Buone pratiche

In English »

Introduzione

La sicurezza informatica è quel processo in continua evoluzione che prevede l’utilizzo dei migliori strumenti a propria disposizione per proteggere i propri dati. La privacy consiste nel poter scegliere chi è in grado di accedere a quei dati e se, quando, come e per quale motivo questi debbano essere raccolti, salvati, utilizzati o condivisi.

Quello che segue è un elenco di misure e suggerimenti che puoi prendere in considerazione per affrontare al meglio questi importanti aspetti della tua vita nell’era dell’informazione.

Indice

1. Aggiornamenti software

2. Password del dispositivo

3. Crittografia del dispositivo

4. Trova il mio dispositivo

5. Gestione delle password

6. Autenticazione a più fattori

7. Comunicazione sicura

8. HTTPS

9. DNS over HTTPS

10. Browser web

11. Impostazioni e politiche sulla privacy

12. Tracciamento e pubblicità online

13. Servizi cloud

14. Violazioni di dati

15. Protezione e minimizzazione dei dati

16. Backup dei dati

17. Ingegneria sociale

18. Software antimalware

19. Sicurezza della webcam

20. VPN

21. Valutazione della sicurezza personale

22. Coinvolgi altre persone

23. Conclusione

Aggiornamenti software

Ogni software è complesso, imperfetto e in continua evoluzione.

Una delle cose più importanti che puoi fare per proteggere le tue informazioni è tenere il tuo software (come le tue applicazioni e i tuoi vari sistemi operativi) sempre aggiornato, assicurandoti al tempo stesso che sia abbastanza recente da essere ancora supportato da chi lo ha sviluppato (che si tratti di uno sviluppatore o una sviluppatrice indipendente o di una grande azienda come Apple, Google, Microsoft o Samsung). In questo modo non solo ti assicurerai di avere accesso alle ultime funzionalità e correzioni, ma anche alla versione più sicura che un determinato prodotto software può offrire in quel preciso momento.

Tieni presente che i telefoni, i tablet, ed i computer portatili e fissi non sono gli unici dispositivi che dipendono da aggiornamenti software regolari e tempestivi per funzionare in modo sicuro, migliorare con il passare del tempo ed introdurre nuove funzionalità. Anche i router (che sono al centro di qualsiasi rete locale come la tua rete domestica) e dispositivi IoT come altoparlanti, lampadine, frigoriferi, campanelli, televisori e telecomandi intelligenti fanno affidamento a questi aggiornamenti per le medesime ragioni.

Per dirlo con le parole di Gennie Gebhart dell’EFF (che ho tradotto dall’inglese e modificato per fini di chiarezza):

“Tutto il software è una bozza, alcuni software sono semplicemente meglio abbozzati di altri. I tuoi dispositivi sono pieni di software ed ogni software contiene degli errori; è scritto da esseri umani e gli esseri umani commettono immancabilmente degli errori ad un certo punto. Ci sono (idealmente) interi gruppi di ingegner* costantemente al lavoro su questi sistemi operativi e applicazioni per trovare gli errori e correggerli. Quello che ti viene chiesto è soltanto cliccare “Aggiorna” e magari riavviare. Se non lo fai, significa che c’è un modo per approfittare del tuo dispositivo o del tuo software che è ormai noto in giro per il mondo. Finché non clicchi “Aggiorna” sei più facile ed economic* da hackerare”.

Vai all’indice ⇾

Password del dispositivo

Puoi cercare di evitare che altre persone abbiano accesso ai tuoi dati personali (così come ai dati personali che le persone con le quali sei in contatto potrebbero condividere con te) impostando una password robusta e unica (a volte chiamata codice o PIN) su ciascuno dei tuoi dispositivi.

Pensa alle informazioni personali che hai salvato sui tuoi dispositivi (note, contatti, conversazioni private, foto e video, cronologia della navigazione web, ecc.), ma anche alle informazioni personali accessibili attraverso di essi (file caricati sul cloud, email, informazioni finanziarie e altre informazioni salvate sui tuoi account online). Probabilmente non vorresti che tutto questo venisse lasciato senza protezione ogni volta che lasci uno dei tuoi dispositivi incustoditi, o nel caso in cui dovessi perderne uno. Anche le persone che condividono informazioni personali con te probabilmente vorrebbero evitare che questo succeda.

Una volta impostata una password, potrebbe essere possibile (in base al dispositivo che stai usando) abilitare una qualche forma di autenticazione biometrica. In questo caso sarai anche in grado di sbloccare i tuoi dispositivi per mezzo della scansione di parti del corpo come le impronte digitali, il viso o l’iride.

Questo può aiutarti a rendere più facile e veloce l’azione di sbloccare i tuoi dispositivi e, allo stesso tempo, consentirti di utilizzare password più robuste e di ridurre la finestra di tempo tra quando blocchi i tuoi dispositivi e quando è necessaria una password o un fattore biometrico per sbloccarli (dato che la scomodità di dover digitare ogni volta una password per accedere non sarà più presente). Questo può anche aiutarti a mantenere le tue password private quando usi i tuoi dispositivi davanti ad altre persone (ad esempio in luoghi pubblici) o in spazi videosorvegliati.

Tieni presente che non tutte le forme e le implementazioni di autenticazione biometrica offrono lo stesso livello di sicurezza (ad esempio alcune possono essere ingannate da una semplice stampa o da un video del tuo volto). Questo significa che sarebbe consigliabile facessi qualche ricerca in anticipo per avere la certezza di essere a tuo agio con il livello di protezione che un dato sistema biometrico è in grado di fornire. Se i risultati della ricerca dovessero metterti a disagio (o se per qualsiasi motivo l’autenticazione biometrica non dovesse essere fattibile nel tuo caso in particolare) ricorda di usare comunque una password robusta e unica.

Un buon modo per creare password robuste, uniche e facili da ricordare è tramite il metodo diceware e altri metodi simili. Il risultato sono passphrase robuste e uniche, ma anche più semplici da ricordare rispetto a password composte da stringhe casuali di caratteri.

Molti gestori di password (per saperne di più visita il capitolo sulla gestione delle password) includono un generatore di password in grado di generarle per te. Questo è il metodo più semplice.

In alternativa puoi prendere cinque dadi (anche uno solo va bene) e un elenco di parole Diceware come questo di Arnold G. Reinhold (tradotto in italiano da Tarin Gamberini).

Come avrai notato ogni parola della lista è identificata da una stringa unica di cinque numeri. Quello che devi fare è tirare i dadi fino ad ottenere i primi cinque numeri: la parola corrispondente sarà la prima della tua passphrase! Continua a lanciare i dadi finché la tua passphrase raggiungerà una certa robustezza. Generalmente si consiglia di creare delle passphrase lunghe almeno dalle cinque alle sette parole.

Ecco alcune risorse sull’argomento:

Una nota: non dovresti (nella maggior parte dei casi) condividere le tue password con altre persone. Se hai il sospetto (o la certezza) che una delle tue password è stata compromessa, cambiala il prima possibile.

Vai all’indice ⇾

Crittografia del dispositivo

Puoi attivare la crittografia del dispositivo sulla memoria interna dei tuoi dispositivi e su qualsiasi unità esterna (come chiavi USB, dischi rigidi, unità allo stato solido e schede SD) per rendere più difficile a chiunque estrarre qualsiasi dato.

I dati salvati su dispositivi quali iPhone e iPad possono essere facilmente criptati impostando un codice (eventualmente affiancato da Touch ID o Face ID).

I dispositivi Android più recenti vengono solitamente criptati in automatico una volta attivato il blocco schermo. Puoi assicurarti sia effettivamente così visitando la sezione Sicurezza dell’app Impostazioni e cercando informazioni sullo stato crittografico del tuo dispositivo. I dispositivi Android meno recenti dovrebbero anch’essi fornire la crittografia, ma come funzionalità facoltativa attivabile dalla sezione Sicurezza (o Sicurezza e posizione) della loro app Impostazioni.

I dispositivi Windows possono essere criptati sia usando la funzione BitLocker del sistema operativo (disponibile su Windows 10 Pro, ma non disponibile su Windows 10 Home), che usando strumenti sviluppati da terzi come VeraCrypt.

I dispositivi macOS possono essere criptati usando FileVault, una funzione anch’essa integrata nel sistema operativo e disponibile tramite le Preferenze di Sistema.

Alcune delle distribuzioni Linux più diffuse come Ubuntu, Linux Mint e Fedora offrono la possibilità di abilitare la crittografia direttamente durante il processo di installazione.

Se stai cercando una soluzione per criptare unità di archiviazione esterne (quali chiavette USB, dischi rigidi, ecc.), creare contenitori di file criptati, o (come menzionato sopra) criptare il tuo dispositivo Windows, dai un’occhiata a VeraCrypt, uno strumento open-source di IDRIX disponibile su Windows, macOS e Linux.

Tieni presente che i dispositivi criptati potrebbero dover essere spenti affinchè i dati siano completamente criptati.

Lascio di seguito alcune risorse che potresti trovare utili:

Vai all’indice ⇾

Trova il mio dispositivo

Puoi abilitare funzioni come Trova il mio dispositivo (disponibile su Windows e Android) e Dov’è (disponibile su iOS, iPadOS e macOS) per avere accesso ad alcune delle seguenti possibilità:

  • Localizzare il dispositivo su una mappa.
  • Fare in modo che il dispositivo emetta un suono.
  • Bloccare il dispositivo e far apparire un messaggio personalizzato sullo schermo.
  • Cancellare tutti i dati salvati sul dispositivo.

Inoltre il Blocco di attivazione di Apple e le funzioni di protezione del telefono di Google aiutano ad impedire a persone non autorizzate di utilizzare dispositivi smarriti o rubati anche qualora i dati salvati su questi dispositivi dovessero essere cancellati da remoto.

Tieni conto che abilitare funzioni di questo tipo significa inviare regolarmente informazioni relative alla propria posizione a un’azienda come Apple, Microsoft o Google (a seconda del dispositivo in questione). Devi pertanto bilanciare il vantaggio di poter localizzare, proteggere e cancellare da remoto i tuoi dispositivi con la tua disponibilità a divulgare tali informazioni personali a terze parti.

Tieni presente che questo non è l’unico modo in cui i tuoi dispositivi possono trasmettere informazioni relative alla tua posizione a terzi. Maggiori informazioni in merito sono disponibili nel capitolo sulle impostazioni e politiche sulla privacy.

Vai all’indice ⇾

Gestione delle password

Puoi usare un gestore di password (una cassaforte digitale criptata) per migliorare drasticamente la sicurezza dei tuoi account e rendere più facile l’intero processo di gestione di informazioni così sensibili.

Alcuni dei prodotti che godono di maggior considerazione sono:

Iniziare ad usare un gestore di password significa poter iniziare a generare in modo casuale password lunghe, complesse e uniche senza doversi preoccupare di ricordarle.

Immagina una stringa di oltre 30 caratteri (o tutti i caratteri che vuoi, in realtà) composta da lettere, numeri e simboli generati in modo casuale: questa è una password!

123456, parole dal dizionario, titoli di film, date, ecc. non sono password…

Puoi approssimare la robustezza delle tue password su PasswordSecurity.info. Puoi anche fare un salto al capitolo sulle violazioni di dati per maggiori informazioni su come controllare se i tuoi account sono stati compromessi in seguito ad un caso noto di violazione di dati e cosa fare in merito.

I gestori di password sono solitamente in grado di compilare automaticamente nomi utente, password e altre informazioni simili direttamente tramite l’applicazione sui dispositivi mobili, oppure tramite un’estensione del browser dedicata su computer portatili e fissi. Cerca queste estensioni sul sito del tuo gestore di password o nello store di estensioni del tuo browser web.

Creare e mantenere un elenco criptato e possibilmente ben organizzato di tutte le informazioni relative ai tuoi account (e qualsiasi altro tipo di informazione che potresti voler tenere al sicuro) è un grande vantaggio sia dal punto di vista della sicurezza che della praticità.

Anche usando un gestore di password, ti capiterà di voler creare alcune password robuste e facili da ricordare per cose come la tua password generale (la password del gestore di password) e magari per alcuni dei tuoi account principali. Un buon modo per affrontare questo problema è (come accennato nel capitolo sulle password del dispositivo) utilizzando delle passphrase create con l’aiuto del metodo Diceware e metodi simili. Fai un salto là per maggiori informazioni in merito.

Nonostante un gestore di password sia la soluzione migliore per la maggior parte delle persone, ci saranno casi in cui (per qualsiasi motivo) una soluzione software non è fattibile. Se ti trovi in questa situazione tieni presente che gestire le tue credenziali usando un libro delle password fisico che conservi in un luogo sicuro potrebbe essere meglio che non gestirle affatto.

Una volta impostato password (o passphrase) robuste e uniche per i tuoi account, dovresti essere a posto. Aziende e servizi che seguono pratiche di sicurezza informatica moderne dovrebbero richiedere un cambio di password solo se sospettano (o hanno la certezza) che le tue password siano state compromesse.

Una nota: non dovresti (nella maggior parte dei casi) condividere le tue password o passphrase con altre persone.

Vai all’indice ⇾

Autenticazione a più fattori

Puoi abilitare l’autenticazione a più fattori (l’autenticazione a due fattori, la verifica in due passaggi, ecc. sono tutte forme di autenticazione a più fattori) per migliorare significativamente la sicurezza dei tuoi account, aggiungendo un ulteriore passaggio a sistemi di autenticazione che altrimenti chiederebbero di fornire un solo fattore (per esempio una password) per eseguire l’accesso.

Probabilmente hai già usato una qualche forma di autenticazione a più fattori in passato. Se possiedi una carta di credito e vai ad uno sportello automatico per prelevare contanti ti viene chiesto di inserire la tua carta e di fornire un PIN: questa è una forma di autenticazione a più fattori!

Questi fattori aggiuntivi possono essere qualcosa che conosci (come una password o un PIN), qualcosa che possiedi (come una carta di credito, un telefono o un token di sicurezza), o qualcosa che sei (attraverso la scansione delle impronte digitali, del viso o dell’iride). Messi insieme rendono molto più difficile la vita di chi cerca di rubare le tue informazioni.

Nel caso delle aziende e dei servizi online che supportano l’autenticazione a più fattori, i fattori aggiuntivi sono solitamente implementati in forma di codici di verifica validi una volta sola recapitati al tuo telefono (qualcosa che hai) via SMS, chiamata cellulare o email, o generati da un’applicazione di autenticazione installata sul tuo telefono (sempre qualcosa che hai). In alcuni casi l’autenticazione a più fattori può essere disponibile come notifica push inviata al tuo telefono con una semplice domanda Si/No, oppure tramite la possibilità di impostare un token di sicurezza, un piccolo dispositivo fisico in grado di fornire un livello di protezione più elevato da comuni attacchi informatici come il phishing.

Tieni presente che nonostante l’autenticazione a più fattori rappresenti un significativo miglioramento nella protezione dei tuoi account e qualsiasi tipo di autenticazione a più fattori è meglio di niente, non tutti i metodi di autenticazione a più fattori offrono lo stesso livello di protezione:

Tieni anche presente che le varianti di autenticazione a più fattori disponibili (così come il modo in cui queste vengono chiamate) possono variare da un servizio all’altro. Questo significa che a volte il metodo di autenticazione a più fattori che preferisci potrebbe non essere disponibile e altre volte potrebbe essere necessario cercare con attenzione per trovare quello che cerchi. Eccoti un po’ di aiuto: Turn It On (TeleSign)

Quando si abilita l’autenticazione a più fattori spesso viene chiesto di salvare uno o più codici di recupero o codici di backup. Questi codici ti permetteranno di accedere ai tuoi account nel caso in cui dovessi perdere l’accesso al dispositivo con il quale gestisci l’autenticazione a più fattori. Assicurati di tenerli al sicuro nel tuo gestore di password, o in un altro luogo sicuro.

Alcune tra le applicazioni di autenticazione più usate sono LastPass Authenticator, 1Password, Microsoft Authenticator, Google Authenticator, FreeOTP e Authy. I token di sicurezza più conosciuti sono le YubiKey di Yubico e i Token di sicurezza Titan di Google.

Qui trovi alcune risorse che potrebbero aiutarti a scegliere il metodo di autenticazione a più fattori più adatto a te:

Indipendentemente da quanto sia stratificato il tuo approccio alla sicurezza, la sicurezza dei tuoi account è robusta solo quanto lo sono le impostazioni relative al ripristino dell’accesso nel caso in cui dovessi dimenticare la password. Questo per dire che, sulla via per abilitare l’autenticazione a più fattori dappertutto, faresti bene a dedicare un po’ di tempo al controllo di queste impostazioni.

P.S.: applicazioni come Signal e WhatsApp offrono anch’esse forme di autenticazione a più fattori. Prendi in considerazione di abilitarle!

Vai all’indice ⇾

Comunicazione sicura

Puoi dare la priorità all’utilizzo di strumenti di comunicazione criptati end-to-end come Signal (here’s a beginner’s guide) e ProtonMail, rispetto ad opzioni non criptate come le chiamate cellulari e gli SMS oppure ad opzioni criptate ma non end-to-end come Facebook Messenger, Instagram Direct, Snapchat, Telegram, i Messaggi Diretti di Twitter, Skype, WeChat, Gmail e Outlook.com, per essere sicur* (in misura ragionevole) che solo tu e le persone con le quali scegli di comunicare abbiano accesso alle informazioni che condividi. Nessuna terza parte come Facebook, Google, Microsoft, Twitter, altre aziende, dipendenti disonest*, governi o persone malintenzionate sarà in grado di avere accesso, sfruttare o abusare il contenuto delle tue conversazioni.

I servizi di comunicazione criptata end-to-end si basano solitamente su una tecnologia chiamata crittografia a chiave pubblica, che prevede l’assegnazione di una chiave pubblica ed una privata ad ogni utente.

Quando una persona invia un messaggio ad un’altra persona (o un messaggio vocale, un allegato, una chiamata vocale, una videochiamata, e così via), i dati vengono criptati localmente sul dispositivo della persona mittente utilizzando la chiave pubblica della persona destinataria per poi essere inviati via Internet alla persona destinataria. Una volta raggiunta la destinazione i dati vengono decriptati localmente utilizzando la chiave privata della persona destinataria (che, come suggerisce il nome, non viene mai condivisa). Ecco fatto!

Le impronte digitali delle chiavi pubbliche (sequenze relativamente brevi di caratteri che identificano in modo univoco una chiave pubblica) possono essere utilizzate per assicurarsi che le conversazioni siano effettivamente criptate end-to-end e per verificare che le persone all’altro capo di una conversazione siano effettivamente chi dicono di essere. Servizi diversi le chiamano in modi diversi: Signal le chiama codici di sicurezza, mentre ProtonMail fa riferimento al processo di confronto delle impronte come verifica dell’indirizzo.

Nonostante WhatsApp (di proprietà di Facebook) e altre app di messaggistica proteggano il contenuto delle conversazioni con la crittografia end-to-end in modo predefinito, questo non significa necessariamente che proteggano anche le informazioni relative alla tua identità e alla tua attività. Questo tipo di informazioni (che sono sempre informazioni personali e che, in alcuni casi, potrebbero essere sensibili quanto il contenuto stesso di una conversazione) sono comunemente note come metadati, e possono includere informazioni in merito a chi sei, dove sei, con chi comunichi e quando, chi è nel tuo elenco contatti, come e quando utilizzi l’applicazione, ecc.

Rispetto a WhatsApp, Signal ha una politica sulla privacy molto più rigorosa, varie funzioni volte alla protezione dei dati e dei metadati (come i messaggi a scomparsa, i messaggi media visualizzabili una volta, la ricerca privata dei contatti, il/la mittente sigillat*, i gruppi privati, i profili criptati, gli strumenti per oscurare i volti, le anteprime private dei link, la ricerca privata delle GIF, gli adesivi criptati e la privacy della posizione) e un forte impegno volto alla trasparenza e all’accountability.

Detto questo, sappi che nel caso delle chiamate di gruppo e delle videoconferenze potresti trovarti a dover ricorrere all’utilizzo di opzioni criptate end-to-end ma meno rispettose della privacy come WhatsApp (che consente chiamate di gruppo fino a 8 persone) o FaceTime (che ha fissato il suo limite a 32 persone), oppure opzioni non criptate end-to-end (almeno non ancora) ma orientate alla privacy, come Jitsi Meet (che consente riunioni fino a 75 persone).

Va sottolineato che, nonostante FaceTime sia criptato end-to-end, Apple non fornisce agli/alle utenti la possibilità di confrontare le impronte digitali delle chiavi pubbliche per verificare se la chiamata è davvero criptata end-to-end (come fanno Signal e WhatsApp). Jitsi Meet invece è open source, non richiede la creazione di un account per essere usato, è gestito da un gruppo di persone che sembrano particolarmente attente alla tutela della privacy degli/delle utenti, ed è stato consigliato da organizzazioni come The Tor Project e Amnesty International.

Nel caso tu abbia bisogno o abbia scelto di fare affidamento su WhatsApp, considera di abilitare le notifiche di sicurezza per assicurarti di ricevere una notifica qualora il codice di sicurezza di una persona nel tuo elenco contatti dovesse cambiare e di disabilitare i backup sul cloud non criptati (una funzione che non fa altro che annullare la protezione offerta dalla crittografia end-to-end).

ProtonMail è open source e fornisce sia la crittografia end-to-end che la crittografia ad accesso zero. Mentre le caselle di posta ProtonMail sono sempre protette con la crittografia ad accesso zero (il che significa che nessuna persona eccetto il/la utente vi ha accesso), la disponibilità della crittografia end-to-end dipende dai servizi email utilizzati dalle persone coinvolte in una conversazione. Il modo più semplice per assicurarsi che la corrispondenza email sia criptata end-to-end è assicurarsi che tutte le parti coinvolte usino ProtonMail.

Ecco alcune risorse ed articoli in merito:

Nota: alcuni dei servizi di messaggistica classificati in questo capitolo come servizi che non usano la crittografia end-to-end la offrono come opzione facoltativa. Questo significa che l’importanza di mantenere private le conversazioni non è trattata come elemento fondante, bensì come ripensamento parziale e tardivo.

Vai all’indice ⇾

HTTPS

HTTPS è la versione sicura dell’Hypertext Transfer Protocol, o HTTP.

Quando ci si connette ad un sito web sicuro (un sito che utilizza HTTPS) si ottengono tre cose molto importanti: in primo luogo si ottiene una prova dell’identità del sito; questo significa che puoi fidarti che un dato sito è realmente chi dice di essere e non un altro sito verso il quale sei stat* reindirizzat* senza saperlo e senza il tuo consenso. In secondo luogo si ottiene la riservatezza; questo significa che puoi fare affidamento sul fatto che lo scambio di informazioni tra te e un dato sito è protetto e non può essere intercettato. In terzo luogo si ottiene una prova di integrità; il che significa che puoi fidarti che i dati che fluiscono da e verso un dato sito non sono stati alterati in alcun modo.

Questo mette in evidenza quanto i siti HTTP (o siti web non sicuri) siano vulnerabili e quanto sia inopportuno fidarsi di loro. In effetti siti e pagine web non sicure possono e sono utilizzate da persone malintenzionate, governi e ISP in tutto il mondo per:

  • Ottenere l’accesso ai dati in transito tra gli/le utenti e le pagine web che stanno visitando
    Pensaci bene prima di digitare credenziali di accesso, dati della carta di credito o qualsiasi altro tipo di informazione personale in una pagina che non è sicura. Tieni anche presente che qualsiasi pagina web non sicura che visiti può rappresentare una fonte di informazioni preziose per ISP in grado di utilizzare o vendere le informazioni personali per fini pubblicitari o altri fini o per governi che impiegano tecnologie di sorveglianza di massa.
  • Censurare in modo mirato
    Nel caso di pagine web sicure, tutto ciò che segue la barra “/” è criptato. Questo significa che se visiti una qualsiasi pagina di Wikipedia l’unica cosa che possono vedere delle persone malintenzionate è: https://www.wikipedia.org. Questo significa, tra le altre cose, che un governo repressivo (o un ISP non regolamentato) deve scegliere se bloccare Wikipedia completamente o non bloccarla affatto.

HTTPS è una parte fondamentale di molti degli strumenti sui quali facciamo affidamento nella nostra vita quotidiana. È dovere di chi gestisce un sito web aggiornarlo ad HTTPS ed è un diritto delle persone che visitano quel sito chiedere a chi lo gestisce di aggiornarlo nel caso in cui non lo avesse ancora fatto.

Puoi assicurarti di non essere su un sito non sicuro tenendo d’occhio la barra degli indirizzi: se non vedi un’icona a forma di lucchetto o vedi un avviso (come un’icona a forma di lucchetto barrata, un messaggio che dice “Non sicuro” o un’icona a forma di punto esclamativo) allora il sito che stai visitando è distribuito tramite una connessione non sicura. In questo caso, evita di inserire informazioni personali e, se possibile, cerca di non utilizzarlo in futuro.

Alcuni siti web potrebbero essere disponibili sia tramite HTTP che tramite HTTPS. Estensioni del browser come HTTPS Everywhere dell’EFF (che richiede ai siti di utilizzare HTTPS quando possibile) possono essere d’aiuto in questi casi.

Tieni presente che in alcune circostanze l’atto stesso di visitare una pagina web può essere considerato un’informazione molto personale e che cancellare le tue informazioni da una casella di ricerca, un modulo online, o qualsiasi altro tipo di campo di inserimento prima di averle inviate non significa necessariamente che il sito in questione non le abbia registrate comunque.

Ricorda: il fatto che una pagina sia sicura non esclude che possa essere o meno dannosa. Con la crescente diffusione di HTTPS a livello mondiale, anche il numero di siti web dannosi che la utilizzano è in crescita.

Ecco alcune risorse che potrebbero interessarti:

Vai all’indice ⇾

DNS over HTTPS

DNS over HTTPS è un protocollo che consente l’accesso ai servizi del sistema dei nomi di dominio, o Domain Name System, attraverso una connessione sicura.

Qualsiasi cosa connessa ad Internet (siti web compresi) è identificata da una stringa di caratteri nota come indirizzo IP. Questo significa che quando digiti l’indirizzo del tuo sito preferito (per esempio Wikipedia) nella barra degli indirizzi, deve esserci un servizio che il tuo browser può contattare per tradurre “wikipedia.org” in un indirizzo IP che può effettivamente localizzare ed al quale può connettersi. E’ qui che entra in gioco la “rubrica” di Internet, ovvero il sistema dei nomi di dominio o DNS (Domain Name System).

Il DNS è la tecnologia che ti permette di avere a che fare con indirizzi web che hanno un senso, invece delle stringhe casuali di caratteri che compongono gli indirizzi IP.

I servizi DNS sono solitamente forniti dal tuo ISP in modo predefinito, ma ci sono fornitori DNS alternativi che puoi impostare manualmente nel caso l’opzione predefinita non faccia per te.

Proprio come era il caso per i collegamenti alla maggior parte dei siti web (che non erano sicuri fino a tempi relativamente recenti) la maggior parte dei servizi DNS sono ancora oggi resi disponibili tramite connessioni non sicure. Questo significa che, anche se siti come Wikipedia.org sono distribuiti tramite HTTPS, le richieste DNS che i tuoi dispositivi fanno per connettersi a questi siti sono spesso non criptate e semplici da intercettare, manomettere e bloccare da persone nella tua rete locale, dal tuo ISP o da altre persone malintenzionate in grado di intercettarle.

Il protocollo DNS over HTTPS (DoH) risolve questo problema consentendo ad aziende e organizzazioni che gestiscono server DNS di gestire le richieste DNS tramite una connessione HTTPS.

Ci sono diverse aziende che stanno iniziando ad aggiungere questa opzione alla loro offerta DNS, in particolare Cloudflare con il servizio 1.1.1.1. Chi fosse interessat* a cambiare le impostazioni DNS predefinite sui propri dispositivi mobili a favore di Cloudflare sfruttando i vantaggi offerti da DoH può scaricare l’applicazione 1.1.1.1 disponibile sia sull’App Store di Apple che sul Play Store di Google. Chi volesse impostare 1.1.1.1 sul proprio computer fisso o portatile mantenendo i vantaggi offerti da DoH può abilitare DNS over HTTPS nel proprio browser web (se quel browser è Firefox), oppure avventurarsi nell’installazione del client Cloudflare open source (disponibile per Windows, macOS e Linux) seguendo la documentazione disponibile qui.

Se hai bisogno di più protezione rispetto a quella che HTTPS e DoH possono fornire, dai un’occhiata al capitolo sulle VPN.

Vai all’indice ⇾

Browser web

Un elemento importante per quanto riguarda la protezione durante la navigazione sul web è la scelta di un buon browser web, uno che sia facile da usare ma anche in grado di proteggere la tua sicurezza e la tua privacy.

Prendi in considerazione di provare il browser Firefox se non lo hai provato di recente. E’ un prodotto fortemente orientato alla sicurezza e alla privacy e mette a disposizione funzioni come le notifiche di Firefox Monitor per avvisare gli/le utenti quando visitano un sito che ha subito una recente violazione di dati, la capacità (come menzionato sopra) di abilitare DNS over HTTPS direttamente all’interno del browser semplicemente spuntando una casella, così come alcune funzioni (ed estensioni) focalizzate alla protezione dal tracciamento menzionate nel capitolo su tracciamento e pubblicità online.

I prodotti Firefox non sono controllati da un’azienda affamata di dati come Google, ma da un’organizzazione non a scopo di lucro (Mozilla) che si occupa di proteggere i propri utenti e le proprie utenti e di rendere Internet un posto migliore per tutte le persone.

Eccoti un aiuto, nel caso ti servisse: Passare da Chrome a Firefox (Mozilla)

Se hai bisogno di un browser web basato su Chromium (Chromium è il progetto open source alla base di Google Chrome) allora considera di provare il browser Brave. Come Google Chrome ha accesso alle estensioni disponibili tramite il Chrome Web Store, ma a differenza di Google Chrome è dotato di una serie di funzioni volte al mantenimento della privacy e nasce da un impegno generale più marcato a favore della privacy e della sicurezza degli utenti e delle utenti.

Se sei alla ricerca di uno strumento per navigare il web in modo anonimo e/o eludere la censura, allora il browser Tor è probabilmente quello che stai cercando.

Una nota: qualunque sia il browser che scegli di usare, tieni presente che la navigazione anonima (a volte definita come navigazione in incognito o InPrivate) NON è uno strumento per proteggere l’anonimato.

Vai all’indice ⇾

Impostazioni e politiche sulla privacy

Le applicazioni e i servizi che usi sono accompagnati, tra le altre cose, da informative sulla privacy e da un certo numero di impostazioni sulla privacy attive in modo predefinito. Questo può tradursi in informative e impostazioni che permettono ad aziende come Facebook e Google di utilizzare i tuoi dati personali per generare pubblicità mirata, ma anche autorizzazioni che consentono alle applicazioni che usi di accedere a componenti del telefono come la fotocamera e il microfono oppure ad informazioni quali la tua posizione geografica, i tuoi contatti, il tuo calendario, le tue foto ecc.

Dato che spesso sicurezza e privacy non sono fornite in modo predefinito, considera di visionare attentamente queste informative e impostazioni sulla privacy per essere sicur* di essere a tuo agio di fronte alla quantità di dati personali ai quali le applicazioni e i servizi che usi sono in grado di accedere, e che possono eventualmente raccogliere, archiviare, utilizzare o condividere. Fare questo potrebbe voler dire:

  • Leggere le informative sulla privacy e i termini di servizio
    Quando ti iscrivi a un servizio, o apri un’applicazione per la prima volta, ti viene chiesto di accettare informative e termini che regoleranno il tuo rapporto con quell’applicazione o servizio e ciò che tu e la società che gestisce il servizio potrete fare o non potrete fare. Considera seriamente di leggere questi documenti.
  • Controllare le autorizzazioni delle applicazioni che usi
    Quante delle tue applicazioni hanno realmente bisogno di accedere alla tua posizione, al tuo microfono, alla tua fotocamera o al tuo elenco contatti per funzionare correttamente?

Did you know that Google with the Google Assistant, Amazon with Alexa, and Microsoft with Cortana store a copy of every conversation you’ve ever had with your phone, laptop, smart speaker or other Internet-enabled device (including the ones they may have picked up on accidentally) on their servers and that you can listen to them and delete them? Did you know that Apple only stores transcripts of your Siri interaction and that you can delete those as well, if you want?

  • Controllare le autorizzazioni delle estensioni del tuo browser
    Le estensioni del browser possono fare molte cose, oltre ad essere utili: possono avere accesso alla tua cronologia di navigazione, sostituire i contenuti delle pagine che visiti, avere accesso ai dati che inserisci in qualsiasi pagina web (inclusi dati sensibili come i dati finanziari, le password e i tuoi messaggi privati), avere accesso e/o modificare i tuoi segnalibri, ecc. Se alcune delle autorizzazioni richieste da una data estensione dovessero sembrarti strane o eccessive, prendi in considerazione di rimuovere quell’estensione dal tuo browser e magari cercare un’alternativa. Se un’estensione non proviene da una fonte attendibile, potrebbe causare seri danni.
  • Abbandonare alcune applicazioni e servizi cancellando l’account e/o disinstallando l’applicazione.
    Se prendi questa decisione ma vuoi conservare i tuoi dati ricorda che la maggior parte dei servizi permette di scaricare una copia dei propri dati.

Per quanto riguarda la protezione delle informazioni sulla propria posizione, tieni presente che ci sono diversi modi in cui questi dati possono essere accessibili o possono essere raccolti da terzi:

  • Le applicazioni sono in grado di accedere e tenere traccia della tua posizione usando i dati forniti da sistemi globali di navigazione satellitare come il GPS e Galileo. Nella maggior parte dei casi dovresti essere in grado di controllare questo aspetto visitando le impostazioni sulla privacy del tuo dispositivo.
  • Le applicazioni sono anche in grado di tracciare la tua posizione usando la connettività Bluetooth e Wi-Fi. Attualmente sono pochi i sistemi operativi che permettono di controllare questo aspetto.
  • Il tuo indirizzo IP può essere utilizzato dai siti, applicazioni e servizi che usi per determinare il paese dal quale stai accedendo ad Internet. Per ulteriori informazioni su come controllare questo aspetto, consulta il capitolo sulle VPN.
  • Gli operatori di rete mobile sono in grado di rilevare la tua posizione perché sanno a quale dei loro siti cellulari sei conness*, rendendo la divulgazione della tua posizione una routine che può essere evitata solo se sei dispost* a disattivare completamente la connettività cellulare tramite impostazioni quali la modalità aereo.

Vai all’indice ⇾

Tracciamento e pubblicità online

Grandi reti per il tracciamento online come quelle messe a punto da Google, Facebook, Amazon, Twitter ed altre aziende cercano di seguirti ovunque sul web con l’obiettivo di raccogliere quanti più dati possibili su di te e sul tuo comportamento, dati che sono poi in grado di utilizzare per (tra le altre cose) generare pubblicità mirata.

Le pubblicità possono essere invadenti, a volte sfruttate per scopi dannosi (possono per esempio cercare di ingannarti per spingerti ad installare malware o fornire informazioni personali) e possono avere un impatto negativo sulla tua esperienza di navigazione, sul consumo dati e sulla durata della batteria.

I siti web possono anche essere compromessi per generare criptovaluta usando la potenza di calcolo dei tuoi dispositivi senza il tuo consenso, il che può essere un’attività molto redditizia per persone malintenzionate.

Per ridurre al minimo questo tipo di comportamenti puoi provare estensioni del browser come uBlock Origin, Privacy Badger, Ghostery e DuckDuckGo Privacy Essentials e prendere in considerazione di passare a prodotti e servizi incentrati sulla privacy come DuckDuckGo (un motore di ricerca che non traccia gli utenti e le utenti), OsmAnd (un’applicazione di navigazione e mappe offline) e DeepL Traduttore (un servizio di traduzione automatica meno invasivo per la privacy).

Se usi il browser Firefox dai un’occhiata alla protezione antitracciamento avanzata (disponibile per computer fissi e portatili e per dispositivi iOS e Android) e ad estensioni antitracciamento come Facebook Container e Firefox Multi-Account Containers.

Tieni presente che la maggior parte dei siti web sono finanziati tramite la pubblicità, prendi in considerazione l’idea di disattivare il tuo software per il blocco delle pubblicità o di sostenere finanziariamente i siti sui quali fai maggiore affidamento (o quelli di cui ti fidi di più) in modo che possano continuare a fare il loro lavoro.

Vai all’indice ⇾

Servizi cloud

I servizi cloud possono essere strumenti molto utili, ma possono anche introdurre significativi compromessi in termini di sicurezza e privacy.

Aziende che gestiscono servizi molto popolari come Google Drive, OneDrive, Dropbox, OneNote, Evernote, Documenti Google, Microsoft Office, WeTransfer e così via non possono garantire che gli/le utenti siano le uniche persone in grado di accedere ai propri dati perché, per varie ragioni, hanno scelto di sviluppare questi prodotti in modo che anche loro potessero accedervi.

Nonostante questo possa essere accettabile in alcune circostanze, ci saranno probabilmente situazioni nelle quali (magari anche a costo di perdere qualcosa in termini di funzionalità) potresti voler mantenere il controllo su chi ha accesso ai tuoi dati e su come questi dati vengono gestiti.

E’ qui che entrano in scena servizi criptati end-to-end come Sync per il cloud storage, Standard Notes per le note, CryptPad per l’editing collaborativo di documenti e Firefox Send o OnionShare per la condivisione di file. Tutti questi prodotti criptano e decriptano i dati localmente, in modo da fornire un servizio in grado di assicurare (in misura ragionevole) che solo tu e le persone con le quali vuoi condividere qualcosa siano in grado di accedervi.

P.S.: se stai cercando un’alternativa offline alla suite di applicazioni di Microsoft Office, dai un’occhiata a LibreOffice della Document Foundation.

Vai all’indice ⇾

Violazioni di dati

Le violazioni di dati sono diventate molto frequenti in questi ultimi anni e ogni violazione si aggiunge a un numero crescente di dati personali pubblicamente disponibili (e quindi compromessi).

Si pensi al disastro di Equifax che ha esposto dati personali come i Social Security Number e le date di nascita di oltre 140 milioni di cittadini e cittadine statunitensi, o alla violazione di dati di Yahoo! che ha esposto informazioni personali di tutti e 3 i miliardi di account registrati sulla piattaforma.

Tutti questi dati compromessi non torneranno mai sotto il controllo di chi li ha persi, e in casi come i Social Security Number e le date di nascita (essendo queste informazioni che non possono essere cambiate) non c’è molto che si possa fare per riparare il danno creato.

In un mondo che fa sempre più affidamento a strumenti digitali per raccogliere, salvare, utilizzare e condividere qualsiasi tipo di dato (compresi dati personali e dati personali sensibili); in un mondo in cui le informazioni personali sono spesso compromesse in violazioni di dati e/o volontariamente divulgate sui social media o altri canali semi-pubblici o non sicuri (e nonostante questo ancora ampiamente utilizzate per identificare e autenticare le persone), persone malintenzionate possono causare grossi danni.

Uno strumento molto utile sia per aumentare la consapevolezza collettiva rispetto al problema, sia per avere informazioni sulle violazioni di dati è Firefox Monitor.

Si tratta di un sito di facile utilizzo (basato sul progetto Have I Been Pwned? di Troy Hunt) che ti permette di verificare se i tuoi dati sono stati compromessi in una violazione di dati nota consultando un database pubblicamente disponibile, ma anche di registrare i tuoi indirizzi email (in questo caso è richiesto un account Firefox gratuito) per essere avvisat* non appena nuove informazioni che interessano i tuoi account dovessero diventare disponibili.

Una caratteristica interessante di Have I Been Pwned? (che attualmente Firefox Monitor non possiede) è Pwned Passwords, una pagina dove puoi digitare le tue password e sapere immediatamente se sono state compromesse in una violazione di dati nota. Il procedimento di controllo viene svolto senza che le tue password lascino mai il tuo dispositivo o vengano divulgate a terze parti sfruttando una proprietà matematica nota con il nome di k-anonymity.

Diverse altre aziende hanno incorporato Have I Been Pwned? nei loro prodotti e servizi. Due di queste che ci tengo a menzionare sono il gestore di password 1Password (che lo ha fatto tramite la sezione Watchtower delle sue applicazioni) e l’estensione del browser PassProtect.

Vai all’indice ⇾

Protezione e minimizzazione dei dati

Cerca di essere consapevole di quali dati digitalizzi e dove e come li salvi, così come di quali dati personali stai condividendo, con chi, dove e come.

Questi dati possono essere informazioni personali come nome e cognome, data di nascita, indirizzo di casa e numero della carta d’identità ma anche informazioni sensibili come i dati sanitari, quelli genetici e altri dati che potrebbero essere utilizzati per rivelare la tua origine razziale o etnica, le tue opinioni politiche, le tue convinzioni religiose o filosofiche, la tua vita sessuale o il tuo orientamento sessuale.

Tieni presente che non si tratta soltanto di proteggere i tuoi dati personali, ma anche i dati personali che altre persone hanno condiviso, condividono e condivideranno con te.

Informazioni personali come nome, cognome e data di nascita sono ancora utilizzate in molti casi come uniche informazioni necessarie per autenticare le persone (si guardi per esempio alle compagnie telefoniche…) e potrebbero essere utilizzate per impersonarti e ottenere accesso non autorizzato ad ogni genere di servizio che usi. Inoltre, una volta che dati di questo tipo diventano pubblici, potrebbe non esserci un modo per risolvere il problema. Le password si possono cambiare, ma cambiare cose come la tua data di nascita, il tuo nome e cognome, o il tuo indirizzo di casa è molto meno fattibile (se non impossibile).

Quando ti iscrivi ad un servizio cerca di farti un’idea di come l’azienda che lo gestisce salverà i tuoi dati e se li tratterà in un modo compatibile con la protezione della tua sicurezza e il rispetto della tua privacy. Pensa anche a quali dati un’azienda potrebbe aver bisogno per offrire un determinato servizio rispetto ai dati che effettivamente richiede, e cerca di trovare un modo per fornire esclusivamente lo stretto necessario.

Quel forum online ha davvero bisogno del tuo vero nome, della tua data di nascita e del tuo indirizzo email principale? Sarebbe davvero consigliabile affidare a quel sito di acquisti online i dati della tua carta di credito, o sarebbe invece meglio usare un metodo di pagamento alternativo (tipo PayPal, se disponibile)?

Cerca sempre di capire quanti dati personali sei dispost* a condividere con terzi. Se non sei a tuo agio di fronte alla quantità di informazioni che un determinato servizio chiede di fornire, prendi in considerazione di non usarlo.

Cerca di criptare il maggior numero di dati possibile (maggiori informazioni in merito le trovi nei capitoli crittografia del dispositivo, comunicazione sicura, HTTPS, DNS over HTTPS, browser web, servizi cloud e VPN), cancellando allo stesso tempo i dati di cui non hai bisogno o che non usi più. Questo potrebbe voler dire eliminare messaggi pubblicati sui social media che non ti riflettono più in quanto persona, immagini e video di cui non hai bisogno salvate in qualche cartella condivisa, account che non usi mai o che usi solo raramente (il sito Just Delete Me può aiutarti in questo caso), o vecchi file che stanno solo occupando spazio prezioso. Potrebbe anche voler dire cancellare completamente i tuoi dati da vecchi dispositivi quali telefoni, computer portatili, tablet, dischi rigidi, chiavi USB, schede SD ecc.

Teni presente che, salvo l’utilizzo di uno strumento affidabile per la cancellazione del disco, la migliore soluzione per cancellare completamente i dati da dispositivi quali vecchi dischi rigidi è solitamente la distruzione fisica del disco stesso.

Prendersi cura dei propri dati significa anche decidere cosa accadrà ai propri account e ai dati salvati in questi account dopo la propria morte. Preferiresti che i tuoi dati venissero cancellati, o preferiresti invece affidare ad una persona (o un gruppo di persone) il trattamento di questi dati? Un piano per la propria morte digitale non è probabilmente qualcosa a cui la gente normalmente pensa, ma è anche l’unico modo per mantenere un certo controllo sui propri dati quando non si è più in vita.

Non sono molti i servizi che offrono attualmente impostazioni o politiche aziendali in questo senso, ma alcuni lo fanno. Magari dacci un’occhiata ad un certo punto?

Ecco un aiuto per navigare l’argomento, nel caso ne avessi bisogno: Death Online: Planning your digital afterlife (The Verge)

Se hai bisogno di proteggerti dalle molestie online, allora visita la guida Speak Up & Stay Safe(r) di Jaclyn Friedman, Anita Sarkeesian e Renee Bracey Sherman.

Vai all’indice ⇾

Backup dei dati

Una cosa che puoi fare per cercare di evitare di perdere i tuoi dati nel caso il tuo telefono, portatile, dispositivo di archiviazione esterna, o qualsiasi altro dispositivo dovesse andare perso, essere rubato, o smettere di funzionare per qualche ragione sono i backup.

Dispositivi come iPhone, iPad, qualsiasi computer Mac e i vari telefoni e tablet Android disponibili sul mercato offrono di solito qualche funzione di backup sul cloud. Questo rende il mantenimento di una copia dei dati del dispositivo pronta per ogni evenienza molto semplice, ma significa solitamente anche rinunciare al controllo che si ha su quei dati nella misura in cui questi non saranno più accessibili esclusivamente a te, ma anche (almeno in parte) all’azienda che gestisce il servizio cloud.

Al momento Apple non offre la possibilità di proteggere i backup su iCloud con la crittografia end-to-end e purtroppo è improbabile la situazione cambi nel breve periodo. Quello che offre è la possibilità di salvare i backup criptati di iPhone e iPad sul proprio computer usando iTunes o il Finder e la possibilità di salvare i backup criptati del Mac su un dispositivo di archiviazione esterna usando Time Machine. Se possiedi uno o più dispositivi Apple, prendi in considerazione di eseguire soltanto backup locali (invece di backup su iCloud).

Google sembra utilizzare una qualche forma di crittografia end-to-end per proteggere i dati di chi decide di eseguire il backup del proprio dispositivo Android sul cloud di Google, ma non è molto trasparente in merito a quali dati siano effettivamente protetti. La funzione dovrebbe essere disponibile sui dispositivi con Android 9 o successivi sui quali è abilitato un PIN, una sequenza o una password per il blocco schermo. Un’opzione integrata per eseguire il backup di un dispositivo Android su un computer o su un dispositivo di archiviazione esterna non sembra essere disponibile per il momento.

Per quanto riguarda i dispositivi Windows, Microsoft non offre una funzione di backup completo sul cloud come Apple e Google (solo un’opzione per la sincronizzazione delle impostazioni non criptata end-to-end) e offre soltanto un’opzione di backup locale piuttosto limitata chiamata Cronologia file.

Chi volesse creare un backup dei dati archiviati sul proprio dispositivo Windows o su qualsiasi dispositivo di archiviazione esterna (come un disco rigido, una scheda SD, una chiave USB, ecc.) può dare un’occhiata a strumenti di backup e crittografia come SyncBack e VeraCrypt per i backup locali (ulteriori informazioni su VeraCrypt sono disponibili nel capitolo sulla crittografia del dispositivo) e a fornitori di cloud storage criptato end-to-end come Sync per i backup sul cloud.

C’è sempre la possibilità di scegliere un servizio che non fornisce la crittografia end-to-end se i dati sono già criptati con strumenti come VeraCrypt o Cryptomator, o se i dati interessati non sono personali (nel senso che la divulgazione di questi a terze parti non sarebbe motivo di preoccupazione per te o altre persone).

Nel scegliere l’opzione (o la combinazione di opzioni) che meglio si adatta alle tue esigenze, tieni conto della sensibilità dei dati in questione, nonché (nel caso di servizi non criptati end-to-end) della fiducia che sei dispost* a riporre nell’azienda che gestisce il servizio.

Vai all’indice ⇾

Ingegneria sociale

L’hacking contemporaneo implica solitamente la partecipazione inconsapevole delle persone o delle organizzazioni prese di mira. Questo perché, per le persone malintenzionate, è molto più facile (e meno costoso) ingannare qualcun* tramite una telefonata, un link o un allegato dannoso (spingendo così la vittima a fare il lavoro per loro), che non farsi strada attraverso sistemi di sicurezza informatica per conto proprio (il che sarebbe probabilmente fattibile, ma tendenzialmente più dispendioso in termini di tempo e denaro).

Nonostante i servizi email più conosciuti riescano a filtrare la maggior parte dei messaggi indesiderati dalla tua casella di posta, i browser web più conosciuti siano in grado di avvertirti quando stai per visitare una pagina web potenzialmente dannosa, i sistemi operativi abbiano capacità proattive e reattive volte a proteggere gli utenti e le utenti da file dannosi e vari altri prodotti e servizi software abbiano delle protezioni abilitate in modo predefinito, tieni presente che tali protezioni non sono in grado di proteggerti da tutto e (cosa ancora più importante) non sono sempre in grado di proteggerti da te stess*.

Ecco alcuni suggerimenti che possono aiutarti a riconoscere ed evitare attacchi che sfruttano l’ingegneria sociale come il phishing, lo spear phishing, il baiting e l’impersonificazione:

  • Cose che sono troppo belle per essere vere
    Comunicazioni di questo tipo possono promuovere oggetti forniti gratuitamente, ingenti somme di denaro o cose simili.
  • Messaggi che trasmettono un senso di urgenza e chiedono di agire in fretta
    Messaggi di questo tipo potrebbero affermare che i tuoi account sono stati violati e chiederti di inserire le tue informazioni in una pagina che assomiglia a quella originale, ma in realtà non lo è.
  • Indirizzi email che non sembrano corretti
    Per esempio indirizzi email molto lunghi e apparentemente casuali, o indirizzi simili a quelli di cui ti fidi ma diversi in qualche piccolo dettaglio meno evidente.
  • Comunicazioni da o a proposito di servizi che non usi
    Come un’email che menziona un conto bancario di una banca con la quale non hai nessun rapporto, o un servizio al quale non ti sei mai iscritt*, o un pacco che non hai mai ordinato.
  • Link sospetti
    Come un link dall’aspetto strano o link abbreviati (per esempio usando bit.ly) recapitati via email, messaggio, SMS o che trovi sui social media.
  • File sconosciuti o sospetti
    Come un file .exe o PDF scaricato da un sito web qualunque o non sicuro invece che da un sito web sicuro e di fiducia, o un file simile recapitato via email, messaggio o SMS.
  • Dispositivi sconosciuti o sospetti
    Questo potrebbe voler dire evitare di inserire dati personali su dispositivi al di fuori del tuo controllo diretto (come un computer alla biblioteca o quello di un amico o un’amica) o di collegare dispositivi sconosciuti (come chiavi USB o dischi rigidi di altre persone o che hai trovato) al tuo computer portatile o altro dispositivo personale.
  • Telefonate sospette
    Quali telefonate dove una persona apparentemente assunta da un’azienda come Microsoft o Apple per fornire servizio clienti o assistenza tecnica ti chiama proattivamente chiedendoti di fornire strane informazioni personali.

Puoi mettere alla prova le tue abilità usando Sei in grado di riconoscere i tentativi di phishing?, un quiz di Jigsaw. Puoi anche utilizzare strumenti come CheckShortURL per vedere dove porta un URL abbreviato prima di aprirlo effettivamente nel tuo browser.

Vai all’indice ⇾

Software antimalware

Se usi un software antimalware (per esempio un software antivirus) tieni presente che per funzionare deve avere accesso quasi completo al sistema sul quale è installato. Vulnerabilità presenti in questo tipo di software non farebbero quindi che aumentare notevolmente la superficie di attacco potenziale.

Questo non significa che non dovresti usarlo, ma che dovresti essere consapevole del fatto che un software antimalware sviluppato male (in particolare se fornito da aziende terze, che devono solitamente fare affidamento su stratagemmi poco trasparenti per avere accesso ad un sistema e permettere ai loro prodotti di funzionare) potrebbe aggiungere gravi vulnerabilità al tuo sistema, invece di contribuire a renderlo più sicuro.

Windows 10 di Microsoft (per esempio) viene fornito con l’applicazione Sicurezza di Windows come parte del sistema operativo. Considera di usare quella.

Qui trovi alcune informazioni aggiuntive sull’argomento:

Qualunque cosa tu scelga di fare, cerca di prestare attenzione ed essere consapevole sia delle azioni che svolgi con i tuoi dispositivi che il contesto nel quale le svolgi. Il software antimalware può effettivamente aiutarti, ma non può e non dovrebbe essere considerato una protezione contro tutto, specialmente nel caso in cui vengano ignorate le pratiche di sicurezza più basilari.

Tra l’altro, nel caso te lo stessi chiedendo: sì, qualsiasi prodotto software ha vulnerabilità. E… sì, c’è malware per tutt*. Nessun sistema è immune e non esiste un sistema a prova di hackeraggio o un sistema sicuro al 100%. È proprio qui che entra in gioco l’importanza di aggiornamenti regolari e tempestivi.

Vai all’indice ⇾

Sicurezza della webcam

Le webcam sono un componente hardware che è generalmente facile ed economico da hackerare. Considera di coprirle con del nastro adesivo o con un adesivo quando non le stai usando.

Questo non ti renderà a prova di sorveglianza (probabilmente ci sono molte altre telecamere intorno a te in qualsiasi momento che puoi controllare di meno o non puoi controllare affatto, per non parlare dei microfoni, che sono molto più difficili da coprire o disabilitare) ma ehi, almeno stai facendo qualcosa in merito, e se da un lato questo potrebbe darti un senso di maggior sicurezza, dall’altro significa dire in modo discreto alle altre persone che la sicurezza e la privacy per te sono importanti (il che è in se utile, e divertente).

Vai all’indice ⇾

VPN

Una rete virtuale privata (Virtual Private Network) è uno strumento utilizzato da persone diverse in diverse parti del mondo per fare cose diverse. Una persona potrebbe utilizzare una VPN fidata (la parola chiave qui è “fidata”) per accedere a contenuti soggetti a blocco geografico, impedire al proprio ISP di avere accesso (e magari trarre guadagno) dalla propria attività Internet, o semplicemente per navigare in modo sicuro e privato mentre è collegata ad una rete Wi-Fi pubblica; mentre un’altra persona potrebbe usarne una per proteggersi dalla sorveglianza di massa e da leggi sulla conservazione obbligatoria dei dati o magari anche per aggirare la censura ed essere in grado di esercitare pienamente i propri diritti umani.

Usare una VPN significa inviare tutto il proprio traffico Internet ad uno dei server della VPN che si è scelto (le VPN hanno di solito centinaia o addirittura migliaia di server sparsi in giro per il mondo) attraverso un tunnel criptato, traffico che a quel punto viene decriptato per raggiungere la destinazione. I due principali risvolti positivi di una soluzione di questo tipo sono:

  • La crittografia del traffico
    Chiunque sia posizionat* tra te e i server della VPN (che sia una persona malintenzionata, un ISP non regolamentato o un’agenzia di intelligence) potrà solo vedere che sei conness* ad una VPN e non avrà alcun tipo di accesso al tuo traffico Internet.
  • L’offuscamento dell’indirizzo IP
    Qualsiasi servizio al quale ti connetterai vedrà solo l’indirizzo IP del server della VPN, nascondendo così gli indirizzi IP dei tuoi dispositivi. Questo significa che il tuo traffico apparirà ai servizi che usi come se provenisse dai server della VPN invece che dalla tua posizione fisica reale.

Ricorda: una VPN protegge solo la connessione tra te e i servizi che usi, non ti impedisce di visitare siti web dannosi, ne di fornire (volontariamente o involontariamente) informazioni personali a questi servizi. Visto che i dati vengono criptati localmente sui tuoi dispositivi e vengono poi decriptati una volta raggiunti i server della VPN, utilizzarne una significa spostare la fiducia dal tuo ISP all’azienda che gestisce la VPN. Per questo è estremamente importante trovare una VPN della quale ti puoi davvero fidare.

Non tutti i servizi VPN offrono lo stesso livello di protezione. Elementi ai quali è importante prestare attenzione durante la ricerca di una VPN sono l’informativa sulla privacy, il paese che ospita la loro sede legale, il paese dal quale gestiscono il servizio (che ti aiuterà a capire quanto puoi fidarti di loro in base al tipo di leggi alle quali devono sottostare), chi gestisce il servizio e la tecnologia e i protocolli di sicurezza utilizzati per proteggere le tue informazioni.

Le VPN gratuite sono solitamente sconsigliate in quanto molte traggono profitto dalla vendita degli stessi dati che i/le clienti vogliono proteggere.

Una VPN che mi sento a mio agio a menzionare in questa sede è ProtonVPN, sviluppata dalle stesse persone che gestiscono ProtonMail. ProtonVPN è open source, viene regolarmente sottoposta a controlli di sicurezza indipendenti, utilizza il protocollo OpenVPN ed ha alcune caratteristiche relative alla sicurezza molto interessanti. Ecco la recensione che VPNpro ha fatto del loro prodotto: ProtonVPN Review

Se quello che cerchi è uno strumento in grado di proteggere l’anonimato, dai un’occhiata al Tor Browser.

Ecco alcune risorse correlate che potrebbero interessarti:

Vai all’indice ⇾

Valutazione della sicurezza personale

Un buon modo per attuare le misure ed i suggerimenti menzionati nei capitoli precedenti è definire il proprio modello di minaccia. Questo ti aiuterà a capire quali sono le pratiche di sicurezza e di tutela della privacy che fanno al caso tuo e come meglio procedere alla loro realizzazione. Puoi iniziare il tutto ponendoti una serie di domande simili a quelle elencate di seguito, che sono basate sulla risorsa Your Security Plan della guida Surveillance Self-Defense dell’Electronic Frontier Foundation.

  • Cosa stai cercando di proteggere?
    Che informazioni consideri abbastanza personali/sensibili da essere dispost* a prendere provvedimenti per evitare che finiscano nelle mani sbagliate o diventino pubbliche?
  • Da chi le stai cercando di proteggere?
    Quello che ti preoccupa è la sorveglianza da parte della polizia, la sorveglianza aziendale, la sorveglianza da parte dei tuoi genitori, la minaccia che pongono le persone con accesso fisico ai tuoi dispositivi e sistemi quali coniugi, compagn* di stanza e datori o datrici di lavoro, o quello che ti interessa è l’adozione di misure di sicurezza generali per evitare di perdere il controllo sulle tue informazioni in seguito a un attacco hacker?
  • Se questa persona o entità dovesse cercare di impadronirsi di ciò che stai cercando di proteggere, come lo farebbe?
    Potrebbe semplicemente afferrare il tuo dispositivo? Dovrebbe indovinare un PIN? Potrebbe cercare di accedere ai tuoi dispositivi da remoto utilizzando malware? Potrebbe cercare di indovinare la password che riutilizzi ovunque? Sarebbe disposta a costringerti a sbloccare i tuoi dispositivi o account per lei?
  • Se avesse successo, quanto gravi sarebbero le conseguenze?
    Quale potrebbe essere lo scenario peggiore? Come gestiresti una situazione del genere se ti trovassi a doverla affrontare?
  • Quanto è probabile che qualcun* cerchi di impadronirsi di quello che stai cercando di proteggere?
    Quanto pensi che le tue informazioni siano preziose per la persona o l’entità in questione?
  • Quali risorse (come tempo e magari denaro) sei dispost* a investire per mettere al sicuro ciò che stai cercando di proteggere?

Mentre rifletti su queste domande tieni a mente che capire di chi e di che cosa ti fidi, così come renderti conto del fatto che se c’è qualcun* che ti ha pres* di mira le sue capacità cresceranno probabilmente con il passare del tempo, può essere molto importante.

Vai all’indice ⇾

Coinvolgi altre persone

Quelle che abbiamo visto finora sono alcune delle più importante azioni individuali che ogni persona può intraprendere per proteggere al meglio i propri dati e i dati che le altre persone condividono con lei.

Il problema, però, è il seguente: la sicurezza e la privacy sono forti solo quanto lo è il punto più debole di un qualsiasi sistema informatico o gruppo di persone. Si tratta quindi di temi che possono essere realmente affrontati solo se si fa gioco di squadra.

Una volta che inizi a pensare alla protezione dei dati come un viaggio che tu e le persone intorno a te potete intraprendere insieme e come ad un bene pubblico, chiediti: queste persone (quelle con cui condivido informazioni personali, private e/o sensibili) proteggono i loro dati e i dati che condivido con loro? Sarebbe sensato per me suggerire, chiedere o addirittura esigere che seguano buone pratiche simili a quelle messe in evidenza in questo progetto?

Vai all’indice ⇾

Conclusione

La sicurezza personale e la privacy riguardano noi, sia in quanto individu* che in quanto società. Sono qualcosa al quale dovremmo pensare e di cui dovremmo parlare perché (che ce ne rendiamo conto o no) sono al centro di tutto ciò che facciamo online e offline e toccano le nostre vite (direttamente o indirettamente) ogni giorno.

Per dirlo con le parole di Edward Snowden (che ho tradotto dall’inglese):

“Una delle cose più importanti sulla quale penso tutte le persone abbiano il dovere di riflettere (collettivamente nella società) è quando siamo spint* a pensare in un certo modo e ad accettare una certa idea di riflesso, senza affrontarla concretamente.

L’idea che gira, che se non hai niente da nascondere non hai nulla da temere, ha origine dalla propaganda nazista. Ciò non vuol dire equiparare le azioni del nostro attuale governo al nazismo, ma quella è l’origine della citazione. Viene dal ministro della propaganda Joseph Goebbels.

Quindi quando ascoltiamo i politici, le politiche e le persone del nostro tempo ripetere questo di riflesso senza confrontarsi con le sue origini, ciò che realmente rappresenta, penso sia dannoso.

E se effettivamente ci pensiamo, non ha senso. Perché la privacy non riguarda qualcosa da nascondere. La privacy riguarda qualcosa da proteggere. E’ chi sei. Ciò in cui credi. La privacy è il diritto all’essere te stess*. La privacy è ciò che ti dà la possibilità di condividere con il mondo chi sei alle tue condizioni. Che ti permette di far capire al mondo chi stai cercando di essere e al tempo stesso proteggere le parti di te delle quali non sei ancora sicur*, con le quali stai ancora sperimentando.

Senza privacy, quello che perdiamo è la capacità di commettere errori, la capacità di essere noi stess*. La privacy è la fonte di tutti gli altri diritti. La libertà di parola non ha molto significato se non puoi avere uno spazio tranquillo, uno spazio tuo, la tua mente, la tua comunità, i tuoi amici e le tue amiche, la tua famiglia, per decidere cosa vuoi dire veramente.

La libertà di religione non significa molto se non riesci a capire quello in cui credi perché influenzat* da critiche esterne o dalla pressione delle persone intorno a te. E così via.

La privacy è parte integrante della nostra lingua, dei nostri concetti fondamentali di governo e di se. È per questo che la chiamiamo “proprietà privata”. Senza la privacy non hai nulla per te.

Quindi, quando la gente mi dice questo, rispondo che sostenere non ti interessi la privacy perché non hai nulla da nascondere è come sostenere non ti interessi la libertà di parola perché non hai nulla da dire “.

Buon proseguimento 🌱

Vai all’indice ⇾

Pagina aggiornata al 13 giugno 2020
Mappa del sito