Guida alle buone pratiche

In English »

Questa è una guida alla privacy online per il grande pubblico. Si compone di un elenco di buone pratiche ampiamente riconosciute che ogni persona dovrebbe considerare di adottare per meglio proteggere la propria privacy e la propria sicurezza online.

Ultima modifica della pagina → 21 novembre 2021
Ultima revisione della pagina → 7 agosto 2021

Indice

1. Aggiornamenti software

2. Password del dispositivo

3. Crittografia del dispositivo

4. Trova il mio dispositivo

5. Gestione delle password

6. Autenticazione a più fattori

7. Comunicazione sicura

8. HTTPS

9. DNS sicuro

10. Browser web

11. Impostazioni e politiche sulla privacy

12. Tracciamento web e delle app

13. Servizi cloud

14. Violazioni di dati

15. Protezione e minimizzazione dei dati

16. Backup dei dati

17. Ingegneria sociale

18. Software antimalware

19. Sicurezza di webcam e microfono

20. VPN

21. Tor

22. Valutazione personale del rischio

23. Coinvolgi altre persone

24. Conclusione

Aggiornamenti software

2 min di lettura

Ogni software è complesso, imperfetto e in continua evoluzione.

Una delle cose più importanti che puoi fare per proteggere le tue informazioni è tenere il tuo software (come le tue applicazioni e i tuoi vari sistemi operativi) sempre aggiornato, assicurandoti al tempo stesso che sia abbastanza recente da essere ancora supportato da chi lo ha sviluppato (che si tratti di uno sviluppatore o una sviluppatrice indipendente o di una grande azienda come Apple, Google, Microsoft o Samsung). In questo modo non solo ti assicurerai di avere accesso alle ultime funzionalità e correzioni, ma anche alla versione più sicura che un determinato prodotto software può offrire in quel preciso momento.

Tieni presente che i telefoni, i tablet, ed i computer portatili e fissi non sono gli unici dispositivi che dipendono da aggiornamenti software regolari e tempestivi per funzionare in modo sicuro, migliorare con il passare del tempo ed introdurre nuove funzionalità. Anche i router (che sono al centro di qualsiasi rete locale come la tua rete domestica) e dispositivi IoT come altoparlanti, lampadine, frigoriferi, campanelli, televisori e telecomandi intelligenti fanno affidamento a questi aggiornamenti per le medesime ragioni.

Per dirlo con le parole di Gennie Gebhart dell’Electronic Frontier Foundation (che ho tradotto dall’inglese e modificato per fini di chiarezza):

“Tutto il software è una bozza, semplicemente alcuni software sono meglio abbozzati di altri. I tuoi dispositivi sono pieni di software ed ogni software contiene degli errori; è scritto da esseri umani e gli esseri umani commettono immancabilmente degli errori ad un certo punto. Ci sono (idealmente) interi gruppi di ingegneru costantemente al lavoro su questi sistemi operativi e applicazioni per trovare gli errori e correggerli. Quello che ti viene chiesto è soltanto di cliccare “Aggiorna” e magari riavviare. Se non lo fai, significa che c’è un modo per approfittare del tuo dispositivo o del tuo software che è ormai noto in giro per il mondo. Finché non clicchi “Aggiorna” sei più facile ed economicu da hackerare”.

Vai all’indice ⇾

Password del dispositivo

3 min di lettura

Puoi cercare di evitare che altre persone abbiano accesso ai tuoi dati personali (così come ai dati personali che le persone con le quali sei in contatto condividono con te) impostando una password robusta e unica (a volte chiamata codice o PIN) su ciascuno dei tuoi dispositivi.

Pensa a tutte le informazioni personali e sensibili che riguardano te e le persone a te care che hai salvato sul tuo telefono, portatile o altro dispositivo (note, info di contatto, chat, foto e video, cronologia della navigazione, dati sanitari come le info relative al tuo certificato Covid o al monitoraggio del tuo ciclo mestruale, ecc.), ma anche alle informazioni personali accessibili attraverso di essi (documenti e foto caricate sul cloud, email, info di pagamento o relative al tuo conto bancario, info relative ai tuoi acquisti, ecc.). Probabilmente non vorresti che tutto questo restasse senza protezione ogni volta che lasci uno dei tuoi dispositivi incustodito, o nel caso in cui dovessi perderne uno. Anche le persone che condividono informazioni personali con te probabilmente vorrebbero evitare che questo succeda.

Una volta impostata una password, potrebbe essere possibile (in base al dispositivo che stai usando) abilitare una qualche forma di autenticazione biometrica. In questo caso sarai anche in grado di sbloccare i tuoi dispositivi per mezzo della scansione di parti del corpo come le impronte digitali, il viso o l’iride.

Questo può aiutarti a rendere più facile e veloce l’azione di sbloccare i tuoi dispositivi e, allo stesso tempo, consentirti di utilizzare password più robuste e di ridurre la finestra di tempo tra quando blocchi i tuoi dispositivi e quando è necessaria una password o un fattore biometrico per sbloccarli (dato che la scomodità di dover digitare ogni volta una password per accedere non sarà più presente). Questo può anche aiutarti a mantenere le tue password private quando usi i tuoi dispositivi davanti ad altre persone (ad esempio in luoghi pubblici) o in spazi videosorvegliati.

Tieni presente che non tutte le forme e le implementazioni di autenticazione biometrica offrono lo stesso livello di sicurezza (ad esempio alcune possono essere ingannate da una semplice stampa o da un video del tuo volto). Questo significa che sarebbe consigliabile facessi qualche ricerca in anticipo per avere la certezza di essere a tuo agio con il livello di protezione che un dato sistema biometrico è in grado di fornire. Se i risultati della ricerca dovessero metterti a disagio (o se per qualsiasi motivo l’autenticazione biometrica non dovesse essere fattibile nel tuo caso in particolare) ricorda di usare comunque una password robusta e unica.

Un buon modo per creare password robuste, tutte diverse una dall’altra e facili da ricordare è tramite il metodo Diceware. Fai un salto al capitolo sulla gestione delle password per maggiori informazioni in merito.

Una nota: non dovresti (nella maggior parte dei casi) condividere le tue password o passphrase con altre persone. Se hai il sospetto (o la certezza) che una delle tue password è stata compromessa, cambiala il prima possibile.

Vai all’indice ⇾

Crittografia del dispositivo

5 min di lettura

Puoi attivare la crittografia del dispositivo sulla memoria interna dei tuoi dispositivi e su qualsiasi unità esterna (come chiavi USB, dischi rigidi, unità a stato solido e schede SD) per rendere più difficile a chiunque estrarre qualsiasi dato.

I dati salvati su dispositivi quali iPhone e iPad possono essere facilmente criptati impostando un codice (eventualmente affiancato da Touch ID o Face ID).

I dispositivi Android più recenti vengono solitamente criptati in automatico una volta attivato il blocco schermo. Puoi assicurarti sia effettivamente così visitando la sezione Sicurezza dell’app Impostazioni e cercando informazioni sullo stato crittografico del tuo dispositivo. I dispositivi Android meno recenti dovrebbero anch’essi fornire la crittografia, ma come funzionalità facoltativa attivabile dalla sezione Sicurezza (o Sicurezza e posizione) della loro app Impostazioni.

I computer Mac con OS X Yosemite (10.10) o successivo vengono criptati in modo predefinito durante la configurazione iniziale tramite FileVault, questo a meno che l’utente non decida di disabilitare manualmente la funzione. Puoi controllare se il tuo dispositivo è criptato aprendo le Preferenze di Sistema, cliccando su Sicurezza e Privacy e controllando se FileVault è attivato o disattivato dal pannello omonimo. Durante la procedura per abilitare la crittografia del dispositivo (sia che questo accada durante la configurazione iniziale o in un secondo momento) ti verrà chiesto se vuoi utilizzare il tuo account iCloud per sbloccare il disco e reimpostare la password. Anche se da un lato questa potrebbe sembrare una comodità, dall’altro significa affidare a terzi (in questo caso ad Apple) la password del tuo dispositivo, il che probabilmente significa concedere all’azienda la possibilità di reimpostare la password e sbloccare il tuo dispositivo al posto tuo, se lo volesse o se fosse costretta a farlo. Se preferisci essere l’unica persona in grado di sbloccare il tuo computer ed hai scelto di non permettere al tuo account iCloud di farlo per te, allora verrà generata una chiave di recupero, assicurati di salvarla in un luogo sicuro. Nota bene: se stai impostando questa opzione durante la configurazione iniziale, dovrai deselezionare manualmente l’opzione “Consenti al mio account iCloud di sbloccare il disco” per fare in modo che la password del dispositivo non venga salvata nel cloud.

I dispositivi Windows più recenti dovrebbero abilitare automaticamente la crittografia del dispositivo (talvolta denominata Crittografia del dispositivo BitLocker) al momento della configurazione iniziale se l’utente decide di accedere con il proprio account Microsoft. Ciò significa che le persone che scelgono di non accedere con il proprio account Microsoft (e di utilizzare quindi un account utente locale) non potranno utilizzare la funzione, mentre le persone che scelgono di accedere con il proprio account Microsoft non potranno evitare che la loro chiave di ripristino venga automaticamente caricata su OneDrive. Questo non è l’ideale perché significa affidare a terzi (a Microsoft in questo caso) la tua chiave di ripristino, il che probabilmente significa concedere all’azienda la possibilità di reimpostare la password e sbloccare il tuo dispositivo al posto tuo, se lo volesse o se fosse costretta a farlo. Puoi controllare se questa funzione è disponibile sul tuo dispositivo e se è attivata o disattivata aprendo le Impostazioni, facendo clic su Aggiornamento e sicurezza e poi su Crittografia dispositivo. Date le limitazioni di questa opzione ti consiglierei di dare un’occhiata ad alternative più complete come BitLocker (disponibile su Windows 10 Pro, Enterprise ed Education ma non disponibile su Windows 10 Home), oppure ad uno strumento di terze parti gratuito ed open source come VeraCrypt.

Alcune delle distribuzioni Linux più diffuse come Ubuntu e Linux Mint offrono la possibilità di abilitare la crittografia durante il processo di installazione.

Se vuoi criptare unità di archiviazione esterne (quali chiavi USB, dischi rigidi, ecc.) o creare contenitori di file criptati che puoi archiviare dove vuoi, dai un’occhiata al già citato VeraCrypt.

Se stai cercando uno strumento che sia un po’ più semplice da usare, allora dai un’occhiata a Cryptomator. Cryptomator funziona criptando i file singolarmente, invece che creando un unico contenitore criptato come fa VeraCrypt. Questo significa che le informazioni sul numero e le dimensioni dei file saranno accessibili anche una volta che i dati sono stati criptati (che in alcune circostanze potrebbe non essere l’ideale), ma al tempo stesso consente di sincronizzare facilmente i dati criptati con servizi cloud non criptati end-to-end come iCloud Drive, Dropbox, OneDrive o Google Drive.

Tieni presente che i dispositivi criptati potrebbero dover essere spenti ed i contenitori o le cassaforti criptate smontati/e o chiusi/e affinché i dati siano completamente criptati.

Lascio di seguito alcune risorse (in inglese) che potresti trovare utili:

Vai all’indice ⇾

Trova il mio dispositivo

1 min di lettura

Puoi abilitare funzioni come Trova il mio dispositivo (disponibile su Windows e Android) e Dov’è (disponibile su iOS, iPadOS e macOS) per avere accesso ad alcune delle seguenti possibilità:

  • Localizzare il dispositivo su una mappa.
  • Fare in modo che il dispositivo emetta un suono.
  • Bloccare il dispositivo e far apparire un messaggio personalizzato sullo schermo.
  • Cancellare tutti i dati salvati sul dispositivo.

Inoltre il blocco di attivazione di Apple e le funzioni di protezione del telefono di Google aiutano ad impedire a persone non autorizzate di utilizzare dispositivi smarriti o rubati anche qualora i dati salvati su questi dispositivi dovessero essere cancellati da remoto.

Tieni conto che abilitare funzioni di questo tipo significa inviare regolarmente informazioni relative alla propria posizione a un’azienda come Apple, Microsoft o Google (a seconda del dispositivo in questione). Devi pertanto bilanciare il vantaggio di poter localizzare, proteggere e cancellare da remoto i tuoi dispositivi con la tua disponibilità a divulgare tali informazioni personali a terze parti.

Tieni presente che questo non è l’unico modo in cui i tuoi dispositivi possono trasmettere informazioni relative alla tua posizione a terzi. Maggiori informazioni in merito sono disponibili nel capitolo sulle impostazioni e politiche sulla privacy.

Vai all’indice ⇾

Gestione delle password

5 min di lettura

Puoi usare un gestore di password (una cassaforte digitale criptata) per migliorare in modo drastico la sicurezza dei tuoi account e semplificare la gestione di informazioni così sensibili.

Alcune delle opzioni che si distinguono per buona reputazione sono:

Usare un gestore di password significa poter fare affidamento su un generatore di password casuali in grado di produrre password robuste e tutte diverse l’una dall’altra da usare per i propri account ed al tempo stesso non doversi preoccupare di impararle a memoria. Significa creare un elenco più o meno organizzato di tutte le informazioni relative ai propri account (e altre informazioni che si vuole tenere al sicuro ed a portata di mano) e salvarlo in forma criptata in modo che soltanto la persona che conosce la password del gestore di password è in grado di accedere ai dati. Significa anche poter evitare di usare account preesistenti (come un account Google, Facebook, Microsoft o Apple) per accedere ad altri servizi, il che può avere implicazioni negative per la privacy e la sicurezza.

Immagina una stringa di oltre 30 caratteri composta da lettere, numeri e simboli generati in modo casuale: questa è una password! 123456, singole parole dal dizionario, titoli di film, date, nomi di persone o animali o altre informazioni personali non sono password.

Puoi approssimare la robustezza delle tue password usando il Password Strength Testing Tool offerto da Bitwarden. Puoi anche fare un salto al capitolo sulle violazioni di dati per capire come controllare se i tuoi account sono stati compromessi in casi noti di violazioni di dati e quali azioni puoi compiere in seguito ad un evento di questo tipo.

La maggior parte dei gestori di password sono in grado di compilare automaticamente informazioni quali nome utente e password direttamente nelle pagine web o nelle app che usi. Su dispositivi mobili questa funzione è attivabile in seguito all’installazione dell’app del gestore di password scelto, mentre su computer portatili e fissi la funzione è solitamente fruibile nel browser installando l’estensione del browser del gestore di password in questione.

Durante la configurazione del gestore di password ti verrà chiesto di creare una password generale. Questa è la password che ti permetterà di accedere a tutto ciò che salverai nel tuo gestore di password, ed è una delle poche password (insieme alle password dei tuoi dispositivi personali e forse un paio d’altre) che dovrai imparare a memoria.

Un buon modo per creare password facili da ricordare ma al tempo stesso robuste e sempre diverse l’una dall’altra è usare delle passphrase create con l’aiuto del metodo Diceware.

La maggior parte dei gestori di password includono un generatore di password in grado di generarle per te. (Se stai ancora configurando il tuo gestore di password ed usare il generatore non è ancora possibile, puoi usare un’opzione accessibile tramite browser come il Generatore di password complesse di 1Password o il Bitwarden Strong Password Generator). Questo è il metodo più semplice.

In alternativa puoi prendere cinque dadi (anche uno solo va bene) e un elenco di parole Diceware come questo di Tarin Gamberini. Come avrai notato ogni parola della lista è identificata da una stringa unica di cinque numeri. Quello che devi fare è tirare i dadi fino ad ottenere i primi cinque numeri: la parola corrispondente sarà la prima della tua passphrase! Continua a tirare i dadi finché la tua passphrase raggiungerà una certa robustezza.

Generalmente si consiglia di creare delle passphrase lunghe almeno dalle cinque alle sette parole.

Ecco alcune risorse (la maggior parte in inglese) sull’argomento:

Nonostante un gestore di password sia la soluzione migliore per la maggior parte delle persone, ci saranno casi in cui (per qualsiasi motivo) una soluzione software non è fattibile. Se ti trovi in questa situazione tieni presente che gestire le tue credenziali usando un libro delle password fisico che conservi in un luogo sicuro potrebbe essere meglio che non gestirle affatto.

Una volta impostato password (o passphrase) robuste e uniche per i tuoi account, dovresti essere a posto. Aziende e servizi che seguono pratiche di sicurezza informatica moderne dovrebbero richiedere un cambio di password solo se sospettano (o hanno la certezza) che le tue password siano state compromesse.

Una nota: non dovresti (nella maggior parte dei casi) condividere le tue password o passphrase con altre persone.

Vai all’indice ⇾

Autenticazione a più fattori

5 min di lettura

Puoi abilitare l’autenticazione a più fattori (l’autenticazione a due fattori, la verifica in due passaggi, ecc. sono tutte forme di autenticazione a più fattori) per aggiungere un ulteriore passaggio a sistemi di autenticazione che altrimenti chiederebbero di fornire un solo fattore (per esempio una password) per eseguire l’accesso, migliorando così la sicurezza dei tuoi account in modo significativo.

Probabilmente hai già usato una qualche forma di autenticazione a più fattori in passato. Se possiedi una carta di credito e vai ad uno sportello automatico per prelevare contanti ti viene chiesto di inserire la tua carta e di fornire un PIN: questa è una forma di autenticazione a più fattori!

Questi fattori aggiuntivi possono essere qualcosa che conosci (come una password o un PIN), qualcosa che possiedi (come una carta di credito, un telefono o una chiave di sicurezza), o qualcosa che sei (attraverso la scansione delle impronte digitali, del viso o dell’iride). Messi insieme rendono molto più difficile la vita di chi cerca di rubare le tue informazioni.

Nel caso delle aziende e dei servizi online che supportano l’autenticazione a più fattori, i fattori aggiuntivi sono solitamente implementati in forma di codici di verifica validi una sola volta recapitati al tuo telefono (qualcosa che hai) via SMS, chiamata cellulare o email, o generati da un’applicazione di autenticazione installata sul tuo telefono (sempre qualcosa che hai). In alcuni casi l’autenticazione a più fattori può essere disponibile come notifica push inviata al tuo telefono con una semplice domanda Si/No, oppure tramite la possibilità di impostare una chiave di sicurezza, un piccolo dispositivo fisico in grado di fornire un livello di protezione più elevato da comuni attacchi informatici come il phishing.

Tieni presente che nonostante l’autenticazione a più fattori rappresenti un significativo miglioramento nella protezione dei tuoi account e qualsiasi tipo di autenticazione a più fattori è meglio di niente, non tutti i metodi di autenticazione a più fattori offrono lo stesso livello di protezione:

L’autenticazione a più fattori tramite SMS è meglio di niente (a meno che i codici inviati al telefono via SMS non vengano utilizzati anche come metodo di autenticazione a fattore singolo per il recupero dell’account) ma comporta al tempo stesso l’invio di codici di verifica tramite un canale di comunicazione intrinsecamente insicuro, spesso non verificabile e facilmente soggetto ad attacchi di ingegneria sociale e spoofing.

L’autenticazione a più fattori tramite app è più conveniente (non richiede connessione Internet o cellulare per funzionare) e molto più sicura rispetto all’autenticazione a più fattori via SMS.

L’autenticazione a più fattori tramite chiave di sicurezza è generalmente considerata l’opzione di autenticazione a più fattori più sicura attualmente disponibile.

Tieni anche presente che le varianti di autenticazione a più fattori disponibili (così come il modo in cui queste vengono chiamate) possono variare da un servizio all’altro. Questo significa che a volte il metodo di autenticazione a più fattori che preferisci potrebbe non essere disponibile e altre volte potrebbe essere necessario cercare con attenzione per trovare quello che cerchi. Eccoti un po’ di aiuto: 2FA Directory (2FactorAuth).

Quando si abilita l’autenticazione a più fattori spesso viene chiesto di salvare uno o più codici di recupero o codici di backup. Questi codici ti permetteranno di accedere ai tuoi account nel caso in cui dovessi perdere l’accesso al dispositivo con il quale gestisci l’autenticazione a più fattori. Assicurati di tenerli al sicuro nel tuo gestore di password, o in un altro luogo sicuro.

Gestori di password come 1Password, Bitwarden, KeePassXC, Strongbox e KeePassDX ti permettono di gestire le informazioni relative all’autenticazione a più fattori direttamente insieme ai tuoi altri dati sensibili.

Se preferisci tenerle separate puoi dare un’occhiata ad app di autenticazione come Tofu Authenticator, Aegis Authenticator, OTP Auth e andOTP. Queste ultime possono essere utili anche per salvare le informazioni relative all’autenticazione a più fattori del tuo gestore di password, che (per ovvie ragioni) non dovrebbero essere salvate soltanto all’interno del gestore stesso.

Per quanto riguarda le chiavi di sicurezza, le YubiKey, le SoloKey e le Nitrokey sono tra le migliori attualmente disponibili.

Qui trovi alcune risorse (in inglese) che potrebbero aiutarti a scegliere il metodo di autenticazione a più fattori più adatto a te:

Indipendentemente da quanto sia stratificato il tuo approccio alla sicurezza, la sicurezza dei tuoi account è robusta solo quanto lo sono le impostazioni relative al ripristino dell’accesso nel caso in cui dovessi dimenticare la password. Questo per dire che, sulla via per abilitare l’autenticazione a più fattori dappertutto, faresti bene a dedicare un po’ di tempo al controllo di queste impostazioni.

P.S.: applicazioni come Signal e WhatsApp offrono anch’esse forme di autenticazione a più fattori. Prendi in considerazione di abilitarle!

Vai all’indice ⇾

Comunicazione sicura

7 min di lettura

Puoi priorizzare l’uso di strumenti di comunicazione criptati end-to-end come l’app di messaggistica Signal (qui trovi una guida per principianti in inglese) e servizi email quali ProtonMail e Tutanota, rispetto ad opzioni non criptate come le chiamate cellulari e gli SMS oppure ad opzioni che non forniscono la crittografia end-to-end (o non lo fanno in modo predefinito) come Facebook Messenger, Instagram Direct, Telegram, i Messaggi Diretti di Twitter, Skype, WeChat, Gmail e Outlook.com.

Così facendo avrai la garanzia che solo tu e le persone con le quali scegli di comunicare abbiano accesso al contenuto delle tue conversazioni. Nessuna terza parte, quali persone malintenzionate, governi, dipendenti disonestu o anche l’azienda stessa che gestisce il servizio (che sia essa Facebook, Google, Microsoft, Twitter o un’altra azienda) sarà facilmente in grado di avere accesso, abusare o sfruttare le tue informazioni private.

I servizi di comunicazione criptata end-to-end si basano solitamente su una tecnologia chiamata crittografia a chiave pubblica, che prevede l’assegnazione di una chiave pubblica ed una privata ad ogni utente.

Quando una persona invia un messaggio ad un’altra persona (o un messaggio vocale, un allegato, una chiamata vocale, una videochiamata, e così via), i dati vengono criptati localmente sul dispositivo della persona mittente utilizzando la chiave pubblica della persona destinataria per poi essere inviati via Internet alla persona destinataria. Una volta raggiunta la destinazione i dati vengono decriptati localmente utilizzando la chiave privata della persona destinataria (che, come suggerisce il nome, non viene mai condivisa). Ecco fatto!

Le impronte digitali delle chiavi pubbliche (sequenze relativamente brevi di caratteri che identificano in modo univoco una chiave pubblica) possono essere utilizzate per assicurarsi che le conversazioni siano effettivamente criptate end-to-end e per verificare che le persone all’altro capo di una conversazione siano effettivamente chi dicono di essere. Servizi diversi le chiamano in modi diversi: Signal (così come WhatsApp) le chiama codici di sicurezza, mentre ProtonMail si riferisce ad esse semplicemente come impronte digitali. Tutanota non offre attualmente la possibilità di visualizzarle o confrontarle.

Nonostante WhatsApp (di proprietà di Facebook) e altre app di messaggistica proteggano il contenuto delle conversazioni con la crittografia end-to-end in modo predefinito, questo non significa necessariamente che proteggano anche le informazioni relative alla tua identità e alla tua attività. Questo tipo di informazioni (che sono sempre informazioni personali e che, in alcuni casi, potrebbero essere sensibili quanto il contenuto stesso di una conversazione, se non di più) sono comunemente note come metadati, e possono includere informazioni su di te quali il tuo nome, la tua immagine del profilo, il tuo stato, con chi comunichi, quando e con quale frequenza, il nome, l’immagine e la lista di partecipanti di tutti i tuoi gruppi, la tua posizione, informazioni relative a tutte le persone nella tua rubrica (incluse coloro che non usano quella particolare app di messaggistica), come e quando usi l’app, ecc.

Rispetto a WhatsApp, Signal è una non profit finanziata dalle donazioni, ha molte funzioni volte alla protezione dei dati e dei metadati, ha un’informativa sulla privacy molto più chiara e rigorosa, ed è open source. Questo significa che l’app è sviluppata con l’unico obiettivo di fornire un servizio al pubblico (non di fare profitto), che l’azienda che la sviluppa non sa quasi nulla dei suoi utenti e delle sue utenti, e che chiunque abbia le giuste conoscenze tecniche può ispezionare il codice e vedere se funziona come dovrebbe.

Nel caso tu abbia bisogno o abbia scelto di fare affidamento su WhatsApp, considera di modificare alcune impostazioni per meglio proteggere la tua privacy. Considera di disabilitare i backup sul cloud (che, non essendo criptati end-to-end, non fanno altro che annullare la protezione offerta dalla crittografia end-to-end integrata in WhatsApp), abilitare le notifiche di sicurezza per assicurarti di ricevere una notifica qualora il codice di sicurezza di una persona nella tua rubrica dovesse cambiare, disabilitare la funzione Salva nel Rullino foto su iOS o la funzione Visibilità dei media su Android in modo che le immagini e i video che ricevi non vengano salvati nel rullino foto o nella galleria del tuo telefono e magari anche di negare a WhatsApp accesso a informazioni quali la tua rubrica e la tua posizione. Se utilizzi i messaggi effimeri, sappi che se i backup sul cloud sono abilitati tutti i messaggi (inclusi quelli effimeri) verranno salvati nel cloud e che se è abilitata la funzione Salva nel Rullino foto/Visibilità dei media, i messaggi multimediali (a meno che non siano inviati usando l’opzione visualizza una volta) verranno eliminati dalla chat dopo 7 giorni, ma non verranno eliminati dal rullino foto o dalla galleria del tuo telefono a meno che tu non scelga di farlo manualmente.

Se stai cercando un’app di messaggistica che puoi usare senza fornire un numero di telefono, dai un’occhiata a Threema o Wire.

ProtonMail e Tutanota sono open source e, nonostante forniscano la crittografia end-to-end, la disponibilità dipende in questo caso dai servizi email utilizzati dalle persone coinvolte in una conversazione. Il modo più semplice per assicurarsi che le proprie email siano criptate end-to-end è assicurarsi che le persone con le quali comunichi usino ProtonMail (se anche tu stai usando ProtonMail) o Tutanota (se anche tu stai usando Tutanota). L’alternativa, se stai inviando un’email a qualcunu che usa un servizio email diverso dal tuo, è criptarla end-to-end usando la funzione Crittografia per gli utenti senza ProtonMail di ProtonMail o la funzione Email crittografata a un destinatario esterno di Tutanota.

Dato che salvano le tue email nel cloud (invece che localmente sul tuo dispositivo come fanno Signal e altre app di messaggistica) ProtonMail e Tutanota forniscono anche la crittografia end-to-end per la tua casella di posta, il che significa che questa è criptata in modo da assicurare tu sia l’unica persona in grado di accedervi. E’ importante notare che, nonostante tutte le email siano criptate una volta nella tua casella di posta, le email non criptate end-to-end che ricevi sono criptate solo una volta che raggiungono i server del tuo servizio email e le email non criptate end-to-end che invii sono decriptate prima che lascino la tua casella di posta (in modo da permettere alla persona destinataria di leggerle). Ciò significa che ProtonMail o Tutanota possono accedere brevemente alle email non criptate end-to-end in entrata e in uscita dalla tua casella di posta e, in alcuni casi, possono essere costrette a consegnarle alle autorità.

Per quanto riguarda le chiamate di gruppo e le videoconferenze Signal consente ad un massimo di 16 persone di partecipare contemporaneamente. In casi in cui questo non dovesse essere sufficiente potresti trovarti a dover ricorrere ad opzioni criptate end-to-end ma meno rispettose della privacy come FaceTime (che ha fissato il suo limite a 32 persone) oppure ad opzioni non criptate end-to-end in modo predefinito come Jitsi Meet (che consente riunioni fino a 100 persone ma che, nonostante sia orientata alla tutela della privacy, mette a disposizione la crittografia end-to-end solo come funzione facoltativa sperimentale disponibile se tuttu si uniscono alla chiamata usando un browser basato su Chromium, come Brave o Google Chrome).

Va sottolineato che, nonostante FaceTime di Apple sia criptato end-to-end, attualmente non fornisce (a differenza di Signal, WhatsApp ed altre app di messaggistica) la possibilità di confrontare le impronte digitali delle chiavi pubbliche per verificare che le chiamate siano davvero criptate end-to-end. Inoltre, le chiamate FaceTime possono essere avviate solo su un dispositivo Apple.

Ecco alcune risorse ed articoli (in inglese) in merito:

Vai all’indice ⇾

HTTPS

4 min di lettura

HTTPS è la versione sicura dell’Hypertext Transfer Protocol (o HTTP) ed è attualmente utilizzato su circa il 90% delle pagine web che la gente visita a livello globale.

Quando ci si connette ad un sito web sicuro (che usa quindi HTTPS) si può contare su tre elementi fondamentali. In primo luogo si ottiene una prova dell’identità del sito, questo significa che puoi fare affidamento sul fatto che un dato sito è realmente chi dice di essere e non un sito terzo verso il quale sei statu reindirizzatu senza saperlo e senza il tuo consenso. In secondo luogo si ottiene garanzia di riservatezza, questo significa che puoi fare affidamento sul fatto che lo scambio di informazioni tra te e il sito in questione è protetto e non può essere intercettato. In terzo luogo si ottiene una prova di integrità dei dati, il che significa che puoi fare affidamento sul fatto che i dati che fluiscono da e verso quel sito non sono stati alterati in alcun modo.

Questo mette in evidenza quanto i relativamente pochi siti HTTP (o siti web non sicuri) ancora in circolazione siano vulnerabili e quanto sia inopportuno fidarsi di loro.

Siti e pagine web non sicure possono e sono utilizzate da persone malintenzionate, governi e ISP in tutto il mondo per:

Ottenere l’accesso ai dati in transito tra le persone utenti e le pagine web che stanno visitando
Fai attenzione a non digitare credenziali di accesso, dati della carta di credito o qualsiasi altro tipo di informazione personale in una pagina che non è sicura. Tieni anche presente che qualsiasi pagina web non sicura che visiti può rappresentare una fonte di informazioni preziose per ISP in grado di utilizzare o vendere le informazioni personali per fini pubblicitari o altri fini o per governi che impiegano tecnologie di sorveglianza di massa.

Manipolare le pagine web in qualsiasi modo e per qualsiasi scopo
Azioni di questo tipo possono andare dall’alterare il contenuto di una pagina web (con lo scopo di iniettare pubblicità, link dannosi o interi pezzi di interfaccia), alla completa sostituzione del contenuto di una pagina (essenzialmente bloccandola), fino al reindirizzamento del traffico verso una pagina che non ha niente a che fare con l’originale (cosa che gli ISP, se l’opportunità si presenta, sembra adorino fare).

Censurare in modo mirato
Nel caso di pagine web sicure, tutto ciò che viene dopo la barra che vedi nell’URL di fianco al dominio di primo livello (.com, .it, .org, ecc.) è criptato. Questo significa che se visiti una pagina di Wikipedia come https://it.wikipedia.org/wiki/Privacy l’unica cosa che potrebbero vedere delle persone malintenzionate che monitorano il tuo traffico Internet sarebbe https://it.wikipedia.org. Questo significa, tra le altre cose, che un governo repressivo (o un ISP non regolamentato) deve scegliere se bloccare Wikipedia completamente o non bloccarla affatto.

HTTPS è una parte fondamentale di molti degli strumenti sui quali facciamo affidamento nella nostra vita quotidiana. È dovere di chi gestisce un sito web renderlo sicuro con HTTPS ed è un diritto delle persone che lo visitano chiedere a chi lo gestisce di aggiornarlo ad HTTPS nel caso in cui non lo avesse ancora fatto.

Puoi assicurarti di non essere su un sito non sicuro tenendo d’occhio la barra degli indirizzi: se vedi un qualche avviso (come un’icona a forma di lucchetto barrata, un’icona con un punto esclamativo o un messaggio che dice “Non sicuro”) allora il sito che stai visitando è distribuito tramite una connessione non sicura. In questo caso, evita di inserire informazioni personali e, se possibile, cerca di non utilizzarlo in futuro.

Alcuni siti web potrebbero essere disponibili sia tramite HTTP che tramite HTTPS. Impostazioni del browser come la Modalità solo HTTPS di Firefox e la modalità HTTPS-First di Brave e Google Chrome (che garantiscono che tutte le connessioni ai siti web utilizzino il protocollo HTTPS) possono essere d’aiuto in questi casi.

Tieni presente che in alcune circostanze l’atto stesso di visitare una pagina web può essere considerato un’informazione molto personale e che cancellare le tue informazioni da una casella di ricerca, un modulo online, o qualsiasi altro tipo di campo di inserimento prima di averle inviate non significa necessariamente che il sito in questione non le abbia registrate comunque.

Ricorda: il fatto che una pagina sia sicura non esclude che possa essere o meno dannosa. Man mano che la diffusione di HTTPS a livello mondiale è cresciuta, anche il numero di siti web dannosi che la utilizzano è aumentato.

Ecco alcune risorse (in inglese) che potrebbero interessarti:

Vai all’indice ⇾

DNS sicuro

3 min di lettura

Qualsiasi cosa connessa ad Internet (siti web compresi) è identificata da una stringa di caratteri nota come indirizzo IP. Questo significa che quando digiti l’indirizzo del tuo sito preferito (per esempio Wikipedia) nella barra degli indirizzi, deve esserci un servizio che il tuo browser può contattare per tradurre “wikipedia.org” in un indirizzo IP che può effettivamente localizzare ed al quale può connettersi. E’ qui che entra in gioco la “rubrica” di Internet, ovvero il sistema dei nomi di dominio o DNS (Domain Name System).

Il DNS è la tecnologia che ti permette di avere a che fare con indirizzi web che hanno un senso, invece delle stringhe casuali di caratteri che compongono gli indirizzi IP.

I servizi DNS sono solitamente forniti dal tuo ISP in modo predefinito, ma ci sono fornitori DNS alternativi che puoi impostare manualmente nel caso l’opzione predefinita non faccia per te.

Proprio come accadeva con le connessioni a molti siti web (che non erano protette con HTTPS fino a tempi relativamente recenti) i servizi DNS sono ancora oggi spesso resi disponibili tramite connessioni non sicure. Questo significa che, anche se siti come Wikipedia.org sono distribuiti tramite HTTPS, le richieste DNS che i tuoi dispositivi fanno per connettersi ad essi sono spesso non criptate e quindi semplici da intercettare, manomettere e bloccare da persone nella tua rete locale, dal tuo ISP o da altre persone malintenzionate in grado di intercettarle.

Un protocollo DNS sicuro quale DNS over HTTPS (DoH) risolve questo problema permettendo ad aziende e organizzazioni che gestiscono server DNS di gestire le richieste DNS tramite connessioni HTTPS, permettendo così alle persone di accedere ai servizi DNS in modo sicuro.

Browser web come Firefox, Brave e Google Chrome includono la possibilità di abilitare il DNS sicuro direttamente all’interno del browser. Tieni a mente che facendo così proteggerai solo le richieste DNS generate dal tuo browser, le altre app che usi non saranno interessate dal cambiamento.

Se sei interessatu a trarre vantaggio del DNS sicuro in tutte le tue app puoi installare app come 1.1.1.1 di Cloudflare. Nel caso di Cloudflare dovrai usare l’app in modalità “1.1.1.1”, dato che la modalità “WARP” abilita il loro servizio VPN.

Se stai usando una VPN (maggiori info in merito sono disponibili nel capitolo sulle VPN) le tue richieste DNS dovrebbero essere già protette, il che significa che non dovresti aver bisogno di fare qualcos’altro per proteggerle. Puoi assicurarti che sia effettivamente così facendo un leak test usando un sito web come questo: DNS leak test (IVPN).

Dopo aver fatto un test standard o esteso controlla la tua VPN per assicurarti che l’indirizzo IP e la posizione geografica elencati su dnsleaktest.com corrispondano all’indirizzo IP ed alla posizione geografica del server VPN al quale sei attualmente connessu. Se corrispondono, allora le tue richieste DNS sono protette.

Se non corrispondono, dovresti contattare l’assistenza della tua VPN il prima possibile e se il problema persiste considerare di passare ad un servizio VPN più affidabile. Una VPN che non è in grado di fare quello che dovrebbe (proteggere il tuo traffico Internet) è inutile.

Le richieste DNS sono protette anche se ti stai connettendo ad Internet tramite la rete Tor (maggiori info su Tor le trovi nel capitolo omonimo). Tieni presente che se stai usando il Tor Browser solo le richieste DNS generate dal Tor Browser saranno protette.

Vai all’indice ⇾

Browser web

3 min di lettura

Un elemento importante per la protezione durante la navigazione sul web è la scelta di un buon browser web, uno che sia facile da usare ma anche in grado di proteggere la tua sicurezza e la tua privacy.

Sotto questo aspetto, considera di provare Firefox. Include una serie di funzioni molto interessanti volte alla salvaguardia della sicurezza e della privacy di chi lo usa e non è controllato da un’azienda affamata di dati come Google ma da Mozilla, un’organizzazione non a scopo di lucro che si occupa di mettere a disposizione prodotti che proteggono la privacy e di rendere Internet un posto migliore per tutte le persone.

Ecco alcune delle funzioni più interessanti messe a disposizione da Firefox nel campo della sicurezza e della tutela della privacy:

Oltre a questo Firefox ti permette di installare estensioni come Facebook Container, che isola automaticamente Facebook mentre navighi sul web in modo da impedirgli di raccogliere info su di te e sulle tue abitudini, e Firefox Multi-Account Containers, che fornisce funzionalità simili, ma consente di creare diversi contenitori manualmente e (sempre manualmente) assegnare ad essi diversi siti web.

Eccoti un aiuto per passare a Firefox, nel caso ti servisse: Passare da Chrome a Firefox (Mozilla)

Se hai bisogno di un browser web basato su Chromium (Chromium è il progetto open source alla base di Google Chrome) allora considera di provare Brave. Come Google Chrome, Brave ha accesso alle estensioni disponibili nel Chrome Web Store, ma a differenza di Google Chrome è dotato di una serie di funzioni volte alla tutela della privacy e nasce da un impegno generale più marcato a favore della privacy e della sicurezza degli utenti e delle utenti.

Una nota: qualunque sia il browser che scegli di usare, tieni presente che la navigazione privata (a volte definita come navigazione in incognito o InPrivate) NON è uno strumento per proteggere l’anonimato.

Se sei alla ricerca di uno strumento per navigare il web in modo anonimo, evitare il tracciamento, il fingerprinting e la sorveglianza ed aggirare la censura, allora il Tor Browser (oppure l’Onion Browser se usi iOS o iPadOS) è probabilmente quello che stai cercando. Trovi maggiori info in merito nel capitolo su Tor.

Vai all’indice ⇾

Impostazioni e politiche sulla privacy

4 min di lettura

Le applicazioni e i servizi che usi sono accompagnati, tra le altre cose, da informative sulla privacy e da un certo numero di impostazioni sulla privacy attive in modo predefinito. Questo può tradursi in informative e impostazioni che permettono ad aziende come Facebook e Google di utilizzare i tuoi dati personali per analizzare ed influenzare il tuo comportamento, ma anche autorizzazioni che consentono alle applicazioni che usi di accedere a componenti del telefono come la fotocamera e il microfono oppure ad informazioni quali la tua posizione geografica, i tuoi contatti, il tuo calendario, le tue foto ecc.

Dato che spesso sicurezza e privacy non sono fornite in modo predefinito, considera di visionare attentamente queste informative e impostazioni sulla privacy per essere sicuru di essere a tuo agio di fronte alla quantità di dati personali ai quali le applicazioni e i servizi che usi sono in grado di accedere, e che possono eventualmente raccogliere, archiviare, utilizzare e condividere. Fare questo potrebbe voler dire:

Leggere le informative sulla privacy e i termini di servizio
Quando ti iscrivi a un servizio, o apri un’applicazione per la prima volta, ti viene chiesto di accettare informative e termini che regoleranno il tuo rapporto con quell’applicazione o servizio e ciò che tu e la società che gestisce il servizio potrete fare o non potrete fare. Considera seriamente di leggere questi documenti.

Controllare le autorizzazioni delle applicazioni che usi
Quante delle tue applicazioni hanno realmente bisogno di accedere alla tua posizione, al tuo microfono, alla tua fotocamera o alla tua rubrica per funzionare correttamente?

Controllare le impostazioni sulla privacy delle applicazioni e dei servizi che usi
Magari vuoi proteggere WhatsApp con un PIN? O non vuoi che iOS esegua un backup automatico non criptato dei tuoi messaggi sul cloud? Hai mai fatto un Controllo della privacy o visitato le pagine Privacy, App e siti web, Impostazioni delle inserzioni e La tua attività fuori da Facebook su Facebook? Hai mai visitato il Controllo privacy e la pagina Le mie attività Google del tuo account Google? Hai mai visitato la pagina Privacy e sicurezza e la pagina I tuoi dati di Twitter sul tuo account Twitter? Eri a conoscenza del fatto che Amazon con Alexa, Google con l’Assistente Google e Microsoft con Cortana potessero aver archiviato sui loro server una copia di ogni interazione che hai mai avuto con il tuo telefono, portatile, altoparlante intelligente o altro dispositivo connesso ad Internet (comprese le conversazioni che potrebbero esser state catturate accidentalmente) e che puoi ascoltarle e cancellarle? Sapevi che Apple archivia solo le trascrizioni delle tue interazioni con Siri e che puoi cancellare anche quelle?

Controllare le autorizzazioni delle estensioni del tuo browser
Le estensioni del browser possono fare molte cose, oltre ad essere utili: possono avere accesso alla tua cronologia di navigazione, sostituire i contenuti delle pagine che visiti, avere accesso ai dati che inserisci in qualsiasi pagina web (inclusi dati sensibili come i dati finanziari, le password e i tuoi messaggi privati), avere accesso e/o modificare i tuoi segnalibri, ecc. Se alcune delle autorizzazioni richieste da una data estensione dovessero sembrarti strane o eccessive, prendi in considerazione di rimuovere quell’estensione dal tuo browser e magari cercarne una alternativa. Se un’estensione non proviene da una fonte attendibile, potrebbe causare seri danni.

Abbandonare alcune applicazioni e servizi cancellando l’account e/o disinstallando l’applicazione.
Se prendi questa decisione ma vuoi conservare i tuoi dati ricorda che la maggior parte dei servizi permette di scaricare una copia dei propri dati.

Per quanto riguarda la protezione delle informazioni sulla propria posizione, tieni presente che ci sono diversi modi in cui questi dati possono essere accessibili o possono essere raccolti da terzi.

Le applicazioni sono in grado di accedere e tenere traccia della tua posizione usando i dati forniti da sistemi globali di navigazione satellitare come il GPS e Galileo. Nella maggior parte dei casi dovresti essere in grado di controllare questo aspetto visitando le impostazioni sulla privacy del tuo dispositivo.

Le applicazioni sono anche in grado di tracciare la tua posizione usando la connettività Bluetooth e Wi-Fi. Attualmente sono pochi i sistemi operativi che permettono di controllare questo aspetto.

Il tuo indirizzo IP può essere utilizzato dai siti, applicazioni e servizi che usi per approssimare il luogo dal quale stai accedendo ad Internet. Per ulteriori informazioni su come controllare questo aspetto, consulta il capitolo sulle VPN e quello su Tor.

Gli operatori di rete mobile sono in grado di rilevare e tracciare la tua posizione perché sanno a quale delle loro celle radio sei connessu, rendendo la divulgazione della tua posizione una questione di routine. Puoi evitare questo disattivando completamente la connettività cellulare tramite impostazioni quali la modalità aereo o lasciando il telefono a casa.

Vai all’indice ⇾

Tracciamento web e delle app

3 min di lettura

Grandi reti per il tracciamento come quelle messe in piedi da Google, Facebook, Amazon, Twitter ed altre aziende cercano di seguirti ovunque con l’obiettivo di raccogliere quanti più dati possibili su di te e sul tuo comportamento. Dati che possono essere poi usati per cercare di influenzare i tuoi pensieri e le tue azioni come la marca delle scarpe che vorresti comprare, dove andrai durante il tuo prossimo viaggio, quali notizie sei in grado di vedere, quale partito politico dovresti votare, ecc.

Le pubblicità non solo possono invadere la tua privacy, ma possono anche essere sfruttate per scopi dannosi (per esempio cercando di ingannarti per spingerti ad installare malware o a fornire informazioni personali) e possono avere un impatto negativo sulla tua esperienza di navigazione, sul consumo dati e sulla durata della batteria del tuo dispositivo.

Per ridurre al minimo questo tipo di comportamenti puoi usare strumenti, prodotti e servizi che rispettano la tua privacy e che ti aiutano a proteggerti dal tracciamento.

Usando un browser web puoi provare estensioni del browser in grado di bloccare le pubblicità e/o proteggerti dal tracciamento come uBlock Origin, Privacy Badger, Ghostery o DuckDuckGo Privacy Essentials e considerare di passare ad un motore di ricerca che non traccia gli utenti e le utenti come DuckDuckGo.

Se usi Firefox dai un’occhiata alla protezione antitracciamento avanzata (disponibile per computer fissi e portatili e per dispositivi iOS e Android) e ad estensioni antitracciamento come Facebook Container e Firefox Multi-Account Containers. Trovi maggiori info sulle funzioni di Firefox a salvaguardia della privacy nel capitolo sui browser web.

Per le mappe e la navigazione, dai un’occhiata a OsmAnd (o OpenStreetMap se stai usando il browser) come alternativa a Google Maps. Se stai cercando un servizio di traduzione automatica meno invasivo per la privacy rispetto a Google Translate, prova Traduci di Apple o DeepL Traduttore. Se stai cercando una suite per la creatività che sia gratuita, open source e più attenta alla privacy della Creative Cloud di Adobe, dai uno sguardo ad app come il GNU Image Manipulation Program (G*MP), Inkscape, Kdenlive, Audacity e Scribus.

Se possiedi un iPhone o un iPad potresti aver notato che all’apertura di certe app ti viene chiesto se vuoi permettere a quell’app di tenere traccia delle attività che svolgi nelle app e sui siti web di altre aziende. Se tocchi “Chiedi all’app di non eseguire il tracciamento”, allora l’app in questione non sarà in grado di tracciarti. Se vuoi impedire a qualsiasi app di tracciarti o anche solo di chiedere se vuoi essere tracciatu, puoi visitare “Impostazioni” > “Privacy” > “Tracciamento” ed assicurarti che l’opzione “Richiesta tracciamento attività” sia disattivata.

Tieni presente che i siti web e le app supportate da donazioni (o da pubblicità) che usi ogni giorno esistono grazie a persone in carne ed ossa ed al loro duro lavoro. Se puoi (e l’opzione è disponibile), considera di sostenere finanziariamente quelli/e su cui fai maggiore affidamento, in modo che possano continuare ad esistere.

Vai all’indice ⇾

Servizi cloud

1 min di lettura

I servizi cloud possono essere strumenti molto utili, ma possono anche introdurre significativi compromessi in termini di sicurezza e privacy.

Aziende che gestiscono servizi molto popolari come Google Drive, OneDrive, Dropbox, OneNote, Evernote, Documenti Google, Microsoft Office, WeTransfer e così via non possono garantire che gli/le utenti siano le uniche persone in grado di accedere ai propri dati perché, per varie ragioni, hanno scelto di sviluppare questi prodotti in modo che anche loro potessero accedervi.

Nonostante questo possa essere accettabile in alcune circostanze, ci saranno probabilmente situazioni nelle quali (magari anche a costo di perdere qualcosa in termini di funzionalità) potresti voler mantenere il controllo su chi ha accesso ai tuoi dati e su come questi dati vengono gestiti.

E’ qui che entrano in scena servizi criptati end-to-end come Sync e Tresorit per il cloud storage, Standard Notes per le note, Tutanota per il calendario, CryptPad per l’editing collaborativo di documenti, il calendario e la creazione di sondaggi e Tresorit Send, FileSend e OnionShare per la condivisione di file. Tutti questi prodotti criptano e decriptano i dati localmente, in modo da fornire un servizio in grado di assicurare (in misura ragionevole) che solo tu e le persone con le quali vuoi condividere qualcosa siano in grado di accedervi.

P.S.: se stai cercando un’alternativa offline alla suite di applicazioni di Microsoft Office, dai un’occhiata a LibreOffice della Document Foundation per desktop ed a Collabora Office di Collabora per dispositivi mobili.

Vai all’indice ⇾

Violazioni di dati

3 min di lettura

Le violazioni di dati sono diventate molto frequenti in questi ultimi anni e ogni violazione si aggiunge a un numero crescente di dati personali pubblicamente disponibili (e quindi compromessi).

Si pensi al disastro di Equifax del 2017, che ha esposto dati personali come i Social Security Number e le date di nascita di oltre 140 milioni di cittadini e cittadine statunitensi; o alla violazione di dati di Yahoo! dello stesso anno, che ha esposto info personali di tutti e 3 i miliardi di account registrati sulla piattaforma; o alla fuga di dati di Aadhaar del 2018, che ha esposto le info personali di 1,1 miliardi di persone; o al “bug” di Twitter dello stesso anno, che ha spinto l’azienda a consigliare a 330 milioni di utenti il cambiamento della password; o alla violazione di dati di Microsoft del 2020, che ha esposto i dati di 250 milioni di clienti; o alla fuga di dati di Facebook del 2021, che ha esposto dati personali come data di nascita, datore o datrice di lavoro, genere, posizione geografica, numero di telefono e situazione sentimentale di più di 533 milioni di persone, e questi sono solo alcuni dei casi che hanno avuto più visibilità.

Qui trovi una visualizzazione che può aiutarti a comprendere l’enormità del problema: World’s Biggest Data Breaches & Hacks (Information is Beautiful)

Tutti questi dati compromessi non torneranno mai sotto il controllo di chi li ha persi, e in casi come i Social Security Number e le date di nascita (essendo queste informazioni che non possono essere cambiate) non c’è molto che si possa fare per riparare il danno creato.

In un mondo che fa sempre più affidamento su strumenti digitali per raccogliere, salvare, utilizzare e condividere qualsiasi tipo di dato (compresi dati personali e dati personali sensibili); in un mondo in cui le informazioni personali sono spesso compromesse in violazioni di dati e/o volontariamente divulgate sui social media o altri canali semi-pubblici o non sicuri (e nonostante questo ancora ampiamente utilizzate per identificare e autenticare le persone), persone malintenzionate possono causare grossi danni.

Uno strumento molto utile per avere informazioni sulle violazioni di dati ed aumentare la consapevolezza collettiva rispetto al problema è Firefox Monitor. Si tratta di un sito di facile utilizzo (basato sul progetto Have I Been Pwned? di Troy Hunt) che ti permette di verificare se i tuoi dati sono stati compromessi in una violazione di dati nota consultando un database pubblicamente disponibile, ma anche di registrare i tuoi indirizzi email (in questo caso è richiesto un account Firefox gratuito) per essere avvisatu non appena nuove informazioni che interessano i tuoi account dovessero diventare disponibili.

Due caratteristiche interessanti di Have I Been Pwned? (che attualmente Firefox Monitor non possiede) sono la possibilità di controllare se sei statu colpitu da una violazione di dati inserendo il tuo numero di telefono e Pwned Passwords, una pagina dove puoi digitare le tue password e sapere immediatamente se sono state compromesse in una violazione di dati nota. Il procedimento di controllo viene svolto senza che le tue password lascino mai il tuo dispositivo o vengano divulgate a terze parti sfruttando una proprietà matematica nota come k-anonimato.

Diverse altre aziende hanno incorporato i dati di Have I Been Pwned? nei loro prodotti e servizi. Due di queste che ci tengo a menzionare sono 1Password e Bitwarden, due app per la gestione delle password che hanno implementato questo tramite le loro rispettive funzioni Watchtower e Vault Health Reports.

Vai all’indice ⇾

Protezione e minimizzazione dei dati

4 min di lettura

Cerca di essere consapevole di quali dati digitalizzi e dove e come li salvi, così come di quali dati personali stai condividendo, con chi, dove e come.

Questi dati possono essere informazioni personali come nome e cognome, data di nascita, indirizzo di casa e numero della carta d’identità ma anche informazioni sensibili come i dati sanitari, quelli genetici e altri dati che potrebbero essere utilizzati per rivelare la tua origine razziale o etnica, le tue opinioni politiche, la tua vita sessuale, le tue convinzioni religiose o filosofiche, così come la tua identità di genere o il tuo orientamento sessuale.

Tieni presente che non si tratta soltanto di proteggere i tuoi dati personali, ma anche i dati personali che altre persone hanno condiviso, condividono e condivideranno con te.

Informazioni personali come nome, cognome e data di nascita sono ancora utilizzate in molti casi come uniche informazioni necessarie per autenticare le persone (si guardi per esempio alle compagnie telefoniche…) e potrebbero essere utilizzate per impersonarti e ottenere accesso non autorizzato ad ogni genere di servizio che usi. Inoltre, una volta che dati di questo tipo diventano pubblici, potrebbe non esserci un modo per risolvere il problema. Le password si possono cambiare, ma cambiare cose come la tua data di nascita, il tuo nome e cognome, o il tuo indirizzo di casa è molto meno fattibile (se non impossibile).

Quando ti iscrivi ad un servizio cerca di farti un’idea di come l’azienda che lo gestisce salverà i tuoi dati e se li tratterà in un modo sicuro e rispettando la tua privacy. Pensa anche di quali dati un’azienda potrebbe aver bisogno per offrire un determinato servizio rispetto alla quantità di dati che effettivamente richiede, e cerca di trovare un modo per fornire esclusivamente lo stretto necessario.

Quel sito web o app ha davvero bisogno del tuo vero nome, data di nascita e indirizzo email (invece di un nome e una data di nascita casuali generati con DuckDuckGo e un indirizzo email casuale generato usando Firefox Relay)? Sarebbe davvero consigliabile affidare a quel sito di acquisti online i dati della tua carta di credito, o sarebbe invece meglio usare un metodo di pagamento alternativo (tipo PayPal, se disponibile)?

Cerca sempre di capire quanti dati personali sei dispostu a condividere con terzi. Se non sei a tuo agio di fronte alla quantità di informazioni che un determinato servizio chiede di fornire, prendi in considerazione di non usarlo (se puoi).

Cerca di criptare il maggior numero di dati possibile, cancellando allo stesso tempo i dati di cui non hai bisogno o che non usi più. Questo potrebbe voler dire eliminare messaggi pubblicati sui social media che non senti riflettano più chi sei, immagini e video di cui non hai bisogno salvate in qualche cartella condivisa, account che non usi mai o che usi solo raramente (il sito Just Delete Me può aiutarti in questo caso), o vecchi file che stanno solo occupando spazio prezioso. Potrebbe anche voler dire cancellare completamente i tuoi dati da vecchi dispositivi quali telefoni, computer portatili, tablet, dischi rigidi, chiavi USB, schede SD ecc.

Tieni presente che, salvo l’utilizzo di uno strumento affidabile per la cancellazione del disco, la migliore soluzione per cancellare completamente i dati da dispositivi quali vecchi dischi rigidi è solitamente la distruzione fisica del disco stesso.

Prendersi cura dei propri dati significa anche decidere cosa accadrà ai propri account e ai dati salvati in questi account dopo la propria morte. Preferiresti che i tuoi dati venissero cancellati, o preferiresti invece affidare ad una persona (o un gruppo di persone) il trattamento di questi dati? Un piano per la propria morte digitale non è probabilmente qualcosa a cui la gente normalmente pensa, ma è anche l’unico modo per mantenere un certo controllo sui propri dati quando non si è più in vita.

Non sono molti i servizi che offrono attualmente impostazioni o politiche aziendali in questo senso, ma alcuni lo fanno. Magari dacci un’occhiata ad un certo punto?

Ecco un aiuto per navigare l’argomento, nel caso ne avessi bisogno: Death Online: Planning your digital afterlife (The Verge)

Se hai bisogno di proteggerti dalle molestie online, allora visita la guida Speak Up & Stay Safe(r) di Jaclyn Friedman, Anita Sarkeesian e Renee Bracey Sherman. (Una nota: questa guida è stata aggiornata l’ultima volta nel 2018 e parti della stessa potrebbero essere ora non più aggiornate).

Vai all’indice ⇾

Backup dei dati

3 min di lettura

Una cosa che puoi fare per cercare di evitare di perdere i tuoi dati nel caso il tuo telefono, portatile, dispositivo di archiviazione esterno, o qualsiasi altro dispositivo dovesse andare perso, essere rubato, o smettere di funzionare per qualche ragione sono i backup.

Dispositivi come iPhone, iPad, qualsiasi computer Mac e i vari telefoni e tablet Android disponibili sul mercato offrono di solito qualche funzione di backup sul cloud. Questo rende il mantenimento di una copia dei dati del dispositivo pronta per ogni evenienza molto semplice, ma significa solitamente anche rinunciare al controllo che si ha su quei dati nella misura in cui questi non saranno più accessibili esclusivamente a te, ma anche (almeno in parte) all’azienda che gestisce il servizio cloud.

Al momento Apple non offre la possibilità di proteggere i backup su iCloud con la crittografia end-to-end e purtroppo è improbabile la situazione cambi nel breve periodo. Quello che offre è la possibilità di salvare i backup criptati di iPhone e iPad sul proprio computer usando iTunes o il Finder e la possibilità di salvare i backup criptati del Mac su un dispositivo di archiviazione esterno usando Time Machine. Se possiedi uno o più dispositivi Apple, prendi in considerazione di eseguire soltanto backup locali (invece di backup su iCloud).

Google sembra utilizzare una qualche forma di crittografia end-to-end per proteggere parte dei dati di chi decide di eseguire il backup del proprio dispositivo Android sul cloud di Google, ma sembra non fornisca info in merito a quali dati siano effettivamente protetti. La funzione dovrebbe essere disponibile sui dispositivi con Android 9 o successivi sui quali è abilitato un PIN, una sequenza o una password per il blocco schermo. Un’opzione integrata per eseguire il backup di un dispositivo Android su un computer o su un dispositivo di archiviazione esterno non sembra essere disponibile per il momento.

Per quanto riguarda i dispositivi Windows, Microsoft non offre una funzione di backup completo sul cloud come Apple e Google (solo un’opzione per la sincronizzazione delle impostazioni non criptata end-to-end) e offre soltanto un’opzione di backup locale piuttosto limitata chiamata Cronologia file.

Alcune delle distribuzioni Linux più diffuse come Ubuntu e Linux Mint forniscono strumenti di base per il backup già preinstallati, cercali nel menu delle applicazioni del tuo sistema operativo.

Chi è alla ricerca di soluzioni multi piattaforma per il backup del proprio computer fisso, portatile o qualsiasi dispositivo di archiviazione esterno (come un disco rigido, una scheda SD, una chiave USB, ecc.) può dare un’occhiata a strumenti di backup come FreeFileSync per i backup locali (usato insieme a strumenti per la crittografia dei dati come VeraCrypt o Cryptomator) ed a fornitori di cloud storage criptato end-to-end come Sync e Tresorit per i backup sul cloud.

C’è sempre la possibilità di scegliere un servizio che non fornisce la crittografia end-to-end se i dati sono già criptati con strumenti come VeraCrypt o Cryptomator, o se i dati interessati non sono personali (nel senso che la divulgazione di questi a terze parti non sarebbe motivo di preoccupazione per te o altre persone).

Puoi leggere di più sulla crittografia dei dati nel capitolo sulla crittografia del dispositivo.

Nel scegliere l’opzione (o la combinazione di opzioni) che meglio si adatta alle tue esigenze, tieni conto della sensibilità dei dati in questione, nonché (in particolare nel caso di servizi non criptati end-to-end) della fiducia che sei dispostu a riporre nell’azienda che gestisce il servizio.

Vai all’indice ⇾

Ingegneria sociale

3 min di lettura

L’hacking contemporaneo implica solitamente la partecipazione inconsapevole delle persone o delle organizzazioni prese di mira. Questo perché, per le persone malintenzionate, è molto più facile (e meno costoso) ingannare qualcunu tramite una telefonata, un link o un allegato dannoso (spingendo così la vittima a fare il lavoro per loro), che non farsi strada attraverso sistemi di sicurezza informatica per conto proprio (il che sarebbe probabilmente fattibile, ma tendenzialmente più dispendioso in termini di tempo e denaro).

Nonostante i servizi email più conosciuti riescano a filtrare la maggior parte dei messaggi indesiderati dalla tua casella di posta, i browser web più conosciuti siano in grado di avvertirti quando stai per visitare una pagina web potenzialmente dannosa, i sistemi operativi abbiano capacità proattive e reattive volte a proteggere gli utenti e le utenti da file dannosi e vari altri prodotti e servizi software abbiano delle protezioni abilitate in modo predefinito, tieni presente che tali protezioni non sono in grado di proteggerti da tutto e (cosa ancora più importante) non sono sempre in grado di proteggerti da te stessu.

Ecco alcuni suggerimenti che possono aiutarti a riconoscere ed evitare attacchi che sfruttano l’ingegneria sociale come il phishing, lo spear phishing, il baiting e l’impersonificazione:

Cose che sono troppo belle per essere vere
Comunicazioni di questo tipo possono promuovere oggetti forniti gratuitamente, ingenti somme di denaro o cose simili.

Messaggi che trasmettono un senso di urgenza e chiedono di agire in fretta
Messaggi di questo tipo potrebbero affermare che i tuoi account sono stati violati e chiederti di inserire le tue informazioni in una pagina che assomiglia a quella originale, ma in realtà non lo è.

Indirizzi email che non sembrano corretti
Per esempio indirizzi email molto lunghi e apparentemente casuali, o indirizzi simili a quelli di cui ti fidi ma diversi in qualche piccolo dettaglio meno evidente.

Comunicazioni da o a proposito di servizi che non usi
Come un’email che menziona un conto bancario di una banca con la quale non hai nessun rapporto, o un servizio al quale non ti sei mai iscrittu, o un pacco che non hai mai ordinato.

Link sospetti
Come un link dall’aspetto strano o link abbreviati (per esempio usando bit.ly) recapitati via email, messaggio, SMS o che trovi sui social media.

File sconosciuti o sospetti
Come un file .exe o PDF scaricato da un sito web qualunque o non sicuro invece che da un sito web sicuro e di fiducia, o un file simile recapitato via email, messaggio o SMS.

Dispositivi sconosciuti o sospetti
Questo potrebbe voler dire evitare di inserire dati personali su dispositivi al di fuori del tuo controllo diretto (come un computer alla biblioteca o quello di un amico o un’amica) o di collegare dispositivi sconosciuti (come chiavi USB o dischi rigidi di altre persone o che hai trovato) al tuo computer portatile o altro dispositivo personale.

Telefonate sospette
Quali telefonate dove una persona apparentemente assunta da un’azienda come Microsoft o Apple per fornire servizio clienti o assistenza tecnica ti chiama proattivamente chiedendoti di fornire strane informazioni personali.

Puoi mettere alla prova le tue abilità usando Sei in grado di riconoscere i tentativi di phishing?, un quiz di Jigsaw. Puoi anche utilizzare strumenti come WhereGoes per vedere dove porta un URL abbreviato prima di aprirlo effettivamente nel tuo browser.

Vai all’indice ⇾

Software antimalware

3 min di lettura

Qualsiasi tipo di software maligno o dannoso è detto malware. Adware, ransomware, spyware (come lo stalkerware), worm, virus e trojan sono alcuni dei tipi più comuni di malware. Il software antimalware è software progettato per aiutare a prevenire, rilevare e rimuovere queste minacce da un dato dispositivo.

Per funzionare correttamente il software antimalware deve avere accesso quasi completo al sistema sul quale è installato e questo livello di accesso (in particolare nel caso di soluzioni di terze parti) si è dimostrato molto problematico nel corso degli anni. Questo perché le aziende di sicurezza di terze parti devono solitamente fare affidamento su stratagemmi poco trasparenti per guadagnarsi l’accesso ad un sistema e permettere così al loro prodotto di funzionare e i bug nel loro software possono quindi aggiungere gravi vulnerabilità ad un computer, invece di contribuire a renderlo più sicuro. Per non parlare delle “funzionalità” anti-privacy che alcuni di loro pensavano fosse accettabile implementare.

La maggior parte dei sistemi operativi sono dotati di meccanismi e strumenti di sicurezza integrati che possono aiutare a minimizzare le minacce legate al malware. Prendi in considerazione di affidarti a questi, invece di installare software di terze parti (a pagamento o gratuiti).

Windows viene fornito con l’app Sicurezza di Windows come parte del sistema operativo, questa include (tra gli altri) strumenti per la protezione da virus e minacce, protezione da ransomware e protezione firewall e della rete.

macOS viene fornito con diverse protezioni di sicurezza integrate, come un processo obbligatorio di firma delle app, l’esecuzione in sandbox delle stesse e la rilevazione e rimozione dei virus.

I sistemi operativi per dispositivi mobili come iOS, iPadOS e Android sono anch’essi dotati di robuste protezioni integrate come il sandboxing delle app, la possibilità di installare app solo dagli app store ufficiali (questo può essere disabilitato su Android) e altre.

Se possiedi un dispositivo iOS o iPadOS, dai un’occhiata all’app iVerify di Trail of Bits (disponibile solo in inglese). Anche se non è un vero e proprio antivirus, può aiutarti a mantenere il tuo dispositivo sicuro cercando regolarmente segni di compromissione (inclusi quelli lasciati dallo spyware Pegasus di NSO Group) e fornendo altre funzioni e risorse utili, come la possibilità di consultare diverse guide su come migliorare rapidamente la sicurezza del proprio dispositivo.

Qui trovi alcune informazioni aggiuntive (in inglese) sull’argomento:

Cerca sempre di prestare attenzione ed essere consapevole sia delle azioni che svolgi con i tuoi dispositivi che il contesto nel quale le svolgi. Il software antimalware o simile può effettivamente aiutarti, ma non può e non dovrebbe essere considerato una protezione contro tutto, specialmente nel caso in cui vengano ignorate pratiche di sicurezza come quelle menzionate in questa guida.

Tra l’altro, nel caso te lo stessi chiedendo: sì, qualsiasi prodotto software ha vulnerabilità. E: sì, c’è malware per tuttu. Nessun sistema è immune e non esiste un sistema a prova di hackeraggio o un sistema sicuro al 100%.

Vai all’indice ⇾

Sicurezza di webcam e microfono

1 min di lettura

Le webcam sono un componente che è generalmente facile ed economico da hackerare. Considera di coprirle con del nastro adesivo o con un adesivo quando non le stai usando.

Se usi un assistente virtuale come Siri di Apple, l’Assistente Google o Alexa di Amazon sui tuoi dispositivi personali o tramite i dispositivi della tua smart home, considera di disabilitare la parola di attivazione (“Ehi Siri”, “Ok Google” o “Alexa”) in modo sia necessario premere manualmente un pulsante per attivarlo. Potresti disattivare la funzione in modo permanente oppure solo quando vuoi essere sicuru che nessun dispositivo sia in grado di ascoltare le tue conversazioni.

Questo renderà l’esperienza di utilizzo un po’ meno comoda, ma allo stesso tempo impedirà al dispositivo di ascoltare passivamente ed in modo continuo l’ambiente circostante, potenzialmente registrando le tue conversazioni personali quando viene attivato per errore da qualcosa di diverso dalla parola di attivazione.

Queste precauzioni non ti renderanno a prova di sorveglianza, dato che ci sono probabilmente altre telecamere e microfoni intorno a te la maggior parte delle volte sui quali puoi esercitare meno controllo o sui quali non puoi esercitare nessun controllo, ma ridurranno comunque la tua superficie di attacco e ti aiuteranno a creare spazi più privati intorno a te, spazi dove le persone possono essere più a loro agio nell’essere se stesse, vulnerabili e umane.

Se decidi di mantenere abilitata la parola di attivazione del tuo assistente virtuale, tieni presente che le persone potrebbero voler sapere se quello che dicono mentre sono con te potrebbe essere registrato ed inviato a terzi come Apple, Google o Amazon.

Vai all’indice ⇾

VPN

4 min di lettura

Una rete virtuale privata (Virtual Private Network) è uno strumento utilizzato da persone diverse in diverse parti del mondo per fare cose diverse. Una persona potrebbe utilizzare una VPN fidata (la parola chiave qui è “fidata”) per accedere a contenuti soggetti a blocco geografico, impedire al proprio ISP di avere accesso (e magari trarre guadagno) dalla propria attività Internet, o semplicemente per navigare in modo sicuro e privato mentre è collegata ad una rete Wi-Fi pubblica; mentre un’altra persona potrebbe usarne una per proteggersi dalla sorveglianza di massa e da leggi sulla conservazione obbligatoria dei dati o per aggirare la censura ed essere in grado di esercitare pienamente i propri diritti umani.

Usare una VPN significa inviare tutto il proprio traffico Internet ad uno dei server della VPN che si è scelto (le VPN hanno di solito centinaia o addirittura migliaia di server sparsi in giro per il mondo) attraverso un tunnel criptato, traffico che a quel punto viene decriptato per raggiungere la destinazione. I due principali risvolti positivi di una soluzione di questo tipo sono:

La crittografia del traffico
Chiunque sia posizionatu tra te e i server della VPN (che sia una persona malintenzionata, un ISP non regolamentato o un’agenzia di intelligence) potrà solo vedere che sei connessu ad una VPN e non avrà alcun tipo di accesso al tuo traffico Internet.

L’offuscamento dell’indirizzo IP
Qualsiasi servizio al quale ti connetterai vedrà solo l’indirizzo IP del server della VPN, nascondendo così gli indirizzi IP dei tuoi dispositivi. Questo significa che il tuo traffico apparirà ai servizi che usi come se provenisse dai server della VPN invece che dalla tua posizione fisica reale.

Ricorda: una VPN protegge solo la connessione tra te e i servizi che usi, non ti impedisce di visitare siti web dannosi, ne di fornire (volontariamente o involontariamente) informazioni personali a questi servizi. Visto che i dati vengono criptati localmente sui tuoi dispositivi e vengono poi decriptati una volta raggiunti i server della VPN, utilizzarne una significa spostare la fiducia dal tuo ISP all’azienda che gestisce la VPN. Per questo è estremamente importante trovare una VPN della quale ti puoi davvero fidare.

Non tutti i servizi VPN offrono lo stesso livello di protezione. Elementi ai quali è importante prestare attenzione durante la ricerca di una VPN sono l’informativa sulla privacy, il paese che ospita la loro sede legale, il paese dal quale gestiscono il servizio (che ti aiuterà a capire quanto puoi fidarti di loro in base al tipo di leggi alle quali devono sottostare), chi gestisce il servizio e la tecnologia e i protocolli di sicurezza utilizzati per proteggere le tue informazioni.

Le VPN gratuite sono solitamente sconsigliate in quanto molte traggono profitto dalla vendita degli stessi dati che i/le clienti vogliono proteggere.

Due VPN che mi sento a mio agio a menzionare in questa sede sono Mullvad VPN e ProtonVPN, quest’ultima sviluppata dalle stesse persone che gestiscono ProtonMail. Entrambe sono open source, sono state sottoposte a controlli di sicurezza indipendenti, utilizzano protocolli VPN con un’ottima reputazione quali WireGuard e OpenVPN, includono un kill switch (sempre abilitato nel caso di Mullvad VPN e disabilitato in modo predefinito nel caso di ProtonVPN) e sono dotate di funzioni aggiuntive come le opzioni Blocca annunci, Blocca tracker, Richiedi sempre VPN e Modalità bridge di Mullvad VPN e le opzioni NetShield, Kill Switch Permanente e Secure Core di ProtonVPN.

Ecco alcune risorse correlate (in inglese) che potrebbero interessarti:

Un servizio VPN affidabile dovrebbe proteggere tutto il tuo traffico Internet, comprese le tue richieste DNS. Per maggiori info in merito, fai un salto al capitolo DNS over HTTPS.

Se quello che cerchi è uno strumento in grado di proteggere l’anonimato, allora ti consiglio di dare un’occhiata al capitolo su Tor, qui sotto.

Vai all’indice ⇾

Tor

6 min di lettura

Tor è una rete gestita da volontari e volontarie in tutto il mondo che permette alle persone di usare internet proteggendo l’anonimato. È anche uno strumento essenziale per evitare il tracciamento, il fingerprinting e la sorveglianza e per aggirare la censura.

Il modo più semplice per utilizzarla è tramite browser web come il Tor Browser (se usi Windows, macOS, Linux o Android) o l’Onion Browser (se usi iOS o iPadOS), i quali costringono tutte le connessioni tra il browser web ed Internet a passare attraverso la rete Tor.

Ogni connessione iniziata tramite la rete Tor è protetta con tre diversi strati di crittografia e viene fatta rimbalzare tra tre nodi selezionati a caso nella rete Tor (noti come relè), prima di raggiungere la sua destinazione. Questi tre relè sono noti, insieme, come circuito Tor.

Il primo relè di un circuito è noto come nodo di guardia e rimane lo stesso per 2-3 mesi al fine di proteggere contro un noto attacco in grado di compromettere l’anonimato, gli altri due (il relè centrale e il relè d’uscita) cambiano ad ogni nuovo sito web che visiti. Questa configurazione fa sì che non solo (in modo simile ad una VPN) i prodotti e servizi che utilizzi su Internet non siano in grado di sapere chi sei e da dove vieni (a meno tu non decida per conto tuo di rivelare queste informazioni), ma che nessuna singola entità all’interno della rete Tor stessa abbia modo di sapere allo stesso tempo da dove proviene il tuo traffico, che cosa contiene (se il sito web non usa HTTPS) e qual’è la sua destinazione finale.

Supponiamo tu voglia visitare Wikipedia usando il Tor Browser o l’Onion Browser. Una volta stabilito un circuito Tor i dati saranno criptati usando prima la chiave pubblica del relè d’uscita, poi usando la chiave pubblica del relè centrale, poi un’ultima volta usando la chiave pubblica del nodo di guardia e saranno poi inviati al nodo di guardia. Quest’ultimo decifrerà il primo livello di crittografia per sapere a quale relè centrale deve inviare i dati. Il nodo di guardia saprà quindi solo da dove provengono i dati (da te, tramite il tuo indirizzo IP) ed il relè centrale al quale deve inviarli; non avrà accesso ai dati stessi, né quale sarà la destinazione finale una volta che questi usciranno dalla rete Tor. Il relè centrale decifrerà il secondo livello di crittografia per accedere alle istruzioni relative al relè d’uscita al quale dovrà inviare i dati, ma a questo punto saprà solo che i dati provengono da un dato nodo di guardia e sono in transito verso un dato relè d’uscita, continuerà a non aver accesso ai dati, alla loro destinazione finale al di fuori della rete Tor e non saprà nemmeno che i dati provengono da te. Una volta raggiunto il relè d’uscita, l’ultimo strato della crittografia fornita da Tor sarà decifrato per consentire al relè di connettersi a Wikipedia. Il relè d’uscita saprà quindi che qualcunu si sta connettendo a Wikipedia, ma non avrà modo di sapere chi questa persona sia effettivamente. Wikipedia, dall’altra parte, vedrà solo che il traffico proviene da un dato relè d’uscita della rete Tor, non la tua reale posizione o identità.

Per quanto riguarda le impostazioni del browser, sia il Tor Browser che l’Onion Browser sono pre-impostati in modo da proteggere al meglio la privacy e l’anonimato, si consiglia agli/alle utenti di cambiarle il meno possibile. Nel caso del Tor Browser si consiglia inoltre di non modificare la dimensione della finestra (che potrebbe permettere ai siti web di determinare le dimensioni del proprio schermo favorendo così un’esposizione a forme di tracciamento) e di non installare estensioni del browser oltre a quelle già incluse (perché queste potrebbero aggirare la rete Tor o comunque danneggiare la privacy e l’anonimato degli/delle utenti).

Tieni presente che alcuni siti web potrebbero bloccare o limitare il traffico proveniente dalla rete Tor e che in alcuni casi ti potrebbe venir chiesto di dimostrare che “non sei un robot” più spesso del solito. Ricorda anche che Tor non può proteggere il tuo anonimato in casi in cui decidessi di autenticarti in modo volontario ad un servizio (tipo Facebook) attraverso la rete Tor. In questi casi saranno fornite solo altre protezioni, tra cui l’offuscamento della posizione.

Oltre ai servizi Internet ai quali accedi di solito con il tuo browser e la connessione a Internet normali, una connessione ad Internet tramite Tor permette di accedere anche ai Servizi Onion. Questi sono servizi che funzionano interamente all’interno della rete Tor e permettono alle persone di proteggere la loro identità, la loro sicurezza e la loro privacy in circostanze anche molto diverse l’una dall’altra. I siti web resi disponibili come Servizi Onion sono chiamati siti Onion; alcuni esempi includono DuckDuckGo, ProtonMail, Facebook, The New York Times e la BBC. Altri tipi di Servizi Onion includono OnionShare, uno strumento che consente di condividere file, ospitare siti web e chattare con gli amici e le amiche in modo sicuro e anonimo, Ricochet Refresh, un progetto che consente di messaggiare in modo privato e anonimo e SecureDrop e GlobalLeaks, due sistemi per la segnalazione di illeciti (whistleblowing).

Un altro modo molto interessante per trarre beneficio dalla rete Tor è tramite l’uso del sistema operativo portatile Tails. Si tratta di un sistema operativo che può essere installato su una chiave USB ed eseguito su qualsiasi computer al quale la si colleghi. Tails è costruito in modo che tutte le connessioni Internet (non solo quelle generate dal Tor Browser) passino attraverso la rete Tor. È anche ingegnosamente progettato in modo da non lasciare traccie sul computer con il quale lo si usa ed in modo da resettare tutte le impostazioni e cancellare tutti i dati generati quando viene spento (a meno che non gli si dica specificatamente di non farlo).

Ecco alcune risorse (alcune in inglese) che potresti trovare utili:

Vai all’indice ⇾

Valutazione personale del rischio

2 min di lettura

Un buon modo per attuare le misure ed i suggerimenti menzionati nei capitoli precedenti è fare una valutazione personale del rischio, una pratica nota anche come modellazione del rischio. Questo ti aiuterà a capire quali sono le pratiche di sicurezza e di tutela della privacy che fanno al caso tuo e come meglio procedere alla loro attuazione. Puoi iniziare il tutto ponendoti una serie di domande simili a quelle elencate di seguito, che sono basate sulla risorsa Your Security Plan della guida Surveillance Self-Defense (CC BY 3.0 US) dell’Electronic Frontier Foundation.

Cosa stai cercando di proteggere?
Che informazioni consideri abbastanza personali/sensibili da essere dispostu a prendere provvedimenti per evitare che finiscano nelle mani sbagliate o diventino pubbliche?

Da chi le stai cercando di proteggere?
Quello che ti preoccupa è la sorveglianza da parte della polizia, la sorveglianza aziendale, la sorveglianza da parte dei tuoi genitori, la minaccia che pongono le persone con accesso fisico ai tuoi dispositivi e sistemi quali coniugi, compagnu di stanza e datori o datrici di lavoro, o quello che ti interessa è l’adozione di misure di sicurezza generali per evitare di perdere il controllo delle tue informazioni in seguito a un attacco hacker?

Se questa persona o entità dovesse cercare di impadronirsi di ciò che stai cercando di proteggere, come lo farebbe?
Potrebbe semplicemente afferrare il tuo dispositivo? Dovrebbe indovinare un PIN? Potrebbe cercare di accedere ai tuoi dispositivi da remoto utilizzando malware? Potrebbe cercare di indovinare la password che riutilizzi ovunque? Sarebbe disposta a costringerti a sbloccare i tuoi dispositivi o account per lei?

Se avesse successo, quanto gravi sarebbero le conseguenze?
Quale potrebbe essere lo scenario peggiore? Come gestiresti una situazione del genere se ti trovassi a doverla affrontare?

Quanto è probabile che qualcunu cerchi di impadronirsi di quello che stai cercando di proteggere?
Quanto pensi che le tue informazioni siano preziose per la persona o l’entità in questione?

Quali risorse sei dispostu a investire per mettere al sicuro ciò che stai cercando di proteggere?
Queste possono includere tempo, ma anche denaro.

Mentre rifletti su queste domande tieni a mente che capire di chi e di che cosa ti fidi, così come renderti conto del fatto che se c’è qualcunu che ti ha presu di mira le sue capacità cresceranno probabilmente con il passare del tempo, può essere molto importante.

Vai all’indice ⇾

Coinvolgi altre persone

1 min di lettura

Quelle che abbiamo visto finora sono alcune delle più importanti azioni individuali che ogni persona può intraprendere per proteggere al meglio i propri dati e i dati che le altre persone condividono con lei.

Il problema, però, è il seguente: la sicurezza e la privacy sono forti solo quanto lo è il punto più debole di un qualsiasi sistema informatico o gruppo di persone. Si tratta quindi di temi che possono essere realmente affrontati solo se si fa gioco di squadra.

Una volta che inizi a pensare alla protezione dei dati come un viaggio che tu e le persone intorno a te potete intraprendere insieme e come ad un bene pubblico, chiediti: queste persone (quelle con cui condivido informazioni personali, private e/o sensibili) proteggono i loro dati e i dati che condivido con loro? Sarebbe sensato per me suggerire, chiedere o addirittura esigere che seguano buone pratiche simili a quelle messe in evidenza su questa pagina?

Vai all’indice ⇾

Conclusione

2 min di lettura

La sicurezza personale e la privacy ci riguardano, sia in quanto persone che in quanto società. Sono qualcosa al quale dovremmo pensare e di cui dovremmo parlare perché (che ce ne rendiamo conto o no) sono al centro di tutto ciò che facciamo online e offline e toccano le nostre vite (direttamente o indirettamente) ogni giorno.

Per dirlo con le parole di Edward Snowden (che ho tradotto dall’inglese):

“Una delle cose più importanti sulla quale penso tutte le persone abbiano il dovere di riflettere (collettivamente nella società) è quando siamo spintu a pensare in un certo modo e ad accettare una certa idea di riflesso, senza affrontarla concretamente.

L’idea che gira, che se non hai niente da nascondere non hai nulla da temere, ha origine dalla propaganda nazista. Ciò non vuol dire equiparare le azioni del nostro attuale governo al nazismo, ma quella è l’origine della citazione. Viene dal Ministro della Propaganda Joseph Goebbels.

Quindi quando ascoltiamo i politici, le politiche e le persone del nostro tempo ripetere questo di riflesso senza confrontarsi con le sue origini, ciò che realmente rappresenta, penso sia dannoso.

E se effettivamente ci pensiamo, non ha senso. Perché la privacy non riguarda qualcosa da nascondere. La privacy riguarda qualcosa da proteggere. E’ chi sei. Ciò in cui credi. La privacy è il diritto all’essere te stessu. La privacy è ciò che ti dà la possibilità di condividere con il mondo chi sei alle tue condizioni. Che ti permette di far capire al mondo chi stai cercando di essere e al tempo stesso proteggere le parti di te delle quali non sei ancora sicuru, con le quali stai ancora sperimentando.

Senza privacy, quello che perdiamo è la capacità di commettere errori, la capacità di essere noi stessu. La privacy è la fonte di tutti gli altri diritti. La libertà di parola non ha molto significato se non puoi avere uno spazio tranquillo, uno spazio tuo, la tua mente, la tua comunità, i tuoi amici e le tue amiche, la tua famiglia, per decidere cosa vuoi dire veramente.

La libertà di religione non significa molto se non riesci a capire quello in cui credi perché influenzatu da critiche esterne o dalla pressione delle persone intorno a te. E così via.

La privacy è parte integrante della nostra lingua, dei nostri concetti fondamentali di governo e di se. È per questo che la chiamiamo “proprietà privata”. Senza la privacy non hai nulla per te.

Quindi, quando la gente mi dice questo, rispondo che sostenere non ti interessi la privacy perché non hai nulla da nascondere è come sostenere non ti interessi la libertà di parola perché non hai nulla da dire “.

Buon proseguimento 🌱

Vai all’indice ⇾

Illustrazioni di Katerina Limpitsouni/unDraw / Licenza
Icona del cestino nell’illustrazione del capitolo sulla protezione e minimizzazione dei dati di Freepik/Flaticon / Licenza