governi hanno utilizzato l’arma sessuale nesse alla rete o avete una webcam, adottate per ricattare i dissidenti fuori fuori e dentro i conni alcune misure di sicurezza. Controllate di aver del loro stato. Siatene consapevoli e proteggete cambiato ogni password di default che era sta- la vostra privacy. ta impostata quando vi sono state spedite e copritele quando non le utilizzate. Bloccate lo schermo Mettete una password o un codice di sicurezza Se avete un laptop o uno smartphone usate uno sul vostro telefono e sul vostro computer. sticker per coprire la telecamera frontale. fr ontale. Non Non fate afdamento solo sull’impronta sull’impronta digidigi dovete smettere di usare Facetime o di farvi tale. È più probabile che la polizia possa obsele, basta oscurare la visuale così che nessunessu - bligarvi legalmente a utilizzare utilizzare l’impronta per no possa vedere quando voi non lo desiderate. sbloccare il vostro telefono. Potreste avere più La Electronic Frontier Foundation vende ade- possibilità di esercitare il vostro diritto di non sivi oscuranti removibili per laptop (5 a 5 dol dol-- rivelare la password. lari) che non lasciano alcun segno sulla vostra telecamera in modo che possiate applicarli e Usate OTR per chattare (se doveta) toglietrli ogni volta. Prendete in considerazio- La scelta migliore per chattare con le persone ne l’idea di comprarne un po’ e magari anche tramite computer desktop è Signal. Ma esiste di regalarne qualcuno ai vostri amici. un’altra valida opzione che risulta particolarmente utile per i giornalisti. Inne, non esiste un modo per essere complecomple tamente certi che il vostro microfono non stia Per chattare, chiudete la vostra nestra Gmail registrando. Se vi preoccupa essere intercettati, e utilizzate OTR (Off The Record). Tenete valutate l’idea di spegnere il vostro telefono e a mente che potete usare OTR solamente di metterlo nel microonde (temporaneamente, se anche l’altra persona lo fa. Gli utenti Mac a microonde spento) o di lasciarlo in un’altra possono installare Adium, chi ha il PC stanza. Spegnere semplicemente il telefono (o Linux) dovrà installare Pidgin e il plugin non vi assicura di essere fuori f uori pericolo. di OTR. E prendete in considerazione l’idea di lasciare tutti i vostri dispositivi fuori dalla camera da Potete usare il vostro account Gmail come ID ID letto quando avete un rapporto sessuale con della chat. In questo modo starete conversando il vostro partner. tramite Hangouts, ma con un ulteriore livello di codica. Aprite una nestra della chat Nel 2012 Khadija Ismayilova, una giornalista e cliccate sull’icona del lucchetto per far partiazera, è stata ricattata con un video hard lma lma-- re la procedura di criptaggio. E assicuratevi to di nascosto. L’estorsore chiese a Ismayilova di aver modicato le impostazioni in modo di smetterla di pubblicare articoli di critica nei tale da non conservare il registro delle conver23

VERSIONE 1.1

sazioni quando vi scambiate messaggi codicodi cati.Anche in questo caso la procedura end-toend funziona solo in quello spazio limitato. Se l’altra persona registra le vostre conversazioni, tutti questi sforzi potrebbero risultare inutili. Se questo vi preoccupa, chiedete ai vostri amici di non farlo. Il Browser TOR

Tor — che prende il suo suo nome nome dall’acronimo dall’acronimo di “The Onion Router” — codica il vostro trafco in rete smistandolo attraverso una serie di strati di server. In questo modo, se accedete a un sito web, risulta impossibile capire da dove vi state connettendo. Il modo più semplice per utilizzarlo è quello di installare il browser Tor. È come Firefox o Chrome ma molto più lento, visto la privacy che assicura. Usando Tor Tor si incrementa di gran lunga la propria privacy, privacy, ma risulterebbe alquanto scoscomodo. Non sperate, ad esempio, di guardare Netix su Tor Tor.. Fate una valutazione di ciò di cui avete bisogno e cercate di capire quanto potete servirvi di Tor. Ricordatevi sempre che, quando non lo utilizzate, il vostro indirizzo IP (che può rivelare dove siete e dunque chi potreste essere) è sempre alla luce del sole. Ci sono quattro ragioni che possono spingervi a usarlo: • State cercando di nascondere la vostra identità. •Utilizzate spesso reti Wi-Fi pubbliche. •State cercando di eludere la censura governativa. •Volete •V olete proteggere altre persone che usano Tor.


Se siete attivisti che cercano di nascondere la propria identità, avrete bisogno di Tor Tor per mascherare il vostro indirizzo IP. IP. Questo è uno dei casi per i quali non lo si utilizza molto. Sarebbe controproducente se io aprissi Tor, accedessi al mio prolo Twitter Twitter pubblico e tweettassi, “Salve a tutti, sto twittando dagli ufci di Vice di New York.” È come se rivelas si tutte le informazioni che Tor Tor sta mascheranm ascherando per me. Se vi collegate spesso a reti Wi-Fi pubbliche, invece, (pensate a Starbucks, a un hotel o agli aeroporti) dovreste utilizzare Tor Tor.. Fornisce beneci simili a quelli delle VPN, ma senza mol ti dei loro svantaggi (questo argomento verrà affrontato meglio nella prossima sezione). Se gli Stati Uniti iniziassero a censurare alcune aree del web come fanno molti altri governi, Tor potrebbe aiutarvi ad aggirare questa imposizione. Senz’altro Tor Tor aiuta le persone a connettersi da paesi che praticano censure in rete. Inne, il bello di Tor è che più persone lo usano, meno tracciabili sono anche tutti gli altri. Quando molte persone sparse per il mondo cominciano a utilizzarlo autonomamente, la protezione aumenta sempre di più. Se vi prendeste un po’ di tempo per utilizzare Tor ogni giorno, aiutereste le persone che ne hanno davvero bisogno. Ma facciamo qualche precisazione: Tor Tor non è inattaccabile. È risaputo che il governo ha hackerato gruppi di utenti su Tor, come è noto che abbia hackerato in modo massiccio utenti che utilizzavano delle VPN. Tor, di per sé, non elimina le possibilità di essere attaccati. È utile per la privacy, non per la sicurezza. Ed è progettato per rendere più difcile la vita a chi vuole registrare il vostro trafco, ma non per impedirlo, quindi c’è c’è sempre un rischio. I server che formano la rete Tor Tor — quelli sui quali rimbalza il vostro trafco — sono gege 24

VERSIONE 1.1

stiti da volontari, istituzioni e organizzazioni provenienti da tutto tutto il mondo, alcuni dei dei quali rischiano di imbattersi in problemi legali per questo. Non sono obbligati a registrare il traf co che passa attraverso di loro ma, visto che è una rete di volontari, alcuni potrebbero esserlo. Il rischio è mitigato dal fatto che ogni snodo vede solo una parte del trafco che lo attraattra versa e nessuno ha accesso allo stesso tempo all’IP dell’utente e al loro trafco codicato. Un malintenzionato dovrebbe gestire un vasto numero di snodi Tor per iniziare a registrare r egistrare una quantità signicativa di trafco — sforzo già di per sé complicato — ma il progetto Tor monitora costantemente alla ricerca di qualcuno che potrebbe tentare di farlo. Per difendersi della sorveglianza governativa, Tor è meglio di una VPN e una VPN è meglio di niente. Non è chiaro se Tor continuerà ad esistere, in futuro. Tor Tor funziona parzialmente grazie a sussidi governativi (come molte altre tecnologie all’avanguardia, Tor Tor è stato inizialmente sviluppato dall’esercito degli Stati Uniti). È possibile che molto presto perda la maggior parte della sua dotazione nanziaria. Valutate Valutate l’idea di fare una donazione al Tor Tor Project. Le Virtual Private Network

Quando si parla di sorveglianza governativa, le VPN non aiutano molto. Una VPN oscura il vostro indirizzo IP, ma se entra in gioco lo stato, le VPN possono venir citate in giudizio ed essere obbligate a fornire informazioni sull’utente che potrebbero poi aiutare a identicarvi. Ad esempio, molte compagnie VPN tengono traccia degli indirizzi IP che si connettono, quando e a quali siti si è effettuato l’accesso — tutte cose che alla ne possono portare a individuarvi, specialmente se avete usato la vostra carta di credito per pagare l’iscrizione alla VPN.


Alcune compagnie VPN sostengono di non registrare le informazioni dell’utente. Dovete valutare quanto vi date e prendere da soli questa decisione. Se quello che vi preoccupa è la sorveglianza dello stato, il nostro consiglio è quello di utilizzare Tor. PGP (probabilmente non ne vale la pena)

L’unico modo afdabile per criptare la vostra email è PGP — noto anche come come Pretty Good Privacy. Tuttavia PGP è molto scomodo da utilizzare. Lo stesso creatore, Phil Zimmermann, Zimmerm ann, ha smesso di usarlo, visto che non riesce a farlo funzionare sul suo telefono. Il problema è che non siete soltanto voi a dover capire come usarlo, ma anche tutti quelli con cui parlate. Dire a qualcuno di scaricare Signal è molto più semplice rispetto a spiegargli spiegargli nel dettaglio dettaglio come funziona la crittograa asimmetrica. Ecco dove può tornare utile il vostro threat modeling, per aiutarvi a capire se vale la pena utilizzare PGP. Server di Posta Elettronica Privati (non lo fate)

Se il 2016 ha avuto un merito, mer ito, è stato quello di convincere tutti a non utilizzare server di posta elettronica privati. È vero che Google e altre aziende devono rispettare gli ordini delle corti di giustizia riguardo alle vostre informazioni, incluse le vostre email, ma d’altra parte Google sa come gestire i server di posta elettronica molto meglio di voi. I server delle email sono complessi, provate a chiederlo a Hillary Clinton. Se state criptando l’email, Google può mettere le mani soltanto sui metadati (mittente, destinatario e oggetto del messaggio). Dato che criptare l’email è molto complicato, cercate di tenere i dati sensibili al di fuori della posta elettronica e di utilizzare al suo posto i canali criptati end-to-end. Non abbandonate i vostri account email di terze parti, ma siate consapevoli che il governo può averne accesso. 25

VERSIONE 1.1

Criptate il vostro Hard Disk

Buona notizia: non è più così difcile come lo era un tempo. La codica dell’intero disco comporta che una volta che il tuo dispositivo è bloccato (quando è spento spento o quando quando è acceso acceso con lo schermo bloccato), i contenuti del vostro disco rigido non sono accessibili senza la vostra password/chiave.


rebbe tutti gli iPhone in circolazione. Microsoft non fa la stessa cosa — in alcuni casi usa la pratica nota come “key escrow”, che permette di decodicare decodicare il vostro dispositivo dispositivo — dunque dovete prendere ulteriori precauzioni (specicate in questo articolo) per raggiungere lo stesso livello di protezione.

Potreste aver bisogno di far ricorso a VeraCrypt. Molte guide più datate vi diranno di Molti smartphone nascono già con la completa utilizzare TrueCrypt, a prescindere dal sistema codica del disco. Se possedete un iPhone con operativo. È un consiglio che adesso non è più un sistema operativo recentemente aggiornato valido. VeraCrypt era TrueCrypt e la storia (in realtà negli ultimi tre anni), metteteci sopra del perché non lo è più è una contorta critun codice di sicurezza e siete a posto. to-soap-opera con dei buchi nella trama della grandezza di Marte, e francamente al di fuori Se avete un telefono Android, potrebbe già dell’ambito di questa guida. Per farla breve, essere criptato di default (Google Pixel lo è). a quanto dicono gli esperti non c’è niente che Ma è probabile che non lo sia. Non esiste una non vada in VeraCrypt ma, se ne avete la possiguida aggiornata su come attivare la codica bilità, utilizzate utilizzate la la crittograa completa del del didi per tutti i dispositivi dispositivi Android, quindi, dovrete dovrete sco che vi fornisce il vostro sistema operativo. andare a curiosare in giro voi stessi oppure chiedere a un amico. E se avete un Windows Se usate Linux, il vostro disco ha sicuramente phone, che che Dio vi aiuti, aiuti, perché perché noi non possia- un sistema di crittograa già precongurato. mo. Seguite le istruzioni mentre lo installate. Per quanto riguarda i computer, di nuovo, Carte di Credito le cose sono diventate molto più semplici di Sappiate che le compagnie delle carte di crediquanto lo fossero in precedenza. Basta utilizza- to non scendono mai in campo contro il goverre l’opzione per la crittograa dell’intero disco no. Se pagate qualcosa utilizzando la vostra del vostro sistema operativo. Per i MacBook carta di credito, siate consapevoli che il goverche hanno installato Lion o un sistema più no può arrivare ad avere quell’informazione recente, attivate FileVault. piuttosto facilmente. E ricordate che, che, una volta volta che la vostra identità tocca qualcosa, si crea Per Windows, invece, risulta tutto più comuna pista che il governo può risalire no ad plicato. Innanzitutt Innanzitutto, o, alcuni utenti hanno hanno attiarrivarne a capo. vato un sistema di crittograa di default. Altri possono attivarlo, attivarlo, ma è abbastanza abbastanza difcile. E Ad esempio, se acquistate una gift card Visa se invece avete Microsoft Bitlocker, dovrete prepagata usando la vostra vostra carta di di credito trafcare con ulteriori impostazioni per renren personale e con quella quella pagate una una compagnia compagnia derlo più sicuro. La Apple non ha il potere di VPN, il governo può semplicemente seguire sbloccare i vostri dispositivi. Com’è noto, se il la pista a ritroso, trovare prima la vostra carta governo si rivolge alla Apple, la Apple non può e poi voi. Se pagate una compagnia VPN in prendere e decodicare decodicare ilil vostro telefono telefono per i Bitcoin, ma avete comprato i Bitcoin con la federali, se non elaborando un bug che colpivostra carta di credito personale, sarete ugual26

VERSIONE 1.1

mente rintracciabili. Questo è applicabile a qualsiasi altra cosa per la quale utilizziate del denaro, come comprare un dominio o un telefono economico prepagato, conosciuto anche come burner. In pratica, non è che si possa fare molto. Questo è il motivo per cui consigliamo Tor invece che un servizio VPN. Questa è anche una delle ragioni per le quali è così difcile procurarsi un burner che sia veravera mente un burner (Come pagherete per prolungare i servizi telefonici senza collegare a quel telefono il vostro nome?). Non c’è una risposta scontata. Non ngeremo di essere in grado di dare un buon consiglio in questa circostanza. Se vi trovate in una situazione nella quale la vostra vita dipende dal rimanere nell’anonimato, vi servirà molto di più di una qualsiasi guida in rete. Un ultima cosa: per adesso, ci sono s ono organizzazioni non governative che hanno il diritto costituzionale di astenersi dal rivelare il nome dei donatori. Ma la vostra carta di credito o PayPal potrebbero tradirvi ugualmente. Questo non signica che non dovreste fare dona dona-zioni alle organizzazioni che si oppongono agli abusi e che lottano per i diritti e le libertà civili. Piuttosto Piuttosto è ancora più importante che lo facciate. Più persone comuni lo fanno, più i singoli donatori sono protetti dallo sguardo indagatore e dal sospetto. Note Speciali per i Giornalisti

Volete proteggere le vostre fonti? I vostri appunti, le vostre chat su Slack, i vostri Hangouts, il vostro Google Drive, Dropbox, le interviste che avete registrato, le trascrizioni e i vostri messaggi potrebbero tutti nire in tribunale. A seconda del caso giudiziario, potrebbe non importare se questi questi siano criptati o meno.


Non aspettate l’imminenza di una causa per cancellare tutte le vostre cose. Potrebbero essere illegali e potreste rischiare di nire in prigione. Ogni situazione situazione è diversa: i vostri apap punti potrebbero risultare risultare necessari per scagionarvi. Quindi se siete dei tipi che accumulano gli appunti in modo compulsivo, informatevi sui rischi, parlate con un avvocato e comportatevi responsabilmente. Il Futuro (?)

Questo ci porta al nostro prossimo punto: non sappiamo cosa ha in serbo il futuro. Questa guida è stata scritta tenendo a mente le attuali potenzialità tecniche tecniche e legali del governo governo degli Stati Uniti. Ma tutto questo in futuro potrebbe cambiare. Una crittograa solida potrebbe didi ventare illegale. I paesi in cui viviamo potreb bero iniziare a mettere in pratica pratica una censura in rete allo stesso modo della Cina e di altre nazioni. Il governo potrebbe istituire una politica sui codici di identicazione per connetter si alla rete, rendendo praticamente impossibile postare nell’anonimato. Queste cose sono più difcili da attuare e rendere effettive, quindi è improbabile che si verichino nel breve termine. Non è impossi bile che il governo faccia pressione sugli app store per togliere Signal e altre applicazioni di crittograa end-to-end. Questa guida potrebbe essere valida solo no ad allora. Ecco un momo tivo in più per agire immediatamente contro la sorveglianza e per continuare ad adattarsi alle circostanze che si verranno a creare. Disconnettetevi

In molti luoghi pubblici ci sono telecamere, alcuni posti sono pieni di microfoni. E c’è sempre la possibilità che possiate essere presi di mira per essere sorvegliati. Ma, in ultima analisi, è molto più difcile sorvegliare qual cuno di specico dal vivo piuttosto che racco gliere le comunicazioni elettroniche di molte 27

VERSIONE 1.1


persone allo stesso tempo. Prendetevi una pausa dal mondo in rete e incontrate gli altri di persona. Se rimanete fuori dalla portata dell’orecchio non verrete spiati e le vostre parole svaniranno nell’aria, senza essere sorvegliate o registrate.

umani che lavorano in una nazione ad alto rischio o in una zona di conitto o un’organiz un’organiz-zazione che costruisce infrastrutture informatiche in tempi ristretti, tutto questo non sarà certo abbastanza e dovrete prendere ulteriori precauzioni.

Oltretutto, se state leggendo questa guida, è probabile che a questo punto abbiate proprio bisogno di un abbraccio. abbraccio.

Ma questi sono suggerimenti base che seguono il buonsenso e che tutti dovrebbero conoscere. Ovviamente alcuni lettori non esiteranno a far notare tutto quello che questa guida si è dimenticata di dire, ma noi saremmo contenti di avere il vostro feedback. La sicurezza è un mondo in costante evoluzione e quello che oggi è un buon consiglio potrebbe non esserlo più domani, quindi il nostro obiettivo è quello di aggiornare questa guida piuttosto regolarmente e dunque, per favore, non esitate a contattarci se pensate che manchi qualcosa o che ci sia qualche errore.

Quindi incontratevi con gli amici, vericate le vostre chiavi di Signal e scambiatevi un bell’abbraccio. Perché probabilmente probabilmente sarete entrambi spaventati e avrete bisogno l’uno dell’altro, più di quanto possiate aver bisogno di queste tecnologie. Andate e siate prudenti

Per adesso è tutto. Di nuovo, questa voleva essere una semplice guida per utenti di mem edio livello. Quindi se siete attivisti per i diritti

E ricordate, prestate sempre attenzione!

28

VERSIONE 1.1


E ricordate, prestate sempre attenzione! Per ora è tutto. Di nuovo, questa è una guida basilare pensata per l’utente medio. Quindi se siete attivisti che lavorano in zone pericolose o di guerra, o lavorate per un’organizzazione che costruisce infrastrutture IT, questi consigli non sono abbastanza. Ovviamente, alcuni lettori noteranno la mancanza di qualcosa, e ci piacerebbe che ce lo segnalassero. Il mondo della sicurezza è in costante cambiamento, e dei buoni consigli validi oggi potrebbero non esserlo domani. Il nostro obiettivo, comunque, è aggiornare questa guida periodicamente. Quindi se avete dei suggerimenti contattateci all’indirizzo [email protected]. E ricordate: state sempre attenti!

29

VERSIONE 1.1


Glossario di Hacking e CyberParole

30

VERSIONE 1.1


Attribuzione: È il processo per stabilire chi

Cracking: Un termine generale che indica l’at-

Black hat: Un hacker che mira al proprio

Certicato Digitale: È un passaporto digitale

è l’autore di un hack. Spesso, l’attribuzione to di entrare in un sistema di sicurezza, spesso è la parte più difcile dell’indagine perché gli per ni malvagi. Secondo ilil New Hacker’s hacker con una certa esperienza si nascondono Dictionary pubblicato da MIT Press, le parole dietro strati di servizi che mascherano la loro “hacking” e “hacker” sono abbreviazioni delle collocazione e la loro identità. Molti incidenti parole “cracking” e “crack”. Ma gli hacker potrebbero non avere mai un’attribuzione. un’attribuzione. non sono per forza cattivi, i cracker sì. Inoltre, la parola cracking si usa anche per indicare Backdoor: Entrare in un sistema protetto una violazione del copyright e in molti altri usando una password è come sfondare la porta contesti senza necessariamente una connota principale. Alcune aziende potrebbero potrebbero cozione negativa. struire delle “backdoor” nei loro sistemi per permettere agli sviluppatori sviluppatori di saltare l’auten- Crypto: Abbreviazio Abbreviazione ne di crittograa, la scienscien ticazione e entrarci direttamente. Le backdoor backdoor,, za della comunicazione segreta o l’insieme di solito, sono segrete ma potrebbero essere delle procedure per nascondere i dati e i mesviolate dagli hacker se vengono scoperte. saggi attraverso la criptazione (vedi voce). tornaconto personale o che si dedica ad attività illecite. Contrariamente al white hat (vedi voce), che di solito lavora per mettere in guardia le aziende e migliorare i servizi, s ervizi, il black hat vende le vulnerabilità che scopre agli altri hacker per permettere loro di utilizzarle.

o un timbro di approvazione che attesta l’identità di una persona, un sito o un servizio su internet. In termini più tecnici, un certicato digitale prova che qualcuno è in possesso di una certa chiave crittograca che, tradizionaltradizional mente, non può essere contraffatta. I certicati Botnet: Il tuo computer fa parte di una botnet? digitali più comuni sono quelli dei siti a connessione criptata che sul browser appaiono Forse sì, ma non lo sai. Le botnet, o armate zombie, sono network di computer controllati come un lucchetto verde. da qualcuno. Il controllo su centinaia o migliaCriptazione: Il processo di codicare dati ia di computer permette di mettere in atto alo messaggi rendendoli illeggibili e segreti. cuni tipi di cyberattacchi, come i DDoS (vedi voce). Comprare migliaia di computer non sa- L’opposto è decrittazione, il decodicare il rebbe economico, quindi gli hacker utilizzano messaggio. Sia la crittazione che la decrittazione sono funzioni della crittograa. La crit i malware per infettare dei computer random connessi alla rete. Se il tuo computer è infetta- tazione è usata da individui, aziende e nella sicurezza digitale come prodotto di consumo. to, potrebbe seguire i comandi dell’hacker in background. Criptazione End-to-end: Un particolare tipo di criptazione dove un messaggio o dei dati Bug: Probabilmente ne hai sentito parlare. vengono criptati da una parte, per esempio Un bug è un’imperfezione o un errore in un software. Alcuni sono innocui o semplicemen- il computer o il telefono, e decrittati dall’altra, per esempio in un altro computer computer.. I dati vengote fastidiosi, ma altri possono essere sfruttati s olo dagli hacker. hacker. Ecco perché molte aziende hanno no criptati in modo che, almeno in teoria, solo chi invia e chi riceve — e nessun altro — può iniziato a pagare chi segnala i bug prima che leggerli. siano le persone sbagliate a trovarli.

31

VERSIONE 1.1

Dark web: È un insieme di siti non indicizzati

da Google e accessibili soltanto da browser come Tor Tor (vedi voce). Spesso, il dark web è usato da operatori che vogliono restare anonimi. Tutto il dark web è sul deep web, ma non tutto il deep web è sul dark web.


re la serratura rotte. Entrambe le cose sono pericolose, ma solo una può far entrare un ladro. Il modo in cui i criminali forzano il lucchetto è un exploit. Firma: Un’altra funzione del PGP, oltre quella

di criptare i messaggi, è l’abilità di rmare i messaggi con una chiave di crittazione segreta. DDoS: Un tipo di cyberattacco diventato po polare negli ultimi anni anni perché è relativamente Visto che questa chiave è conosciuta soltanto facile da eseguire e ha effetti immediati. DDoS da una persona ed è nel suo computer e da nessun’altra parte, le rme crittograche dovrebdovreb sta per attacco Distributed Denial of Service, bero garantire che stai parlando parlando effettivamente che vuol dire che chi attacca sta usando con quella persona. Questo è un buon modo un certo numero di computer per inondare per provare sulla rete che sei davvero davvero tu. il target con dati o richieste di dati. In questo modo il target, che spesso è un sito, rallenta o si blocca. Chi attacca potrebbe usare anche Hacker: Questo termine è diventato, erroneail semplice Denial of Service, che è lanciato mente, sinonimo di qualcuno che si introduce da un computer solo. illegalmente dentro un sistema. In origine, gli hacker erano semplicemente delle persone Deep web: Questo termine è usato spesso che “esplorano i sistemi programmabili nel nel come sinonimo di “dark web” o “dark net”, dettaglio per capire come metterli alla prova”, ma non è corretto. Il deep web è la parte come scritto nel MIT New Hacker’ Hacker ’s Dictiodell’internet che non è indicizzata dai motori nary.. In realtà il termine “hacker” può essere nary di ricerca. Include pagine protette da pasusato sia per i buoni, anche conosciuti come sword, siti con paywall, network criptati, “white hat”, che per cybercriminali, anche e database — cose molto noiose. detti “hacker black hat” o “cracker”. DEF CON: Una delle più famose conferenze di hacker negli USA e nel mondo. Iniziata nel Hacktivista: Qualcuno che usa le sue capacità di hackerare per scopi politici. Un hacktivista 1992, ha luogo ogni estate a Las Vegas. può compiere piccole azioni azioni come mettere ofine il sito di un ente pubblico o del gover Evil maid attack : Come suggerito dal nome no, ma anche rubare informazioni importanti e in inglese, un attacco evil maid è un hack che richiede accesso sico a un computer — il tipo consegnarle ai cittadini. Un esempio di gruppo di accesso che una domestica mal intenzionata di hacktivisti molto conosciuto è Anonymous. potrebbe avere mentre mette a posto posto l’ufcio Hashing: Fai nta di avere un pezzo di testo del suo capo, per esempio. Avendo Avendo accesso sico, un hacker può installare un software per che dovrebbe rimanere segreto, tipo una pastracciare quello che fai e potenzialmente acce- sword. Dovresti mettere il testo in una cartella segreta sul tuo computer, ma se qualcuno vi dere anche alle informazione criptate. accede sei comunque in pericolo. Per tenere una password segreta, dovresti anche “hasharExploit: È un processo per trarre vantaggio la” con un programma che esegue una fundalla vulnerabilità di un bug in un computer zione che camuffa il testo dell’informazione o in un’applicazione. Non tutti i bug portano originale. Questa rappresentazione astratta a degli exploit. Pensala così: se la tua porta è rotta, può cigolare quando la apri, oppure ave- è chiamata hash. Le aziende potrebbero archi32

VERSIONE 1.1


viare password o dati relativi al riconoscimento facciale con degli hash per incrementare la sicurezza.

somware, spyware, adware e molti altri sono malware.

Transfer HTTPS/SSL/TLS: Sta per Hypertext Transfer

è un attacco piuttosto comune in cui qualcuno si intromette tra due parti, impersonandole. Ciò permette a chi attacca di intercettare e potenzialmente alterare la comunicazione. Con questo tipo di attacco, si può semplicemente ascoltare, trasmettere dati o anche alterare e manipolare il usso di dati.

Protocol, dove la “S” sta per “sicuro”. HTTP è infatti l’impalcatura basilare che controlla il modo in cui i dati vengono trasferiti sul web, mentre HTTPS aggiunge uno strato di criptazione che protegge la tua connessione sui siti principali — la tua banca, banca, il tuo provider e i social network. HTTPS usa i protocolli SSL e TLS non solo per proteggere la tua connessione ma anche per provare l’identità del sito di modo che quando vedi https://gmail.com sei davvero sicuro che ti stai connettendo a Google e non a un sito falso.

Man-in-the-middle: Anche in forma MitM

Metadati: I metadati sono semplicemente dati

sui dati. Quando invii un’email, ad esempio, il testo rappresenta il contenuto del messaggio, ma l’indirizzo da cui invii il testo, l’indirizzo a cui lo invii e il momento in cui è partita sono i metadati. Può sembrare una cosa da poco, Infosec: Abbreviazione di “information securi- ma disponendo di una quantità sufciente di ty”. È il termine colloquiale per indicare quella metadati, ad esempio, la geolocalizzazione di che è comunemente nota come cybersecurity cybersecurity.. una foto postata sui social, può diventare sem plicissimo risalire all’identità all’identità o alla posizione Jailbreak: Eludere la sicurezza di un device, di un utente. come un iPhone o una PlayStation per rimuovere le restrizioni di fabbrica, generalmente OpSec: OpSec è un acronimo di ”operational con l’obiettivo di installarci software non security,” security ,” ovvero la sicurezza operativa, ovveufciali. ro, il processo per mantenere segrete le informazioni, online e ofine. Originariamente un Chiavi: La crittograa utilizza “chiavi” digita - termine militare, OpSec è una pratica e, in un li. Nel caso della criptazione PGP, una chiave certo senso, una losoa che ha come punto pubblica viene usata usata per criptare i messaggi, di inizio l’identicazione di quali informazioni mentre una segreta è usata per decriptarli. mantenere segrete e da chi si cerca di nasconIn altri sistemi, potrebbe esserci soltanto derle. L’OpSec L’OpSec “buono” prende le mosse da una chiave segreta condivisa da tutte le parti. questi principi che possono coinvolgere qualsiIn altri casi, se chi attacca prende il controllo asi aspetto, dal trasmettere messaggi attraverso della chiave di decriptazione, potrebbero esi post-It al posto di usare le mail, all’utilizzo serci buone possibilità di accedere al sistema. della crittograa digitale. Lulz: Una variazione slang di “lol” usata rego- OTR: Cosa fai se vuoi avere una conversaziolarmente dagli hacker black hat, di solito per ne criptata, ma in tempi rapidi? La risposta indicare un hack o un leak fatto a spese di altri, è OTR, o Off-the-Record, un protocollo per “for teh lulz” criptare i messaggi istantanei end-to-end. Malware: Sta per “software maligno”. Sempli- A differenza del PGP, che è usato generalmencemente si riferisce a ogni tipo di programma te per le email e fornisce a ogni persona coino software progettato per danneggiare o hacke- volta una chiave pubblica e una privata, il protocollo OTR usa una sola chiave temporare una vittima. Virus, worm, trojan, ran33

VERSIONE 1.1

ranea per ogni conversazione, che le rende più sicure in caso qualcuno hackeri il tuo computer e metta le mani m ani sulle chiavi. Inoltre, l’OTR è spesso più facile da usare del PGP.


Phishing: Il phishing è più una forma di in-

gegneria sociale che di hacking o cracking in senso proprio. In un’operazione di questo tipo, in genere un hacker contatta la vittima per estrarre speciche informazioni che pos pos-Password manager: Usare la stessa password sono essere usate in un attacco successivo. per tutti i login — dall’account dall’account bancario a Se- Ad esempio, può ngere di essere il servizio amless, passando per Tinder — è una pessima clienti di Google o Facebook, o l’operatore idea. A un hacker basta inlarsi con successo telefonico della vittima, e chiederle di cliccare in un solo account per poter accedere a tutti gli su un link maligno o di inviare informazioni altri. Ma memorizzare una stringa di caratteri — tipo la propria password — in una email. unica per ogni piattaforma è un incubo. Ecco Gli hacker eseguono migliaia di tentativi di a cosa serve un password manager: si tratta phishing alla volta, volta, ma possono anche compiecompiedi un software che conserva tutte le password re attacchi più specici, noti come spearphi al tuo posto, e può anche generare automatishing. camente password lunghe e complicate. Devi solo ricordarti la password per il tuo password Plaintext: Esattamente quello che pensi — manager, fare login e accedere a tutti gli altri un testo non criptato. Questa denizione stes login. sa è plaintext. Puoi sentire parlare di plaintext in riferimento a “cleartext” ovvero testo “in Penetration testing o pentesting: Se installi chiaro”. Le aziende con poca sicurezza potrebun sistema di sicurezza in casa, in ufcio bero avere le password in plaintext, plaintext, anche se o nella tua azienda, vuoi sicuramente che sia la cartella in cui le tengono è criptata, cr iptata, in attesa al sicuro da qualsiasi malintenzionato, giusto? che un hacker le rubi. Un buon modo per testare la sicurezza s icurezza di un sistema è assumere una persona — un pentester Pwned: È gergo tecnico da nerd per il verbo — perché esegua attacchi di di proposito, così “own”, appropriarsi. Nel mondo dei videogioda capire eventuali punti deboli. Il I l pentesting chi, un giocatore che ne batte un altro può dire è legato ai red team, benché possa essere fatto “I pwned you”. Tra gli hacker, il termine ha un anche in modo più strutturato e meno aggressignicato simile, solo che riguarda l’accesso sivo. a un altro computer computer.. Esiste un sito sito “Have I Been Pwned”, che ti dirà se i tuoi account PGP: “Pretty Good Privacy” è un modo di sono mai stati compromessi. criptare i dati, di solito email, così se qualcuno li intercetta vedrà un testo alterato. Mette RAT: Sta per “Remote Access Tool” Tool” o “Remoin atto un sistema di crittograa asimmetrica, te Access Trojan”. Un RAT può essere molto quindi la persona che manda il messaggio usa dannoso se usato come malware. Se qualcuno una chiave di criptazione “pubblica” mentre installa un RAT sul tuo computer può prenderchi lo riceve usa una chiave “privata” per dene il controllo completo. C’è anche un busicodicarlo. Anche Anche se ha più di vent’anni, ness di RAT per chi vuole accedere da casa è ancora un formidabile metodo di criptazione, alla propria postazione di lavoro. Il lato negatianche se è notoriamente un po’ difcile da usausa - vo? Molti di quelli maligni m aligni sono disponibili re anche per gli utenti con più esperienza. su internet, anche gratis, e possono essere usati da chi non ha grosse conoscenze nel campo.

34

VERSIONE 1.1


Shodan puoi trovare webcam non protette, stampanti, dispositivi medici, pompe del gas e il tuo computer e non ti fa accedere ai le. persino turbine eoliche. eoliche. Anche se suona territerri Ti mostra un messaggio che ti dice quanto devi pagare e dove mandare i soldi, s oldi, solitamen- cante, il suo valore è proprio quello di aiutare i ricercatori a trovare questi device e ad avverte in bitcoin, per avere indietro i tuoi le. tire i loro proprietari per metterli al sicuro. Si tratta di un buon racket per gli hacker, e molti lo considerano un’epidemia perché Side channel: L’hardware del tuo computer spesso le persone tendono a pagare qualche centinaio di euro pur di riavere il loro compu- emette continuamente dei segnali elettrici vagamente percepibili. Un attacco side channel ter.. All’inizio del 2016 una clinica medica di ter Hollywood ha pagato 17.000 dollari per riave- mira a identicare i pattern di questo segnale per capire che tipo di operazioni sta facendo re indietro la macchina. Per esempio, un hacker che i computer. “ascolta” il tuo hard drive mentre sta generando una password di crittazione potrebbe effetRed team: Per testare la sicurezza dei loro computer,, e per trovare eventuali vulnerabilità, tivamente essere in grado di ricostruirla, computer le aziende possono assumere degli hacker per e rubarla senza che tu lo sappia. organizzarli in un “red team” che attacchi il sistema e tenti di metterlo sotto sopra. In questi Snifng: È un modo di intercettare i dati inviacasi, essere hackerati è un bene, perché si posti attraverso un network senza essere scoperti, sono mettere a posto le vulnerabilità prima che usando dei particolari software che “sniffano”. lo faccia qualcun altro. È un concetto generale, Una volta raccolti i dati, un hacker può utilizzarli per ottenere informazioni utili, come le usato anche nella strategia militare. password. È considerato particolarmente particolarmente pericoloso perché è difcile da individuare e può Root: Nella maggior parte dei computer, agire sia dentro che fuori dal network. “root” è il nome più comune dato ai livelli d’accesso al sistema più importanti, oppure Ingegneria sociale: Non tutti gli hack vengoè il nome dell’account che ha questi privileno compiuti guardando uno schermo nero gi. Il che signica che il “root” può installare con caratteri in verde come nel lm  lm Matrix. applicazioni, cancellare e creare le. Se gli A volte, ottenere l’ingresso a un sistema sicuro hacker vi accedono possono fare quello che è facile tanto quanto telefonare o mandare una vogliono con il computer o con il sistema che mail spacciandosi per qualcun altro — tipo per hanno compromesso. Questo è il sacro graal qualcuno che ha normalmente accesso a una dell’hacking. password ma l’ha dimenticata proprio quel Anche il phishing include degli aspetti Rootkit: È un particolare tipo di malware col- giorno. Anche locato in profondità nel sistema e attivato ogni di ingegneria sociale, perché includono l’atto di convincere qualcuno della legittimità del volta che lo accendi, anche prima del sistema mittente di un’email. operativo. Questo rende il rootkit difcile da intercettare, persistente, e in grado di catturare praticamente tutti i dati dati del computer infettato. Spoong: Gli hacker possono attuare un attacco phishing creando un indirizzo email, per Shodan: È soprannominato “il Google degli esempio, di modo che assomigli a quello che hacker” o “motore di ricerca terricante”. una persona conosce. Questo è spoong. Pensatelo come un Google per i dispositivi connessi piuttosto che per i siti web. Usando Ransomware: È un tipo di malware che blocca

35

VERSIONE 1.1

Può essere usato per gli scam telefonici o per creare un indirizzo fake per un sito.


Spyware: È un particolare tipo di malware

fatto per spiare, monitorare e potenzialmente rubare dei dati.

gere il ruolo, ad esempio, di un ulteriore livello di sicurezza in aggiunta alla password. L’idea alla sua base è che anche nell’eventualità in cui una password o una chiave di decrittazione venissero rubata, l’hacker avrebbe bisogno di un vero e proprio token sico per sfruttarle.

State actor: Sono hacker o gruppi di hacker

Tor: Tor è l’abbreviazione di The Onion Rou-

pagati da un governo. governo. Potenzialmente, sono formidabili perché possono avere risorse nannan ziarie illimitate. Pensate, per esempio, all’NSA. A volte, comunque, gli state actor possono essere anche un gruppo gruppo di hacker che ricevono supporto tacito, come per esempio la Syrian Electronic Army. Army. Tails: T Tails ails è l’acronimo per The Amnesic

Incognito Live System. Se avete veramente a cuore la vostra digital security, security, sappiate che è il sistema operativo approvato da Edward Snowden. Tails Tails è un sistema che fa sì che il vostro computer non ricordi nulla, è come una macchina nuova ogni volta che si avvia. Il software è libero e open source. Sebbene l’opinione in proposito sia generalmente positiva, sono stati riscontrati dei difetti nella sua sicurezza. Threat model: Immagina un gioco di scacchi,

è il tuo turno e stai s tai pensando a tutte le mosse possibili del tuo sdante. sdante. Hai lasciato la regina regina scoperta? Il tuo re è messo all’angolo? Questo è quello che fanno i ricercatori nel campo della sicurezza quando progettano un treat model. È un termine acchiappatutto usato per descrivere le capacità del nemico da cui ti devi tutelare e le tue vulnerabilità. Sei un attivista alle prese con un team di hacker hacker dello stato? Il tuo threat model deve essere bello robusto. Vuoi Vuoi vericare la sicurezza di una connessione nel mezzo del nulla? Forse non è il caso di preoccuparsi troppo. Token: Piccolo dispositivo sico che permette

ter. Originariamente sviluppato dal Naval ter. Research Laboratory degli Stati Uniti, viene ora utilizzato sia dai cattivi (hacker, pedoli) che dai buoni (attivisti, giornalisti) per rendere anonime le loro attività online. L’idea L’idea alle base è che una rete di computer computer sparsa in tutto il mondo — alcuni gestiti da università, alcuni da utenti comuni, altri dal governo — instradi il vostro trafco in modo estremamente tortuo tortuo-so per mascherare la vostra reale posizione. Il Tor Tor network è questa rete di computer gestita da volontari. Il Tor Project è l’organizzazione no-prot che si occupa della manutenzione del software Tor. Il Tor browser è invece il software gratuito che permette di utilizzare Tor. Verica (dump): Processo attraverso il quale

reporter e ricercatori di sicurezza esaminano i dati hackerati. Questo processo è importante per assicurarsi che i dati siano autentici e le affermazioni di hacker anonimi in merito siano vere e non solo un tentativo di ottenere notorietà o fare soldi truffando le persone sul s ul dark web.

Virus: È un tipo di malware tipicamente na-

scosto dentro un programma o un le. Diver samente dal worm (vedi voce), ha bisogno dell’azione umana per diffondersi: ci vuole un essere umano per creare un allegato infetto, e un altro per scaricarlo. I virus possono infettare i computer e rubare dati, cancellarli o criptarli o incasinarli in qualsiasi altro modo.

Virtual Private VPN: VPN è l’acronimo di Virtual

al suo proprietario di accedere o autenticarsi a Network. Le VPN utilizzano la crittograa un determinato servizio. I token possono svol- per creare un canale privato e sicuro per con-

36

VERSIONE 1.1


nettersi a Internet quando si usa una rete non afdabile (ad esempio una rete di Starbucks o il WiFi di un Airbnb). Pensate a una VPN come a un tunnel che parte da voi diretto verso la vostra destinazione, scavato sotto il normale internet. Le VPN consentono ai dipendenti di connettersi alla rete del loro datore di lavoro in modalità remota e aiutano anche gli utenti comuni a proteggere la propria connessione. Le VPN consentono inoltre agli utenti di rim balzare sui server di altre parti del del mondo, permettendo loro di apparire come se si stessero connettendo da lì. Questo dà loro la possibilità di aggirare la censura, come il Great Firewall in Cina, o di visualizzare le offerte di Netix negli Stati Uniti mentre si trovano in Canada. Esistono innite VPN ed è quasi impossibile decidere quali sono le migliori. White hat: Un hacker con l’obiettivo di met-

tere a posto e proteggere i sistemi. Contrariamente ai black hat (vedi voce), non guadagnano dagli hack o dai bug che trovano per fare soldi illegalmente bensì mettono in guardia le eventuali aziende per aiutarle a mettere a posto il problema. Worm: Un particolare tipo di malware che

si autoreplin particolare tipo di malware che si autoreplica in automatico, diffondendosi da un computer all’altro. La storia di internet è tta di worm, dal Morris worm, il primo in assoluto, al worm di MySpace che ha infettato milioni di persone. Zero-day: Anche detto “0day” è un bug che

il fornitore del software non ha ancora individuato o che non ha ancora una patch. Il I l nome deriva dal concetto che si trae vantaggio dal fatto che sono passati zero giorni tra la scoperta del bug e il primo attacco. Sono i bug più preziosi per gli hacker perché perché devono ancora trovare soluzione, quindi è praticamente certo che funzionino.

37

La Guida di Motherboad per Non Farsi Hackerare

Recommend Documents