Buone pratiche

This page is also available in English ⇾


Introduzione


La sicurezza informatica è quel processo in continua evoluzione che prevede l’utilizzo dei migliori strumenti a propria disposizione per proteggere i propri dati. La privacy consiste nel poter scegliere chi è in grado di accedere a quei dati e se, quando, come e per quale motivo questi debbano essere raccolti, salvati, utilizzati o condivisi.

Quello che segue è un elenco di misure e suggerimenti che puoi prendere in considerazione per affrontare al meglio questi importanti aspetti della tua vita nell’era dell’informazione.


Indice


1. Aggiornamenti software

2. Password del dispositivo

3. Crittografia del dispositivo

4. Trova il mio dispositivo

5. Gestione delle password

6. Autenticazione a più fattori

7. Comunicazione sicura

8. HTTPS

9. DNS over HTTPS

10. Browser web

11. Impostazioni e politiche sulla privacy

12. Tracciamento e pubblicità online

13. Servizi cloud

14. Violazioni dei dati

15. Protezione e minimizzazione dei dati

16. Ingegneria sociale

17. Software antimalware

18. VPN

19. Sicurezza della webcam

20. Backup dei dati

21. Valutazione della sicurezza personale

22. Coinvolgi altre persone

23. Conclusione


Aggiornamenti software


Ogni software è complesso, imperfetto e in continua evoluzione.

Una delle cose più importanti che puoi fare per proteggere le tue informazioni è tenere i tuoi software (come le tue applicazioni e i tuoi vari sistemi operativi) sempre aggiornati, assicurandoti allo stesso tempo che siano abbastanza recenti da essere ancora supportati da chi li ha sviluppati (sia che si tratti di uno sviluppatore o una sviluppatrice indipendente, sia che si tratti di una grande azienda come Facebook, Apple, Microsoft, Google, Ubiquiti e Samsung). In questo modo non solo ti assicurerai di avere accesso alle ultime funzionalità e correzioni, ma anche alla versione più sicura che un determinato prodotto software può offrire in quel momento.

Tieni presente che il tuo telefono, tablet, computer portatile e fisso non sono gli unici dispositivi che dipendono da aggiornamenti software e firmware regolari per funzionare in modo sicuro, migliorare con il passare del tempo e introdurre nuove funzionalità. Anche i router (che sono il cuore pulsante di qualsiasi rete locale come la tua rete domestica) e dispositivi IoT come altoparlanti intelligenti, lampadine, frigoriferi, campanelli, televisori, telecomandi, ecc. dipendono da aggiornamenti regolari per le stesse ragioni.

Per dirlo con le parole di Gennie Gebhart dell’EFF (che ho modificato per fini di chiarezza):

“Tutto il codice ha delle mancanze, semplicemente un determinato codice può averne un po’ meno degli altri. Sui tuoi dispositivi c’è un sacco di codice, e ogni codice contiene dei problemi. È scritto da esseri umani e gli esseri umani commettono immancabilmente degli errori ad un certo punto. Ci sono (idealmente) interi gruppi di ingegner* che lavorano costantemente a questi sistemi operativi e applicazioni per trovare gli errori e correggerli. Tutto quello che devi fare è cliccare su “Aggiorna” e magari riavviare. Se non lo fai, significa che c’è un modo per sfruttare il tuo dispositivo o il tuo software che il mondo ormai conosce. Fino a quando non clicchi su “Aggiorna” hackerarti è più facile ed economico”.

Vai all’indice ⇾


Password del dispositivo


Puoi cercare di evitare che altre persone abbiano accesso ai tuoi dati personali (così come ai dati personali che le persone con le quali sei in contatto potrebbero condividere con te) impostando una password robusta e unica (a volte chiamata codice o PIN) su ciascuno dei tuoi dispositivi.

Pensa alle informazioni personali che hai salvato sui tuoi dispositivi (note, contatti, conversazioni private, foto e video, cronologia della navigazione web, ecc.), ma anche alle informazioni personali accessibili attraverso di essi (file caricati sul cloud, e-mail, informazioni finanziarie e altre informazioni salvate sui tuoi account online). Probabilmente non vorresti che tutto questo venisse lasciato senza protezione ogni volta che lasci uno dei tuoi dispositivi incustoditi, o nel caso in cui dovessi perderne uno. Anche le persone che condividono informazioni personali con te probabilmente vorrebbero evitare che questo succeda.

Una volta impostata una password, potrebbe essere possibile (in base al dispositivo che stai usando) abilitare una qualche forma di autenticazione biometrica. In questo caso sarai anche in grado di sbloccare i tuoi dispositivi per mezzo della scansione di parti del corpo come le impronte digitali, il viso o l’iride.

Questo può aiutarti a rendere più facile e veloce l’azione di sbloccare i tuoi dispositivi e, allo stesso tempo, consentirti di utilizzare password più robuste e di ridurre la finestra di tempo tra quando blocchi i tuoi dispositivi e quando è necessaria una password o un fattore biometrico per sbloccarli (dato che la scomodità di dover digitare ogni volta una password per accedere non sarà più presente). Questo può anche aiutarti a mantenere le tue password private quando usi i tuoi dispositivi davanti ad altre persone (ad esempio in luoghi pubblici) o in spazi videosorvegliati.

Tieni presente che non tutte le forme e le implementazioni di autenticazione biometrica offrono lo stesso livello di sicurezza (ad esempio alcune possono essere ingannate da una semplice stampa o da un video del tuo volto). Questo significa che sarebbe consigliabile facessi qualche ricerca in anticipo per avere la certezza di essere a tuo agio con il livello di protezione che un dato sistema biometrico è in grado di fornire. Se i risultati della ricerca dovessero metterti a disagio (o se per qualsiasi motivo l’autenticazione biometrica non dovesse essere fattibile nel tuo caso in particolare) ricorda di usare comunque una password robusta e unica.

Un buon modo per creare password robuste, uniche e facili da ricordare è tramite il metodo diceware e altri metodi simili. Il risultato sono passphrase robuste e uniche, ma anche più semplici da ricordare rispetto a password composte da stringhe casuali di caratteri.

Molti gestori di password (per saperne di più visita il capitolo sulla gestione delle password) includono un generatore di password in grado di generarle per te. Questo è il metodo più semplice.

In alternativa puoi prendere cinque dadi (anche uno solo va bene) e un elenco di parole Diceware come questo di Arnold G. Reinhold (tradotto in italiano da Tarin Gamberini).

Come avrai notato ogni parola della lista è identificata da una stringa unica di cinque numeri. Quello che devi fare è tirare i dadi fino ad ottenere i primi cinque numeri: la parola corrispondente sarà la prima della tua passphrase! Continua a lanciare i dadi finché la tua passphrase raggiungerà una certa robustezza. Generalmente si consiglia di creare delle passphrase lunghe almeno dalle cinque alle sette parole.

Ecco alcune risorse sull’argomento:

Una nota: non dovresti (nella maggior parte dei casi) condividere le tue password con altre persone. Se hai il sospetto (o la certezza) che una delle tue password è stata compromessa, cambiala il prima possibile.

Vai all’indice ⇾


Crittografia del dispositivo


Puoi attivare la crittografia del dispositivo sia sulla memoria interna dei tuoi dispositivi che su qualsiasi unità esterna (come schede SD, dischi rigidi, unità allo stato solido e chiavi USB) per rendere più difficile l’accesso e l’estrazione di dati da parte di persone non autorizzate.

I dati salvati su dispositivi quali iPhone e iPad possono essere facilmente criptati impostando un codice (eventualmente affiancato da Touch ID o Face ID).

Alcuni dispositivi Android (come quelli della linea Pixel di Google) sono criptati in modo predefinito. I dispositivi messi in commercio con Android 10 o successivi devono necessariamente supportare File-Based Encryption e le persone che utilizzano Android 4.4 o successivi dovrebbero essere in grado di attivare manualmente una qualche forma di crittografia del dispositivo visitando la sezione Sicurezza (o Sicurezza e posizione) delle loro Impostazioni.

I dispositivi Windows possono essere criptati usando BitLocker, una funzione integrata nel sistema operativo disponibile alla clientela privata tramite Windows 10 Pro, ma non disponibile per coloro che utilizzano Windows 10 Home.

I dispositivi macOS possono essere criptati usando FileVault, una funzione anch’essa integrata nel sistema operativo disponibile tramite le Preferenze di Sistema.

Se sul tuo computer è installata una versione di Windows che non include BitLocker o se stai cercando una soluzione che sia open-source e disponibile su Windows, macOS e Linux, dai un’occhiata a VeraCrypt, sviluppata da IDRIX.

VeraCrypt permette di:

  • Criptare una partizione o unità non di sistema / Creare un volume all’interno di una partizione o unità
    Questo permette di criptare cose come schede SD, chiavi USB, dischi rigidi o singole partizioni di tali unità (purché non si tratti di partizioni di sistema dove è installato il sistema operativo).

Tieni presente che potrebbe essere necessario lo spegnimento affinchè i dati contenuti in un dispositivo criptato siano completamente criptati.

Ecco alcune risorse in tema:

Vai all’indice ⇾


Trova il mio dispositivo


Puoi abilitare funzioni come Trova il mio dispositivo (disponibile su Windows e Android) e Dov’è (disponibile su iOS, iPadOS e macOS) per avere accesso ad alcune delle seguenti possibilità:

  • Localizzare il dispositivo su una mappa.
  • Fare in modo che il dispositivo emetta un suono.
  • Bloccare il dispositivo e far apparire un messaggio personalizzato sullo schermo.
  • Cancellare tutti i dati salvati sul dispositivo.

Inoltre il Blocco di attivazione di Apple e le funzioni di protezione del telefono di Google aiutano ad impedire a persone non autorizzate di utilizzare dispositivi smarriti o rubati anche qualora i dati salvati su questi dispositivi dovessero essere cancellati da remoto.

Tieni conto che abilitare funzioni di questo tipo significa inviare regolarmente informazioni relative alla propria posizione a un’azienda come Apple, Microsoft o Google (a seconda del dispositivo in questione). Devi pertanto bilanciare il vantaggio di poter localizzare, proteggere e cancellare da remoto i tuoi dispositivi con la tua disponibilità a divulgare tali informazioni personali a terze parti.

Tieni presente che questo non è l’unico modo in cui i tuoi dispositivi possono trasmettere informazioni relative alla tua posizione a terzi. Maggiori informazioni in merito sono disponibili nel capitolo sulle impostazioni e politiche sulla privacy.

Vai all’indice ⇾


Gestione delle password


Puoi usare un gestore di password (una cassaforte digitale criptata) per migliorare drasticamente la sicurezza dei tuoi account e rendere più facile l’intero processo di gestione di informazioni così sensibili.

Alcuni dei prodotti che godono di maggior considerazione sono:

Iniziare ad usare un gestore di password significa poter iniziare a generare in modo casuale password lunghe, complesse e uniche senza doversi preoccupare di ricordarle.

Immagina una stringa di oltre 30 caratteri (o tutti i caratteri che vuoi, in realtà) composta da lettere, numeri e simboli generati in modo casuale: questa è una password!

123456, parole dal dizionario, titoli di film, date, ecc. non sono password…

Puoi approssimare la robustezza delle tue password su PasswordSecurity.info. Puoi anche fare un salto al capitolo sulle violazioni dei dati per maggiori informazioni su come controllare se i tuoi account sono stati compromessi in seguito ad un caso noto di violazione dei dati e cosa fare in merito.

I gestori di password sono solitamente in grado di compilare automaticamente nomi utente, password e altre informazioni simili direttamente tramite l’applicazione sui dispositivi mobili, oppure tramite un’estensione del browser dedicata su computer portatili e fissi. Cerca queste estensioni sul sito del tuo gestore di password o nello store di estensioni del tuo browser web.

Creare e mantenere un elenco criptato e possibilmente ben organizzato di tutte le informazioni relative ai tuoi account (e qualsiasi altro tipo di informazione che potresti voler tenere al sicuro) è un grande vantaggio sia dal punto di vista della sicurezza che della praticità.

Anche usando un gestore di password, ti capiterà di voler creare alcune password robuste e facili da ricordare per cose come la tua password generale (la password del gestore di password) e magari per alcuni dei tuoi account principali. Un buon modo per affrontare questo problema è (come accennato nel capitolo sulle password del dispositivo) utilizzando delle passphrase create con l’aiuto del metodo Diceware e metodi simili. Fai un salto là per maggiori informazioni in merito.

Nonostante un gestore di password sia la soluzione migliore per la maggior parte delle persone, ci saranno casi in cui (per qualsiasi motivo) una soluzione software non è fattibile. Se ti trovi in questa situazione tieni presente che gestire le tue credenziali usando un libro delle password fisico che conservi in un luogo sicuro potrebbe essere meglio che non gestirle affatto.

Una volta impostato password (o passphrase) robuste e uniche per i tuoi account, dovresti essere a posto. Aziende e servizi che seguono pratiche di sicurezza informatica moderne dovrebbero richiedere un cambio di password solo se sospettano (o hanno la certezza) che le tue password siano state compromesse.

Una nota: non dovresti (nella maggior parte dei casi) condividere le tue password o passphrase con altre persone.

Vai all’indice ⇾


Autenticazione a più fattori


Puoi abilitare l’autenticazione a più fattori (l’autenticazione a due fattori, la verifica in due passaggi, ecc. sono tutte forme di autenticazione a più fattori) per migliorare significativamente la sicurezza dei tuoi account, aggiungendo un ulteriore passaggio a sistemi di autenticazione che altrimenti chiederebbero di fornire un solo fattore (per esempio una password) per eseguire l’accesso.

Probabilmente hai gia’ usato una qualche forma di autenticazione a più fattori in passato. Se possiedi una carta di credito e vai ad uno sportello automatico per prelevare contanti ti viene chiesto di inserire la tua carta e di fornire un PIN: questà è una forma di autenticazione a più fattori!

Questi fattori aggiuntivi possono essere qualcosa che conosci (come una password o un PIN), qualcosa che possiedi (come una carta di credito, un telefono o un token di sicurezza), o qualcosa che sei (attraverso la scansione delle impronte digitali, del viso o dell’iride). Messi insieme rendono molto più difficile la vita di chi cerca di rubare le tue informazioni.

Nel caso delle aziende e dei servizi online che supportano l’autenticazione a più fattori, i fattori aggiuntivi sono solitamente implementati in forma di codici di verifica validi una volta sola recapitati al tuo telefono (qualcosa che hai) via SMS, chiamata cellulare o e-mail, o generati da un’applicazione di autenticazione installata sul tuo telefono (sempre qualcosa che hai). In alcuni casi l’autenticazione a più fattori può essere disponibile come notifica push inviata al tuo telefono con una semplice domanda Si/No, oppure tramite la possibilità di impostare un token di sicurezza, un piccolo dispositivo fisico in grado di fornire un livello di protezione più elevato da comuni attacchi informatici come il phishing.

Tieni presente che nonostante l’autenticazione a più fattori rappresenti un significativo miglioramento nella protezione dei tuoi account e qualsiasi tipo di autenticazione a più fattori è meglio di niente, non tutti i metodi di autenticazione a più fattori offrono lo stesso livello di protezione:

Tieni anche presente che le varianti di autenticazione a più fattori disponibili (così come il modo in cui queste vengono chiamate) possono variare da un servizio all’altro. Questo significa che a volte il metodo di autenticazione a più fattori che preferisci potrebbe non essere disponibile e altre volte potrebbe essere necessario cercare con attenzione per trovare quello che cerchi. Eccoti un po’ di aiuto: Turn It On (TeleSign)

Quando si abilita l’autenticazione a più fattori spesso viene chiesto di salvare uno o più codici di recupero o codici di backup. Questi codici ti permetteranno di accedere ai tuoi account nel caso in cui dovessi perdere l’accesso al dispositivo con il quale gestisci l’autenticazione a più fattori. Assicurati di tenerli al sicuro nel tuo gestore di password, o in un altro luogo sicuro.

Alcune tra le applicazioni di autenticazione più usate sono LastPass Authenticator, 1Password, Microsoft Authenticator, Google Authenticator, FreeOTP e Authy. I token di sicurezza più conosciuti sono le YubiKey di Yubico e i Token di sicurezza Titan di Google.

Qui trovi alcune risorse che potrebbero aiutarti a scegliere il metodo di autenticazione a più fattori più adatto a te:

Indipendentemente da quanto sia stratificato il tuo approccio alla sicurezza, la sicurezza dei tuoi account è robusta solo quanto lo sono le impostazioni relative al ripristino dell’accesso nel caso in cui dovessi dimenticare la password. Questo per dire che, sulla via per abilitare l’autenticazione a più fattori dappertutto, faresti bene a dedicare un po’ di tempo al controllo di queste impostazioni.

PS: applicazioni come Signal e WhatsApp offrono anch’esse forme di autenticazione a più fattori. Prendi in considerazione di abilitarle!

Vai all’indice ⇾


Comunicazione sicura


Puoi dare la priorità all’utilizzo di strumenti di comunicazione criptati end-to-end come Signal (qui una guida per principianti) e ProtonMail, rispetto ad opzioni non criptate come le chiamate cellulari e gli SMS oppure ad opzioni criptate ma non end-to-end come Facebook Messenger, Instagram Direct, Snapchat, Telegram, i Messaggi Diretti di Twitter, Skype, WeChat, Gmail e Outlook.com, per essere sicur* (in misura ragionevole) che solo tu e le persone con le quali scegli di comunicare abbiano accesso alle informazioni che condividi. Nessuna terza parte come Facebook, Google, Microsoft, Twitter, altre aziende, dipendenti disonest*, governi o persone malintenzionate sarà in grado di avere accesso, sfruttare o abusare il contenuto delle tue conversazioni.

I servizi di comunicazione criptata end-to-end si basano solitamente su una tecnologia chiamata crittografia a chiave pubblica, che prevede l’assegnazione di una chiave pubblica ed una privata ad ogni utente.

Quando una persona invia un messaggio ad un’altra persona (o un messaggio vocale, un allegato, una chiamata vocale, una videochiamata, e così via), i dati vengono criptati localmente sul dispositivo della persona mittente utilizzando la chiave pubblica della persona destinataria per poi essere inviati via Internet alla persona destinataria. Una volta raggiunta la destinazione i dati vengono decriptati localmente utilizzando la chiave privata della persona destinataria (che, come suggerisce il nome, non viene mai condivisa). Ecco fatto!

Le impronte digitali delle chiavi pubbliche (sequenze relativamente brevi di caratteri che identificano in modo univoco una chiave pubblica) possono essere utilizzate per assicurarsi che le conversazioni siano effettivamente criptate end-to-end e per verificare che le persone all’altro capo di una conversazione siano effettivamente chi dicono di essere. Servizi diversi le chiamano in modi diversi: Signal le chiama codici di sicurezza, mentre ProtonMail fa riferimento al processo di confronto delle impronte come verifica dell’indirizzo.

Nonostante WhatsApp (di proprietà di Facebook) e altre app di messaggistica proteggano il contenuto delle conversazioni con la crittografia end-to-end in modo predefinito, questo non significa necessariamente che proteggano anche le informazioni relative alla tua identità e alla tua attività. Questo tipo di informazioni (che sono sempre informazioni personali e che, in alcuni casi, potrebbero essere sensibili quanto il contenuto stesso di una conversazione) sono comunemente note come metadati, e possono includere informazioni in merito a chi sei, dove sei, con chi comunichi e quando, chi è nel tuo elenco contatti, come e quando utilizzi l’applicazione, ecc.

Rispetto a WhatsApp, Signal ha una politica sulla privacy molto più rigorosa, varie funzioni volte alla protezione dei dati e dei metadati (come i messaggi a scomparsa, la ricerca privata dei contatti, il/la mittente sigillat*, i profili criptati, la privacy della posizione e i gruppi, le anteprime dei link, le GIF e gli adesivi privati) e un forte impegno volto alla trasparenza e all’accountability.

Nel caso preferissi tenere WhatsApp perché per qualche ragione Signal non è una soluzione fattibile per raggiungere alcune delle persone con le quali vuoi comunicare, considera di abilitare le notifiche di sicurezza per assicurarti di ricevere una notifica qualora il codice di sicurezza (WhatsApp li chiama come Signal) di una persona nel tuo elenco contatti dovesse cambiare e di disabilitare i backup sul cloud non criptati (una funzione che non fa altro che annullare le protezioni offerte dalla crittografia end-to-end).

ProtonMail fornisce sia la crittografia end-to-end che la crittografia ad accesso zero. Mentre le caselle di posta ProtonMail sono sempre protette con la crittografia ad accesso zero (il che significa che nessuna persona eccetto il/la utente vi ha accesso), la disponibilità della crittografia end-to-end dipende dai servizi e-mail utilizzati dalle persone coinvolte in una conversazione. Il modo più semplice per assicurarsi che la corrispondenza e-mail sia criptata end-to-end è assicurarsi che tutte le parti coinvolte usino ProtonMail.

Ecco alcune risorse ed articoli in merito:

Nota: alcuni dei servizi di messaggistica classificati in questo capitolo come servizi che non usano la crittografia end-to-end la offrono come opzione facoltativa. Questo significa che l’importanza di mantenere private le conversazioni non è trattata come elemento fondante, bensì come ripensamento parziale e tardivo.

Vai all’indice ⇾


HTTPS


HTTPS è la versione sicura dell’Hypertext Transfer Protocol, o HTTP.

Quando ci si connette ad un sito web sicuro (un sito che utilizza HTTPS) si ottengono tre cose molto importanti: in primo luogo si ottiene una prova dell’identità del sito; questo significa che puoi fidarti che un dato sito è realmente chi dice di essere e non un altro sito verso il quale sei stat* reindirizzat* senza saperlo e senza il tuo consenso. In secondo luogo si ottiene la riservatezza; questo significa che puoi fare affidamento sul fatto che lo scambio di informazioni tra te e un dato sito è protetto e non può essere intercettato. In terzo luogo si ottiene una prova di integrità; il che significa che puoi fidarti che i dati che fluiscono da e verso un dato sito non sono stati alterati in alcun modo.

Questo mette in evidenza quanto i siti HTTP (o siti web non sicuri) siano vulnerabili e quanto sia inopportuno fidarsi di loro. In effetti siti e pagine web non sicure possono e sono utilizzate da persone malintenzionate, governi e ISP in tutto il mondo per:

  • Ottenere l’accesso ai dati in transito tra gli/le utenti e le pagine web che stanno visitando
    Pensaci bene prima di digitare credenziali di accesso, dati della carta di credito o qualsiasi altro tipo di informazione personale in una pagina che non è sicura. Tieni anche presente che qualsiasi pagina web non sicura che visiti può rappresentare una fonte di informazioni preziose per ISP in grado di utilizzare o vendere le informazioni personali per fini pubblicitari o altri fini o per governi che impiegano tecnologie di sorveglianza di massa.
  • Censurare in modo mirato
    Nel caso di pagine web sicure, tutto ciò che segue la barra “/” è criptato. Questo significa che se visiti una qualsiasi pagina di Wikipedia l’unica cosa che possono vedere delle persone malintenzionate è: https://www.wikipedia.org. Questo significa, tra le altre cose, che un governo repressivo (o un ISP non regolamentato) deve scegliere se bloccare Wikipedia completamente o non bloccarla affatto.

HTTPS è una parte fondamentale di molti degli strumenti sui quali facciamo affidamento nella nostra vita quotidiana. È dovere di chi gestisce un sito web aggiornarlo ad HTTPS ed è un diritto delle persone che visitano quel sito chiedere a chi lo gestisce di aggiornarlo nel caso in cui non lo avesse ancora fatto.

Puoi assicurarti di non essere su un sito non sicuro tenendo d’occhio la barra degli indirizzi: se non vedi un’icona a forma di lucchetto o vedi un avviso (come un’icona a forma di lucchetto barrata, un messaggio che dice “Non sicuro” o un’icona a forma di punto esclamativo) allora il sito che stai visitando è distribuito tramite una connessione non sicura. In questo caso, evita di inserire informazioni personali e, se possibile, cerca di non utilizzarlo in futuro.

Alcuni siti web potrebbero essere disponibili sia tramite HTTP che tramite HTTPS. Estensioni del browser come HTTPS Everywhere dell’EFF (che richiede ai siti di utilizzare HTTPS quando possibile) possono essere d’aiuto in questi casi.

Tieni presente che in alcune circostanze l’atto stesso di visitare una pagina web può essere considerato un’informazione molto personale e che cancellare le tue informazioni da una casella di ricerca, un modulo online, o qualsiasi altro tipo di campo di inserimento prima di averle inviate non significa necessariamente che il sito in questione non le abbia registrate comunque.

Ricorda: il fatto che una pagina sia sicura non esclude che possa essere o meno dannosa. Con la crescente diffusione di HTTPS a livello mondiale, anche il numero di siti web dannosi che la utilizzano è in crescita.

Ecco alcune risorse che potrebbero interessarti:

Vai all’indice ⇾


DNS over HTTPS


DNS over HTTPS è un protocollo che consente l’accesso ai servizi del sistema dei nomi di dominio, o Domain Name System, attraverso una connessione sicura.

Qualsiasi cosa connessa ad Internet (siti web compresi) è identificata da una stringa di caratteri nota come indirizzo IP. Questo significa che quando digiti l’indirizzo del tuo sito preferito (per esempio Wikipedia) nella barra degli indirizzi, deve esserci un servizio che il tuo browser può contattare per tradurre “wikipedia.org” in un indirizzo IP che può effettivamente localizzare ed al quale può connettersi. E’ qui che entra in gioco la “rubrica” di Internet, ovvero il sistema dei nomi di dominio o DNS (Domain Name System).

Il DNS è la tecnologia che ti permette di avere a che fare con indirizzi web che hanno un senso, invece delle stringhe casuali di caratteri che compongono gli indirizzi IP.

I servizi DNS sono solitamente forniti dal tuo ISP in modo predefinito, ma ci sono fornitori DNS alternativi che puoi impostare manualmente nel caso l’opzione predefinita non faccia per te.

Proprio come era il caso per i collegamenti alla maggior parte dei siti web (che non erano sicuri fino a tempi relativamente recenti) la maggior parte dei servizi DNS sono ancora oggi resi disponibili tramite connessioni non sicure. Questo significa che, anche se siti come Wikipedia.org sono distribuiti tramite HTTPS, le richieste DNS che i tuoi dispositivi fanno per connettersi a questi siti sono spesso non criptate e semplici da intercettare, manomettere e bloccare da persone nella tua rete locale, dal tuo ISP o da altre persone malintenzionate in grado di intercettarle.

Il protocollo DNS over HTTPS (DoH) risolve questo problema consentendo ad aziende e organizzazioni che gestiscono server DNS di gestire le richieste DNS tramite una connessione HTTPS.

Ci sono diverse aziende che stanno iniziando ad aggiungere questa opzione alla loro offerta DNS, in particolare Cloudflare con il servizio 1.1.1.1. Chi fosse interessat* a cambiare le impostazioni DNS predefinite sui propri dispositivi mobili a favore di Cloudflare sfruttando i vantaggi offerti da DoH può scaricare l’applicazione 1.1.1.1 disponibile sia sull’App Store di Apple che sul Play Store di Google. Chi volesse impostare 1.1.1.1 sul proprio computer fisso o portatile mantenendo i vantaggi offerti da DoH può abilitare DNS over HTTPS nel proprio browser web (se quel browser è Firefox), oppure avventurarsi nell’installazione del client Cloudflare open source (disponibile per Windows, macOS e Linux) seguendo la documentazione disponibile qui.

Se hai bisogno di più protezione rispetto a quella che HTTPS e DoH possono fornire, dai un’occhiata al capitolo sulle VPN.

Vai all’indice ⇾


Browser web


Un elemento importante per quanto riguarda la protezione durante la navigazione sul web è la scelta di un buon browser web, uno che sia facile da usare ma anche in grado di proteggere la tua sicurezza e la tua privacy.

Prendi in considerazione di provare il browser Firefox se non lo hai provato di recente. E’ un prodotto fortemente orientato alla sicurezza e alla privacy e mette a disposizione funzioni come le notifiche di Firefox Monitor per avvisare gli/le utenti quando visitano un sito che ha subito una recente violazione dei dati, la capacità (come menzionato sopra) di abilitare DNS over HTTPS direttamente all’interno del browser semplicemente spuntando una casella, così come alcune funzioni (ed estensioni) focalizzate alla protezione dal tracciamento menzionate nel capitolo su tracciamento e pubblicità online.

I prodotti Firefox non sono controllati da un’azienda affamata di dati come Google, ma da un’organizzazione non a scopo di lucro (Mozilla) che si occupa di proteggere i propri utenti e le proprie utenti e di rendere Internet un posto migliore per tutte le persone.

Eccoti un aiuto, nel caso ti servisse: Passare da Chrome a Firefox (Mozilla)

Se hai bisogno di un browser web basato su Chromium (Chromium è il progetto open source alla base di Google Chrome) allora considera di provare il browser Brave. Come Google Chrome ha accesso alle estensioni disponibili tramite il Chrome Web Store, ma a differenza di Google Chrome è dotato di una serie di funzioni volte al mantenimento della privacy e nasce da un’impegno generale più marcato a favore della privacy e della sicurezza degli utenti e delle utenti.

Se sei alla ricerca di uno strumento per navigare il web in modo anonimo e/o eludere la censura, allora il browser Tor è probabilmente quello che stai cercando.

Una nota: qualunque sia il browser che scegli di usare, tieni presente che la navigazione anonima (a volte definita come navigazione in incognito o InPrivate) NON è uno strumento per proteggere l’anonimato.

Vai all’indice ⇾


Impostazioni e politiche sulla privacy


Le applicazioni e i servizi che usi sono accompagnati, tra le altre cose, da informative sulla privacy e da un certo numero di impostazioni sulla privacy attive in modo predefinito. Questo può tradursi in informative e impostazioni che permettono ad aziende come Facebook e Google di utilizzare i tuoi dati personali per generare pubblicità mirata, ma anche autorizzazioni che consentono alle applicazioni che usi di accedere a componenti del telefono come la fotocamera e il microfono oppure ad informazioni quali la tua posizione geografica, i tuoi contatti, il tuo calendario, le tue foto ecc.

Dato che spesso sicurezza e privacy non sono fornite in modo predefinito, considera di visionare attentamente queste informative e impostazioni sulla privacy per essere sicur* di essere a tuo agio di fronte alla quantità di dati personali ai quali le applicazioni e i servizi che usi sono in grado di accedere, e che possono eventualmente raccogliere, archiviare, utilizzare o condividere. Fare questo potrebbe voler dire:

  • Leggere le informative sulla privacy e i termini di servizio
    Quando ti iscrivi a un servizio, o apri un’applicazione per la prima volta, ti viene chiesto di accettare informative e termini che regoleranno il tuo rapporto con quell’applicazione o servizio e ciò che tu e la società che gestisce il servizio potrete fare o non potrete fare. Considera seriamente di leggere questi documenti.
  • Controllare le autorizzazioni delle applicazioni che usi
    Quante delle tue applicazioni hanno realmente bisogno di accedere alla tua posizione, al tuo microfono, alla tua fotocamera o al tuo elenco contatti per funzionare correttamente?
  • Controllare le impostazioni sulla privacy delle applicazioni e dei servizi che usi
    Magari vuoi proteggere WhatsApp con un PIN? O non vuoi che iOS esegua un backup automatico non criptato dei tuoi messaggi sul cloud? Hai mai fatto un Controllo della privacy o visitato le pagine Privacy, App e siti web, e le tue preferenze relative alle inserzioni su Facebook? Hai mai visitato il Controllo privacy e la pagina Le mie attività del tuo account Google? Hai mai visitato la pagina Privacy e sicurezza e la pagina I tuoi dati di Twitter sul tuo account Twitter? Eri a conoscenza del fatto che Google con l’Assistente Google e Amazon con Amazon Alexa archiviassero sui loro server ogni conversazione che hai mai avuto con il tuo telefono, il tuo Google Home o il tuo Amazon Echo (comprese quelle che potrebbe aver catturato accidentalmente) e che puoi ascoltarle e cancellarle?
  • Controllare le autorizzazioni delle estensioni del tuo browser
    Le estensioni del browser possono fare molte cose, oltre ad essere utili: possono avere accesso alla tua cronologia di navigazione, sostituire i contenuti delle pagine che visiti, avere accesso ai dati che inserisci in qualsiasi pagina web (inclusi dati sensibili come i dati finanziari, le password e i tuoi messaggi privati), avere accesso e/o modificare i tuoi segnalibri, ecc. Se alcune delle autorizzazioni richieste da una data estensione dovessero sembrarti strane o eccessive, prendi in considerazione di rimuovere quell’estensione dal tuo browser e magari cercare un’alternativa. Se un’estensione non proviene da una fonte attendibile, potrebbe causare seri danni.
  • Abbandonare alcune applicazioni e servizi cancellando l’account e/o disinstallando l’applicazione.
    Se prendi questa decisione ma vuoi conservare i tuoi dati ricorda che la maggior parte dei servizi permette di scaricare una copia dei propri dati.

Per quanto riguarda la protezione delle informazioni sulla propria posizione, tieni presente che ci sono diversi modi in cui questi dati possono essere accessibili o possono essere raccolti da terzi:

  • Le applicazioni sono in grado di accedere e tenere traccia della tua posizione usando i dati forniti da sistemi globali di navigazione satellitare come il GPS e Galileo. Nella maggior parte dei casi dovresti essere in grado di controllare questo aspetto visitando le impostazioni sulla privacy del tuo dispositivo.
  • Le applicazioni sono anche in grado di tracciare la tua posizione usando la connettività Bluetooth e Wi-Fi. Attualmente sono pochi i sistemi operativi che permettono di controllare questo aspetto.
  • Il tuo indirizzo IP può essere utilizzato dai siti, applicazioni e servizi che usi per determinare il paese dal quale stai accedendo ad Internet. Per ulteriori informazioni su come controllare questo aspetto, consulta il capitolo sulle VPN.
  • Gli operatori di rete mobile sono in grado di rilevare la tua posizione perché sanno a quale dei loro siti cellulari sei conness*, rendendo la divulgazione della tua posizione una routine che può essere evitata solo se sei dispost* a disattivare completamente la connettività cellulare tramite impostazioni quali la modalità aereo.

Vai all’indice ⇾


Tracciamento e pubblicità online


Grandi reti per il tracciamento online come quelle messe a punto da Google, Facebook, Amazon, Twitter ed altre aziende cercano di seguirti ovunque sul web con l’obiettivo di raccogliere quanti più dati possibili su di te e sul tuo comportamento, dati che sono poi in grado di utilizzare per (tra le altre cose) generare pubblicità mirata.

Le pubblicità possono essere invadenti, a volte sfruttate per scopi dannosi (possono per esempio cercare di ingannarti per spingerti ad installare malware o fornire informazioni personali) e possono avere un impatto negativo sulla tua esperienza di navigazione, sul consumo dati e sulla durata della batteria.

I siti web possono anche essere compromessi per generare criptovaluta usando la potenza di calcolo dei tuoi dispositivi senza il tuo consenso, il che può essere un’attività molto redditizia per persone malintenzionate.

Per ridurre al minimo questo tipo di comportamenti puoi provare estensioni del browser come uBlock Origin, Privacy Badger, Ghostery e DuckDuckGo Privacy Essentials e prendere in considerazione di passare a prodotti e servizi incentrati sulla privacy come DuckDuckGo (un motore di ricerca che non traccia gli utenti e le utenti), OsmAnd (un’applicazione di navigazione e mappe offline) e DeepL Translator (un servizio di traduzione automatica meno invasivo per la privacy).

Se usi il browser Firefox dai un’occhiata alla protezione antitracciamento avanzata (disponibile per computer fissi e portatili e per dispositivi iOS e Android) e ad estensioni antitracciamento come Facebook Container e Firefox Multi-Account Containers.

Tieni presente che la maggior parte dei siti web sono finanziati tramite la pubblicità, prendi in considerazione l’idea di disattivare il tuo software per il blocco delle pubblicità o di sostenere finanziariamente i siti sui quali fai maggiore affidamento (o quelli di cui ti fidi di più) in modo che possano continuare a fare il loro lavoro.

Vai all’indice ⇾


Servizi cloud


I servizi cloud possono essere strumenti molto utili, ma possono anche introdurre significativi compromessi in termini di sicurezza e privacy.

Aziende che gestiscono servizi molto popolari come Google Drive, OneDrive, Dropbox, OneNote, Evernote, Documenti Google, Microsoft Office, WeTransfer e così via non possono garantire che gli/le utenti siano le uniche persone in grado di accedere ai propri dati perché, per varie ragioni, hanno scelto di sviluppare questi prodotti in modo che anche loro potessero accedervi.

Nonostante questo possa essere accettabile in alcune circostanze, ci saranno probabilmente situazioni nelle quali (magari anche a costo di perdere qualcosa in termini di funzionalità) potresti voler mantenere il controllo su chi ha accesso ai tuoi dati e su come questi dati vengono gestiti.

E’ qui che entrano in scena servizi criptati end-to-end come Sync per il cloud storage, Standard Notes per le note, CryptPad per l’editing collaborativo di documenti e Firefox Send o OnionShare per la condivisione di file. Tutti questi prodotti criptano e decriptano i dati localmente, in modo da fornire un servizio in grado di assicurare (in misura ragionevole) che solo tu e le persone con le quali vuoi condividere qualcosa siano in grado di accedervi.

PS: se stai cercando un’alternativa offline alla suite di applicazioni di Microsoft Office, dai un’occhiata a LibreOffice della Document Foundation.

Vai all’indice ⇾


Violazioni dei dati


Le violazioni dei dati sono diventate molto frequenti in questi ultimi anni e ogni violazione si aggiunge a un numero crescente di dati personali pubblicamente disponibili (e quindi compromessi).

Si pensi al disastro di Equifax che ha esposto dati personali come i Social Security Number e le date di nascita di oltre 140 milioni di cittadini e cittadine statunitensi, o alla violazione dei dati di Yahoo! che ha esposto informazioni personali di tutti e 3 i miliardi di account registrati sulla piattaforma.

Tutti questi dati compromessi non torneranno mai sotto il controllo di chi li ha persi, e in casi come i Social Security Number e le date di nascita (essendo queste informazioni che non possono essere cambiate) non c’è molto che si possa fare per riparare il danno creato.

In un mondo che fa sempre più affidamento a strumenti digitali per raccogliere, salvare, utilizzare e condividere qualsiasi tipo di dato (compresi dati personali e dati personali sensibili); in un mondo in cui le informazioni personali sono spesso compromesse in violazioni di dati e/o volontariamente divulgate sui social media o altri canali semi-pubblici o non sicuri (e nonostante questo ancora ampiamente utilizzate per identificare e autenticare le persone), persone malintenzionate possono causare grossi danni.

Uno strumento molto utile sia per aumentare la consapevolezza collettiva rispetto al problema, sia per avere informazioni sulle violazioni dei dati è Firefox Monitor.

Si tratta di un sito di facile utilizzo (basato sul progetto Have I Been Pwned? di Troy Hunt) che ti permette di verificare se i tuoi dati sono stati compromessi in una violazione di dati nota consultando un database pubblicamente disponibile, ma anche di registrare i tuoi indirizzi email (in questo caso è richiesto un account Firefox gratuito) per essere avvisat* non appena nuove informazioni che interessano i tuoi account dovessero diventare disponibili.

Una caratteristica interessante di Have I Been Pwned? (che attualmente Firefox Monitor non possiede) è Pwned Passwords, una pagina dove puoi digitare le tue password e sapere immediatamente se sono state compromesse in una violazione dei dati nota. Il procedimento di controllo viene svolto senza che le tue password lascino mai il tuo dispositivo o vengano divulgate a terze parti sfruttando una proprietà matematica nota con il nome di k-anonymity.

Diverse altre aziende hanno incorporato Have I Been Pwned? nei loro prodotti e servizi. Due di queste che ci tengo a menzionare sono il gestore di password 1Password (che lo ha fatto tramite la sezione Watchtower delle sue applicazioni) e l’estensione del browser PassProtect.

Vai all’indice ⇾


Protezione e minimizzazione dei dati


Cerca di essere consapevole di quali dati digitalizzi e dove e come li salvi, così come di quali dati personali stai condividendo, con chi, dove e come.

Questi dati possono essere informazioni personali come nome e cognome, data di nascita, indirizzo di casa e numero della carta d’identità ma anche informazioni sensibili come i dati sanitari, quelli genetici e altri dati che potrebbero essere utilizzati per rivelare la tua origine razziale o etnica, le tue opinioni politiche, le tue convinzioni religiose o filosofiche, la tua vita sessuale o il tuo orientamento sessuale.

Tieni presente che non si tratta soltanto di proteggere i tuoi dati personali, ma anche i dati personali che altre persone hanno condiviso, condividono e condivideranno con te.

Informazioni personali come nome, cognome e data di nascita sono ancora utilizzate in molti casi come uniche informazioni necessarie per autenticare le persone (si guardi per esempio alle compagnie telefoniche…) e potrebbero essere utilizzate per impersonarti e ottenere accesso non autorizzato ad ogni genere di servizio che usi. Inoltre, una volta che dati di questo tipo diventano pubblici, potrebbe non esserci un modo per risolvere il problema. Le password si possono cambiare, ma cambiare cose come la tua data di nascita, il tuo nome e cognome, o il tuo indirizzo di casa è molto meno fattibile (se non impossibile).

Quando ti iscrivi ad un servizio cerca di farti un’idea di come l’azienda che lo gestisce salverà i tuoi dati e se li tratterà in un modo compatibile con la protezione della tua sicurezza e il rispetto della tua privacy. Pensa anche a quali dati un’azienda potrebbe aver bisogno per offrire un determinato servizio rispetto ai dati che effettivamente richiede, e cerca di trovare un modo per fornire esclusivamente lo stretto necessario.

Quel forum online ha davvero bisogno del tuo vero nome, della tua data di nascita e del tuo indirizzo email principale? Sarebbe davvero consigliabile affidare a quel sito di acquisti online i dati della tua carta di credito, o sarebbe invece meglio usare un metodo di pagamento alternativo (tipo PayPal, se disponibile)?

Cerca sempre di capire quanti dati personali sei dispost* a condividere con terzi. Se non sei a tuo agio di fronte alla quantità di informazioni che un determinato servizio chiede di fornire, prendi in considerazione di non usarlo.

Cerca di criptare il maggior numero di dati possibile (maggiori informazioni in merito le trovi nei capitoli crittografia del dispositivo, comunicazione sicura, HTTPS, DNS over HTTPS, browser web, servizi cloud e VPN), cancellando allo stesso tempo i dati di cui non hai bisogno o che non usi più. Questo potrebbe voler dire eliminare messaggi pubblicati sui social media che non ti riflettono più in quanto persona, immagini e video di cui non hai bisogno salvate in qualche cartella condivisa, account che non usi mai o che usi solo raramente (il sito Just Delete Me può aiutarti in questo caso), o vecchi file che stanno solo occupando spazio prezioso. Potrebbe anche voler dire cancellare completamente i tuoi dati da vecchi dispositivi quali telefoni, computer portatili, tablet, dischi rigidi, chiavi USB, schede SD ecc.

Teni presente che, salvo l’utilizzo di uno strumento affidabile per la cancellazione del disco, la migliore soluzione per cancellare completamente i dati da dispositivi quali vecchi dischi rigidi è solitamente la distruzione fisica del disco stesso.

Come scrisse il National Cyber Security Centre del Regno Unito in seguito alla diffusione della notizia che un bug di Google+ avrebbe potuto essere sfruttato per accedere alle informazioni personali degli utenti e delle utenti:

“Per qualsiasi utente dei social media, questa violazione è un promemoria di come le applicazioni che non usiamo più potrebbero ancora contenere i nostri dati e di come questi dati potrebbero essere compromessi in futuro. Si raccomanda a tutt* gli/le utenti attiv* o inattiv* delle piattaforme di social media di rivedere i dati salvati su tali piattaforme con il fine di limitare qualsiasi futura esposizione alle violazioni. Si raccomanda anche la revisione delle proprie impostazioni sulla privacy che aziende (inclusa Google) hanno ampliato con l’introduzione del RGPD/GDPR”.

Prendersi cura dei propri dati significa anche decidere cosa accadrà ai propri account e ai dati salvati in questi account dopo la propria morte. Preferiresti che i tuoi dati venissero cancellati, o preferiresti invece affidare ad una persona (o un gruppo di persone) il trattamento di questi dati? Un piano per la propria morte digitale non è probabilmente qualcosa a cui la gente normalmente pensa, ma è anche l’unico modo per mantenere un certo controllo sui propri dati quando non si è più in vita.

Non sono molti i servizi che offrono attualmente impostazioni o politiche aziendali in questo senso, ma alcuni lo fanno. Magari dacci un’occhiata ad un certo punto?

Ecco un aiuto per navigare l’argomento, nel caso ne avessi bisogno: Death Online: Planning your digital afterlife (The Verge)

Se hai bisogno di proteggerti dalle molestie online, allora visita la guida Speak Up & Stay Safe(r) di Jaclyn Friedman, Anita Sarkeesian e Renee Bracey Sherman.

Vai all’indice ⇾


Ingegneria sociale


L’hacking contemporaneo implica solitamente la partecipazione inconsapevole delle persone o delle organizzazioni prese di mira. Questo perché, per le persone malintenzionate, è molto più facile (e meno costoso) ingannare qualcun* tramite una telefonata, un link o un allegato dannoso (spingendo così la vittima a fare il lavoro per loro), che non farsi strada attraverso sistemi di sicurezza informatica per conto proprio (il che sarebbe probabilmente fattibile, ma tendenzialmente più dispendioso in termini di tempo e denaro).

Nonostante i servizi email più conosciuti riescano a filtrare la maggior parte dei messaggi indesiderati dalla tua casella di posta, i browser web più conosciuti siano in grado di avvertirti quando stai per visitare una pagina web potenzialmente dannosa, i sistemi operativi abbiano capacità proattive e reattive volte a proteggere gli utenti e le utenti da file dannosi e vari altri prodotti e servizi software abbiano delle protezioni abilitate in modo predefinito, tieni presente che tali protezioni non sono in grado di proteggerti da tutto e (cosa ancora più importante) non sono sempre in grado di proteggerti da te stess*.

Ecco alcuni suggerimenti che possono aiutarti a riconoscere ed evitare attacchi che sfruttano l’ingegneria sociale come il phishing, lo spear phishing, il baiting e l’impersonificazione:

  • Cose che sono troppo belle per essere vere
    Comunicazioni di questo tipo possono promuovere oggetti forniti gratuitamente, ingenti somme di denaro o cose simili.
  • Messaggi che trasmettono un senso di urgenza e chiedono di agire in fretta
    Messaggi di questo tipo potrebbero affermare che i tuoi account sono stati violati e chiederti di inserire le tue informazioni in una pagina che assomiglia a quella originale, ma in realtà non lo è.
  • Indirizzi e-mail che non sembrano corretti
    Per esempio indirizzi e-mail molto lunghi e apparentemente casuali, o indirizzi simili a quelli di cui ti fidi ma diversi in qualche piccolo dettaglio meno evidente.
  • Comunicazioni da o a proposito di servizi che non usi
    Come un’e-mail che menziona un conto bancario di una banca con la quale non hai nessun rapporto, o un servizio al quale non ti sei mai iscritt*, o un pacco che non hai mai ordinato.
  • Link sospetti
    Come un link dall’aspetto strano o link abbreviati (per esempio usando bit.ly) recapitati via e-mail, messaggio, SMS o che trovi sui social media.
  • File sconosciuti o sospetti
    Come un file .exe o PDF scaricato da un sito web qualunque o non sicuro invece che da un sito web sicuro e di fiducia, o un file simile recapitato via e-mail, messaggio o SMS.
  • Dispositivi sconosciuti o sospetti
    Questo potrebbe voler dire evitare di inserire dati personali su dispositivi al di fuori del tuo controllo diretto (come un computer alla biblioteca o quello di un amico o un’amica) o di collegare dispositivi sconosciuti (come chiavi USB o dischi rigidi di altre persone o che hai trovato) al tuo computer portatile o altro dispositivo personale.
  • Telefonate sospette
    Quali telefonate dove una persona apparentemente assunta da un’azienda come Microsoft o Apple per fornire servizio clienti o assistenza tecnica ti chiama proattivamente chiedendoti di fornire strane informazioni personali.

Puoi mettere alla prova le tue abilità usando Sei in grado di riconoscere i tentativi di phishing?, un quiz di Jigsaw. Puoi anche utilizzare strumenti come CheckShortURL per vedere dove porta un URL abbreviato prima di aprirlo effettivamente nel tuo browser.

Vai all’indice ⇾


Software antimalware


Se usi un software antimalware (per esempio un software antivirus) tieni presente che per funzionare deve avere accesso quasi completo al sistema sul quale è installato. Vulnerabilità presenti in questo tipo di software non farebbero quindi che aumentare notevolmente la superficie di attacco potenziale.

Questo non significa che non dovresti usarlo, ma che dovresti essere consapevole del fatto che un software antimalware sviluppato male (in particolare se fornito da aziende terze, che devono solitamente fare affidamento su stratagemmi poco trasparenti per avere accesso ad un sistema e permettere ai loro prodotti di funzionare) potrebbe aggiungere gravi vulnerabilità al tuo sistema, invece di contribuire a renderlo più sicuro.

Windows 10 di Microsoft (per esempio) viene fornito con l’applicazione Sicurezza di Windows come parte del sistema operativo. Considera di usare quella.

Qui trovi alcune informazioni aggiuntive sull’argomento:

Qualunque cosa tu scelga di fare, cerca di prestare attenzione ed essere consapevole sia delle azioni che svolgi con i tuoi dispositivi che il contesto nel quale le svolgi. Il software antimalware può effettivamente aiutarti, ma non può e non dovrebbe essere considerato una protezione contro tutto, specialmente nel caso in cui vengano ignorate le pratiche di sicurezza più basilari.

Tra l’altro, nel caso te lo stessi chiedendo: sì, qualsiasi prodotto software ha vulnerabilità. E… sì, c’è malware per tutt*. Nessun sistema è immune e non esiste un sistema a prova di hackeraggio o un sistema sicuro al 100%. È proprio qui che entra in gioco l’importanza di aggiornamenti regolari e tempestivi.

Vai all’indice ⇾


VPN


Una rete virtuale privata (Virtual Private Network) è uno strumento utilizzato da persone diverse in diverse parti del mondo per fare cose diverse. Una persona potrebbe utilizzare una VPN fidata (la parola chiave qui è “fidata”) per accedere a contenuti soggetti a blocco geografico, impedire al proprio ISP di avere accesso (e magari trarre guadagno) dalla propria attività Internet, o semplicemente per navigare in modo sicuro e privato mentre è collegata ad una rete Wi-Fi pubblica; mentre un’altra persona potrebbe usarne una per proteggersi dalla sorveglianza di massa e da leggi sulla conservazione obbligatoria dei dati o magari anche per aggirare la censura ed essere in grado di esercitare pienamente i propri diritti umani.

Usare una VPN significa inviare tutto il proprio traffico Internet ad uno dei server della VPN che si è scelto (le VPN hanno di solito centinaia o addirittura migliaia di server sparsi in giro per il mondo) attraverso un tunnel criptato, traffico che a quel punto viene decriptato per raggiungere la destinazione. I due principali risvolti positivi di una soluzione di questo tipo sono:

  • La crittografia del traffico
    Chiunque sia posizionat* tra te e i server della VPN (che sia una persona malintenzionata, un ISP non regolamentato o un’agenzia di intelligence) potrà solo vedere che sei conness* ad una VPN e non avrà alcun tipo di accesso al tuo traffico Internet.
  • L’offuscamento dell’indirizzo IP
    Qualsiasi servizio al quale ti connetterai vedrà solo l’indirizzo IP del server della VPN, nascondendo così gli indirizzi IP dei tuoi dispositivi. Questo significa che il tuo traffico apparirà ai servizi che usi come se provenisse dai server della VPN invece che dalla tua posizione fisica reale.

Ricorda: una VPN protegge solo la connessione tra te e i servizi che usi, non ti impedisce di visitare siti web dannosi, nè di fornire (volontariamente o involontariamente) informazioni personali a questi servizi. Visto che i dati vengono criptati localmente sui tuoi dispositivi e vengono poi decriptati una volta raggiunti i server della VPN, utilizzarne una significa spostare la fiducia dal tuo ISP all’azienda che gestisce la VPN. Per questo è estremamente importante trovare una VPN della quale ti puoi davvero fidare.

Non tutti i servizi VPN offrono lo stesso livello di protezione. Elementi ai quali è importante prestare attenzione durante la ricerca di una VPN sono l’informativa sulla privacy, il paese che ospita la loro sede legale, il paese dal quale gestiscono il servizio (che ti aiuterà a capire quanto puoi fidarti di loro in base al tipo di leggi alle quali devono sottostare), chi gestisce il servizio e la tecnologia e i protocolli di sicurezza utilizzati per proteggere le tue informazioni.

Le VPN gratuite sono solitamente sconsigliate in quanto molte traggono profitto dalla vendita degli stessi dati che i/le clienti vogliono proteggere.

Una VPN che mi sento a mio agio a menzionare in questa sede è ProtonVPN (sviluppata dalle stesse persone che gestiscono ProtonMail). ProtonVPN utilizza il protocollo OpenVPN, ha alcune caratteristiche legate alla sicurezza che ritengo molto interessanti, ed ha ricevuto di recente un commento molto positivo da parte di Mozilla. Ecco la recensione che VPNpro ha fatto del loro prodotto: Recensione di ProtonVPN

Se quello che cerchi è uno strumento in grado di proteggere l’anonimato, dai un’occhiata al Tor Browser.

PS: Le VPN sono una soluzione a mancanze a livello di regolamentazione (Mo Bitar)

Vai all’indice ⇾


Sicurezza della webcam


Le webcam sono un componente hardware che è generalmente facile ed economico da hackerare. Considera di coprirle con del nastro adesivo o con un adesivo quando non le stai usando.

Questo non ti renderà a prova di sorveglianza (probabilmente ci sono molte altre telecamere intorno a te in qualsiasi momento che puoi controllare di meno o non puoi controllare affatto, per non parlare dei microfoni, che sono molto più difficili da coprire o disabilitare) ma ehi, almeno stai facendo qualcosa in merito, e se da un lato questo potrebbe darti un senso di maggior sicurezza, dall’altro significa dire in modo discreto alle altre persone che la sicurezza e la privacy per te sono importanti (il che è in se utile, e divertente).

Vai all’indice ⇾


Backup dei dati


Una cosa che puoi fare per cercare di evitare di perdere i tuoi dati a causa di un attacco ransomware o di un guasto del disco rigido o dell’unità allo stato solido (che capiteranno prima o poi) sono i backup.

Puoi eseguire il backup dei tuoi file su un’altra unità di archiviazione usando strumenti come SyncBack per eseguire il backup e VeraCrypt per eseguire la crittografia (per ulteriori informazioni su questo argomento, consulta il capitolo sulla crittografia del dispositivo).

In alternativa o in aggiunta a questo (a seconda delle tue esigenze) puoi eseguire il backup dei tuoi file su un servizio di cloud storage criptato end-to-end come Sync o su un servizio non criptato end-to-end se i dati sono già criptati, o se i dati interessati non sono dati personali e la divulgazione di questi a terze parti non sarebbe motivo di preoccupazione per te o altre persone.

Nel scegliere l’opzione (o la combinazione di opzioni) che meglio si adatta alle tue esigenze, tieni conto della sensibilità dei dati in questione, nonché (nel caso di servizi non criptati end-to-end) della fiducia che sei dispost* a riporre nell’azienda che gestisce il servizio.

Vai all’indice ⇾


Valutazione della sicurezza personale


Un buon modo per applicare quanto trattato nei capitoli precedenti alla propria situazione personale è definire il proprio modello di minaccia:

  • Cosa stai cercando di proteggere?
    Che informazioni consideri abbastanza personali/sensibili da essere dispost* a prendere provvedimenti per evitare che finiscano nelle mani sbagliate o diventino pubbliche?
  • Da chi le stai cercando di proteggere?
    Quello che ti preoccupa è la sorveglianza da parte della polizia, la sorveglianza aziendale, la sorveglianza da parte dei tuoi genitori, la minaccia che pongono le persone con accesso fisico ai tuoi dispositivi e sistemi quali coniugi, compagn* di stanza e datori o datrici di lavoro, o quello che ti interessa è l’adozione di misure di sicurezza generali per evitare di perdere il controllo sulle tue informazioni in seguito a un attacco hacker?
  • Se questa persona o entità dovesse cercare di impadronirsi di ciò che stai cercando di proteggere, come lo farebbe?
    Potrebbe semplicemente afferrare il tuo dispositivo? Dovrebbe indovinare un PIN? Potrebbe cercare di accedere ai tuoi dispositivi da remoto utilizzando malware? Potrebbe cercare di indovinare la password che riutilizzi ovunque? Sarebbe disposta a costringerti a sbloccare i tuoi dispositivi o account per lei?
  • Se avesse successo, quanto gravi sarebbero le conseguenze?
    Quale potrebbe essere lo scenario peggiore? Come gestiresti una situazione del genere se ti trovassi a doverla affrontare?
  • Quanto è probabile che qualcun* cerchi di impadronirsi di quello che stai cercando di proteggere?
    Quanto pensi che le tue informazioni siano preziose per la persona o l’entità in questione?
  • Quali risorse (come tempo e magari denaro) sei dispost* a investire per mettere al sicuro ciò che stai cercando di proteggere?

Mentre rifletti su queste domande tieni a mente che capire di chi e di che cosa ti fidi, così come renderti conto del fatto che se c’è qualcun* che ti ha pres* di mira le sue capacità cresceranno probabilmente con il passare del tempo, può essere molto importante.

Ecco una buona risorsa dell’Electronic Frontier Foundation che esplora più a fondo l’argomento: Il tuo piano di sicurezza (EFF).

Vai all’indice ⇾


Coinvolgi altre persone


Quelle che abbiamo visto finora sono alcune delle più importante azioni individuali che ogni persona può intraprendere per proteggere al meglio i propri dati e i dati che le altre persone condividono con lei.

Il problema, però, è il seguente: la sicurezza e la privacy sono forti solo quanto lo è il punto più debole di un qualsiasi sistema informatico o gruppo di persone. Si tratta quindi di temi che possono essere realmente affrontati solo se si fa gioco di squadra.

Una volta che inizi a pensare alla protezione dei dati come un viaggio che tu e le persone intorno a te potete intraprendere insieme e come ad un bene pubblico, chiediti: queste persone (quelle con cui condivido informazioni personali, private e/o sensibili) proteggono i loro dati e i dati che condivido con loro? Sarebbe sensato per me suggerire, chiedere o addirittura esigere che seguano buone pratiche simili a quelle messe in evidenza in questo progetto?

Vai all’indice ⇾


Conclusione


La sicurezza personale e la privacy riguardano noi, sia in quanto individu* che in quanto società. Sono qualcosa al quale dovremmo pensare e di cui dovremmo parlare perché (che ce ne rendiamo conto o no) sono al centro di tutto ciò che facciamo online e offline e toccano le nostre vite (direttamente o indirettamente) ogni giorno.

Per dirlo con le parole di Edward Snowden:

“Una delle cose più importanti sulla quale penso tutte le persone abbiano il dovere di riflettere (collettivamente nella società) è quando siamo spint* a pensare in un certo modo e ad accettare una certa idea di riflesso, senza affrontarla concretamente.

L’idea che gira, che se non hai niente da nascondere non hai nulla da temere, ha origine dalla propaganda nazista. Ciò non vuol dire equiparare le azioni del nostro attuale governo al nazismo, ma quella è l’origine della citazione. Viene dal ministro della propaganda Joseph Goebbels.

Quindi quando ascoltiamo i politici, le politiche e le persone del nostro tempo ripetere questo di riflesso senza confrontarsi con le sue origini, ciò che realmente rappresenta, penso sia dannoso.

E se effettivamente ci pensiamo, non ha senso. Perché la privacy non riguarda qualcosa da nascondere. La privacy riguarda qualcosa da proteggere. E’ chi sei. Ciò in cui credi. La privacy è il diritto all’essere te stess*. La privacy è ciò che ti dà la possibilità di condividere con il mondo chi sei alle tue condizioni. Che ti permette di far capire al mondo chi stai cercando di essere e al tempo stesso proteggere le parti di te delle quali non sei ancora sicur*, con le quali stai ancora sperimentando.

Senza privacy, quello che perdiamo è la capacità di commettere errori, la capacità di essere noi stess*. La privacy è la fonte di tutti gli altri diritti. La libertà di parola non ha molto significato se non puoi avere uno spazio tranquillo, uno spazio tuo, la tua mente, la tua comunità, i tuoi amici e le tue amiche, la tua famiglia, per decidere cosa vuoi dire veramente.

La libertà di religione non significa molto se non riesci a capire quello in cui credi perchè influenzat* da critiche esterne o dalla pressione delle persone intorno a te. E così via.

La privacy è parte integrante della nostra lingua, dei nostri concetti fondamentali di governo e di sè. È per questo che la chiamiamo “proprietà privata”. Senza la privacy non hai nulla per te.

Quindi, quando la gente mi dice questo, rispondo che sostenere non ti interessi la privacy perché non hai nulla da nascondere è come sostenere non ti interessi la libertà di parola perché non hai nulla da dire “.

Buon proseguimento 🌱

Vai all’indice ⇾


Pagina aggiornata al 23 dicembre 2019
Precisely Private è diponibile anche in eBook, PDF e come Servizio Onion.