Sei sulla pagina 1di 40

La

Guida
di
Motherboard
Per
Non
Farsi
Hackerare
VERSIONE 1.1 AGGIORNATO AL 15.05.2018

La Guida di
Motherboard per
non Farsi Hackerare

Una delle domande che ci fanno più spesso qui nessi alla rete, droni volanti che trasportano
a Motherboard è “Cosa posso fare per proteg- computer con software per effettuare attacchi
germi da un attacco hacker?” informatici; per non parlare dei pericoli lega-
ti all’archiviazione delle nostre informazioni
Dato che vivere nella società moderna signi- genetiche.
fica affidarsi in misura sempre maggiore nelle
mani di terze parti, la risposta è spesso “Non Questo non significa che sia tutto inutile.
molto”. Prendete, ad esempio, l’enorme at- Ci sono un sacco di cose che si possono fare
tacco a Equifax — LA società americana di per rendere la vita più complicata agli hacker
controllo del credito dei consumatori — che intenzionati ad accedere ai vostri dispositivi
ha coinvolto all’incirca metà della popolazione o ai vostri account, e lo scopo di questa guida
americana: alcune persone si erano iscritte al è quello di fornirvi dei chiari e semplici punti
servizio proprio perché volevano proteggersi da seguire per incrementare il vostro livello di
da eventuali attacchi, eppure i loro dati sono sicurezza digitale. Esistono, grosso modo, due
stati rubati. tipi di attacchi: quelli che gli utenti non posso-
no evitare e quelli che normalmente possono
Gli hacker possono entrare in possesso di cen- essere prevenuti. Noi vogliamo aiutarvi
tinaia di milioni di password in un colpo solo a ridurre i danni causati dai primi ed evitare
e creare interruzioni di servizio di proporzioni che i secondi si verifichino.
notevoli. Non ci possiamo aspettare che in fu-
turo le cose migliorino se pensiamo che presto In quanto singoli utenti, non potete far niente
avremo a che fare con robot domestici intelli- per impedire al vostro provider e-mail o all’a-
genti che potrebbero essere manomessi zienda che custodisce i vostri dati finanziari
e programmati per uccidere, gingilli in grado di essere bersaglio di un hacker. Ma potete
di causare veri e propri disastri una volta con- certamente evitare attacchi di phishing che

1
VERSIONE 1.1 AGGIORNATO AL 15.05.2018

permetterebbero a un hacker di accedere al


vostro account di posta elettronica, e potreste Ad ogni modo,
anche impedire che una vostra password finita
in mezzo a un furto di dati su vasta scala ven-
basta con le chiacchiere.
ga riutilizzata per accedere a un altro vostro Ecco la GUIDA DI
account su cui magari avete usato la stessa
password. MOTHERBOARD
Questa guida è in continuo aggiornamento
CONTRO GLI ATTACCHI
e non è adattabile ad ogni singolo caso; non HACKER
esistono cose come “la sicurezza perfetta” e
non ci sono soluzioni per tutti. Ma speriamo
che possa essere un buon punto di partenza per
chi ha intenzione di mettere al riparo la propria
vita digitale. Questo è il motivo per il quale
abbiamo cercato di mantenere questa guida il
più accessibile possibile, ma se vi capita di im-
battervi in un qualche termine tecnico che non
conoscete, c’è un glossario alla fine.

Questo è un lavoro a cui hanno partecipato


membri dello staff di Motherboard del presen-
te e del passato, ed è stata esaminata da molte
delle nostre fonti. Hanno collaborato Loren-
zo Franceschi-Bicchierai, Joseph Cox, Sarah
Jeong e Jason Koebler, ma i suggerimenti che
trovate al suo interno nascono grazie a un per-
corso fatto di anni di articoli e ricerche sulla
sicurezza digitale portato avanti da dozzine
di reporter e di professionisti appartenenti al
campo dell’information security. Considera-
tela un work-in-progress: apporteremo piccoli
aggiornamenti nel caso si presentassero nuove
e rilevanti vulnerabilità. Un ringraziamento
speciale a Matt Mitchell di Crypto Harlem e
a Eva Galperin della Electronic Frontier Foun-
dation per aver revisionato alcune parti
di questa guida.

Versione italiana a cura di


Antonella Di Biase, Federico Nejrotti,
Giulia Trincardi e Federico Martelli
Traduzione di Alessandro Franchi
Adattamento grafico di Pietro Amoruoso

2
VERSIONE 1.1 AGGIORNATO AL 15.05.2018

indice

04 Le basi della 19 Privacy,


sicurezza digitale Messaggistica
05 Il Threat Modeling e sorveglianza
07 Tenete aggiornati i vostri software governativa
08 Le Password
10 L’autenticazione a due fattori 20 Il Threat Modeling
(per privacy e sorveglianza)
21 Signal
15 La sicurezza dei 22 Social Media
23 Le Telecamere e i Microfoni
dispositivi mobili
23 Bloccate lo Schermo
16 Il Threat Modeling 23 Usate OTR per chattare
(per gli smartphone) 24 Il Browser Tor
17 iPhone vs Android 25 Le Virtual Private Network
17 La sicurezza di Android 25 Il PGP
18 SIM Card & Sicurezza dell’account 25 Provider di Email e Server
26 Criptare gli Hardware
26 Carte di Credito
27 Note per i Giornalisti
27 Il Futuro
27 Disconnettersi

30 Glossario di Hacking
e Cyber-parole
3
VERSIONE 1.1 AGGIORNATO AL 15.05.2018

Le basi
della
sicurezza
digitale

4
VERSIONE 1.1 AGGIORNATO AL 15.05.2018

Il Threat
Modeling

In questa guida tutto inizia con il “threat mo- hanno un threat modeling che gli permette di
deling”, che nel linguaggio hacker significa navigare in rete senza troppe preoccupazioni,
stimare le probabilità di essere attaccati o sor- e di non vivere come dei reclusi paranoici.
vegliati. Quando ci si propone di proteggere le
proprie comunicazioni digitali è fondamentale Quindi, prima di fare qualsiasi altra cosa,
pensare in primo luogo a cosa si vuole proteg- dovreste valutare il vostro threat modeling.
gere e dall’attacco di chi. Se chiedessimo ad In sostanza, cosa state cercando di proteggere
un esperto di information security se Signal è e da chi state cercando di proteggerlo?
la migliore app di messaggistica o se Tor è il
browser più sicuro, lui risponderebbe sicura- La Electronic Frontier Foundation, in materia
mente “dipende dal vostro threat modeling.” di threat modeling, consiglia di porsi queste
La risposta a qualsiasi domanda sulla sicurez- cinque domande:
za è, essenzialmente: “Dipende.”
1. Cosa volete proteggere?
I piani di sicurezza non sono mai identici tra 2. Da chi?
loro. Il tipo di protezione da adottare deve 3. Quante probabilità ci sono che la prote-
tener conto di chi potrebbe tentare di accedere zione risulti necessaria?
ai vostri account o di leggere i vostri messaggi. 4. Quanto negative sarebbero le
La cattiva notizia è che non esiste una solu- conseguenze di un eventuale fallimento?
zione infallibile (perdonateci!), ma la buona 5. Quante difficoltà siete disposti
notizia è che la maggior parte delle persone ad affrontare per prevenirle?

5
VERSIONE 1.1 AGGIORNATO AL 15.05.2018

La minaccia è un ex che potrebbe tentare di In generale, però, è stata progettata per coloro
accedere al vostro account Facebook? Assicu- che vogliono conoscere lo stretto indispensa-
rarsi che nessuno sappia la vostra password, bile per rafforzare la propria sicurezza digitale.
allora, è un buon modo per iniziare. (Non con- Se il vostro threat modeling include gli hacker
dividete password importanti con le persone, della NSA o altri gruppi finanziati dallo stato
non importa chi esse siano: se state pensando come Fancy Bear, vi consigliamo di parlare
a Netflix, assicuratevi di non utilizzare quella della vostra situazione specifica con un profes-
password per nessun altro account persona- sionista qualificato.
le). State cercando di impedire che, tramite la
pratica del doxing, qualcuno raccolga i vostri
dati personali — la data del vostro complean-
no, ad esempio — per poi arrivare ad acquisire
ulteriori informazioni? Bene, tenere d’occhio
quello che si pubblica sui social potrebbe es-
sere una buona idea. E l’autenticazione a due
fattori (ne parleremo più avanti) contribuisce
in larga misura a fermare criminali ben più pe-
ricolosi. Se siete attivisti, giornalisti, o in qual-
che modo avete ragioni per temere il governo,
lo stato o rappresentanti delle forze dell’ordine
che vogliono sorvegliarvi, le misure che dove-
te adottare per proteggervi sono assai diverse
da quelle che dovreste prendere per mantenere
segreti i piani per un party a sorpresa che state
organizzando per il vostro migliore amico.

Anche sopravvalutare la minaccia potrebbe es-


sere un problema: iniziare a usare strani siste-
mi operativi personalizzati, macchine virtuali,
o un qualsiasi altro espediente tecnico quando
non è veramente necessario (o quando non si
sa come utilizzarlo), vi farà sprecare del tempo
e potrebbe farvi correre dei rischi. Nel mi-
gliore dei casi finirete per spendere un po’ più
tempo per eseguire azioni informatiche molto
banali; nell’ipotesi peggiore potreste cullarvi
in un falso senso di sicurezza con servizi e
hardware di cui non avete bisogno, soprav-
valutando quello che veramente è importante
per voi e le reali minacce nelle quali potreste
incorrere.

In alcuni punti, questa guida vi fornirà dei pas-


si specifici da seguire se avete un threat mode-
ling che include soggetti sofisticati.

6
VERSIONE 1.1 AGGIORNATO AL 15.05.2018

Tenete Aggiornati
i Vostri Software

Probabilmente la cosa più semplice e impor- Spesso i cyber-attacchi sfruttano i difetti di


tante che possiate fare per proteggervi è man- software obsoleti come vecchi browser, let-
tenere il software che utilizzate aggiornato tori PDF o programmi di elaborazione testo.
all’ultima versione. Ciò significa avere una Mantenendo tutto aggiornato, avrete meno
versione aggiornata di qualsiasi sistema opera- possibilità di diventare vittime di un malware,
tivo stiate utilizzando, e aggiornare tutte le vo- perché le ditte di produzione competenti e gli
stre app e programmi. Significa anche aggior- sviluppatori dei software rendono velocemente
nare i firmware del vostro router, i dispositivi disponibili nuove patch per i loro prodotti non
connessi e ogni altro gadget in vostro possesso appena notano il minimo segnale di un attacco.
che può connettersi alla rete.
Gli attacchi hacker scelgono spesso la strada
Tenete a mente che, sul vostro computer, non più semplice: si concentrano in prima istan-
dovete necessariamente utilizzare l’ultima ver- za sul bersaglio più debole e abbordabile. Ad
sione di un sistema operativo. In alcuni casi, esempio, gli hacker dietro il rovinoso attacco
anche le versioni un po’ più vecchie hanno ransomware divenuto noto come WannaCry
i loro aggiornamenti per la sicurezza. (Sfor- scelsero vittime che non avevano installato un
tunatamente non è più il caso di Windows XP, aggiornamento di sicurezza che era stato reso
smettete di utilizzarlo!) La cosa più importante disponibile già da diverse settimane. In altre
è che il vostro sistema operativo riceva anco- parole, sapevano che sarebbero riusciti a entra-
ra gli aggiornamenti di sicurezza e che voi li re dato che le vittime non avevano cambiato
installiate. la serratura della loro porta di ingresso, anche
se le chiavi erano già state rese disponibili
Quindi se c’è una lezione che dovete impara- a chiunque.
re da questa guida è: aggiornate, aggiornate,
aggiornate, o installate patch, installate patch,
installate patch.

7
VERSIONE 1.1 AGGIORNATO AL 15.05.2018

Le Password

Abbiamo tutti un sacco di password da ricor- quella che sblocca il caveau che contiene tutte
dare e questo è il motivo per cui alcune per- le altre.
sone preferiscono utilizzare sempre le stesse.
Riutilizzare le password è una cattiva idea È bene, però, che quella password sia davvero
perché se, per esempio, un hacker riesce buona. Scordatevi le lettere maiuscole, i sim-
a prendere possesso della vostra password boli e i numeri. Il metodo più semplice per
di Netflix o Spotify, può poi usarla per entrare creare una password sicura è utilizzare una
nel vostro account di car sharing o nel vostro passphrase: una serie di parole scelte a caso
conto corrente e prosciugare la vostra carta di che siano però pronunciabili — così da essere
credito. Anche se le nostre menti non sono in più semplici da memorizzare. Ad esempio:
realtà poi così male nel ricordarsi le password, dadi colbacco deltoide landa lucia (non usate
è quasi impossibile ricordarne dozzine che questa, l’abbiamo appena bruciata).
siano sicure ed univoche.
Una volta fatto questo potete utilizzare singo-
La buona notizia è che la soluzione a questi le password formate da molti caratteri per tut-
problemi esiste già: i password manager. to il resto, se le create con un password mana-
Sono app o estensioni per il browser che ger e non le riutilizzate per altro. La password
tengono a mente le password al posto vostro, principale è meglio che sia una passphrase
aiutano a crearne di buone e semplificano la perché è più semplice da memorizzare, cosa
vostra vita in rete. Se utilizzate un password non necessaria per le altre, delle quali si occu-
manager, dovete ricordare una sola password, perà il password manager.

8
VERSIONE 1.1 AGGIORNATO AL 15.05.2018

Intuitivamente, potreste pensare che non sia password è mai stata rubata perché l’azienda le
saggio archiviare le password sul vostro com- aveva archiviate al sicuro. LastPass rimane un
puter o affidarle a un password manager ester- password manager raccomandabile anche se è
no al vostro personale e costante controllo. incorso in questi incidenti. Ma di nuovo, tutto
E se un hacker riuscisse a metterci le mani? sta nel valutare il proprio threat modeling.
Non è meglio tenerle tutte a mente? Be’ non
proprio: è molto più probabile che un truffatore Quindi, per favore, utilizzate uno dei tanti pas-
riutilizzi una password rubata da qualche altra sword manager disponibili, come 1Password,
parte piuttosto che un hacker esperto decida LastPass o KeePass. Non c’è ragione per non
autonomamente di prendere come bersaglio farlo. Farà sentire più tranquilli anche noi,
il vostro database di password. Per esempio, e renderà la vostra vita più semplice.
se aveste utilizzato la stessa password su molti
siti e questa fosse stata rubata nel massiccio E se il vostro capo vi chiede di cambiare perio-
attacco a Yahoo! (che ha colpito 3 miliardi di dicamente le password in nome della sicurez-
persone), potrebbe venir facilmente riutilizzata za, vi prego, ditegli che è un’idea terribile.
per il vostro account Gmail, Uber, Facebook Se utilizzate un password manager, l’autentica-
e su altri siti. Alcuni password manager archi- zione a due fattori (vedete sotto) e avete delle
viano le vostre password criptate nel cloud in password sicure e univoche per ogni account,
modo che, anche se l’azienda dovesse subire non c’è bisogno di cambiarle ogni volta —
un attacco hacker, rimarrebbero al sicuro. a meno che non sia stato violato il backend,
Ad esempio, il password manager LastPass o la vostra password sia stata in qualche modo
è stato hackerato almeno due volte, ma nessuna rubata.

9
VERSIONE 1.1 AGGIORNATO AL 15.05.2018

L’Autenticazione
a Due Fattori

Avere password forti e univoche è un primo mente creata (che può tornare utile se il vostro
passo importante, ma anche queste possono telefono non ha copertura nel momento in cui
essere rubate. Quindi per i vostri account più cercate di accedere), o un piccolo apparecchio
importanti (gli account della mail, di Twitter fisico come un token USB (talvolta chiamato
o di Facebook, i vostri conti bancari o finan- U2F security key o YubiKey, prendendo
ziari) dovreste aggiungere un ulteriore livello il nome dai brand più conosciuti).
di protezione conosciuto come autenticazione
a due fattori (o “a più fattori” o “strong authen- Negli ultimi anni si è spesso discusso della
tication”). Molti servizi, oggi, offrono l’auten- sicurezza degli SMS come “secondo fattore”.
ticazione a due fattori, quindi non sarebbe certo L’attivista Deray McKesson era stato derubato
sbagliato attivarla dove possibile. Controllate del suo numero di telefono e gli hacker erano
tutti i servizi su questo sito: twofactorauth.org. così riusciti a trovare il modo di ricevere i mes-
saggi con i codici di sicurezza che proteggeva-
Abilitando questo tipo di autenticazione non no i suoi account. E il National Institute of
basterà solo la vostra password per avere ac- Standards and Technology (NIST), una sezione
cesso ai vostri account. Avrete bisogno anche del governo degli Stati Uniti che scrive linee
di qualcos’altro, che di solito è un codice nu- guida su regole e misure, inclusa la sicurezza,
merico inviato tramite SMS sul vostro telefo- ha recentemente scoraggiato l’uso dell’autenti-
no, o un codice generato da una app apposita- cazione a due fattori tramite SMS.

10
VERSIONE 1.1 AGGIORNATO AL 15.05.2018

L’attacco a Deray è stato reso possibile grazie presente nel vostro computer. Gli hacker ador-
all’ingegneria sociale. In questo caso, un ad- ano Flash perché ha più buchi del groviera.
detto al servizio clienti è stato indotto con l’in- La buona notizia è che molti siti ne hanno ab-
ganno a rendere Deray vulnerabile. La truffa bandonato l’utilizzo, quindi non ne avrete più
è consistita nel farsi inviare dalla sua compag- realmente bisogno per godervi una completa
nia telefonica una nuova scheda SIM per met- e intensa esperienza in rete. Prendete in con-
tere le mani sul suo numero di telefono. Ciò siderazione l’idea di eliminarlo dal vostro
ha permesso che, una volta immessa la prima computer, o almeno di cambiare le impostazi-
password, il secondo fattore venisse inviato oni sul vostro browser, in modo da dover clic-
direttamente a loro. Questa è una truffa co- care ogni volta per avviarlo.
mune che sta diventando sempre più frequente.

È difficile difendersi da un attacco del genere,


ed è una triste verità che non esista una forma
di sicurezza perfetta. Ma ci sono passi che si
possono compiere per rendere questi attacchi
più complessi da attuare e ne parleremo nel
dettaglio poco più avanti, nella sezione della
mobile
security.

L’autenticazione a due fattori tramite SMS può


essere raggirata ed è anche possibile utilizzare
a proprio vantaggio vulnerabilità nell’infras-
truttura delle telecomunicazioni che trasmet-
tono le nostre conversazioni, o utilizzare un
dispositivo conosciuto come IMSI-Catcher,
o Stingray, per raccogliere le conversazioni
e i vostri SMS di verifica. Non scriviamo tutto
questo per spaventarvi, ma vale la pena far
notare che anche se ogni tipo di autenticazione
a due fattori è meglio che niente, sarebbe più
consigliabile utilizzare una app di autenticazi-
one o, ancora meglio, una chiavetta fisica.

Dovreste, se il sito lo permette, usare un’altra


opzione a due fattori che non sia quella tramite
SMS, come una app di autenticazione
sul vostro smartphone (ad esempio Google
Authenticator, DUO Mobile o Authy) o un
apparecchio fisico. Se questa opzione fosse
disponibile, sarebbe un’ottima idea utilizzarla.

Non utilizzate Flash: Flash è storicamente uno


dei software più meno sicuri che sia mai stato

11
VERSIONE 1.1 AGGIORNATO AL 15.05.2018

Dos
&
Don’ts

12
VERSIONE 1.1 AGGIORNATO AL 15.05.2018

Dos
Do – Utilizzate un antivirus: sì, questa l’a- Do – Utilizzate una VPN: le Virtual Private
vevate già sentita. Gli antivirus sono, ironi- Network (reti di telecomunicazione private)
camente, pieni di buchi di sicurezza. Se non sono un canale sicuro tra il vostro computer
siete persone a rischio di essere prese di mira e la rete internet. Se utilizzate una VPN,
da hacker di livello avanzato, averne uno è vi collegate prima ad essa e poi alla rete
una buona idea. Un antivirus però non è una internet nella sua interezza, aggiungendo uno
panacea, e nel 2018 vi servirà qualcosa in più strato di sicurezza e di privacy. Se state utiliz-
per essere al sicuro. Inoltre gli antivirus, per zando internet in uno spazio pubblico, mettia-
definizione, sono estremamente invasivi: mo da Starbucks, in aeroporto o in un Airbnb,
devono cercare a fondo nel vostro computer lo state condividendo con persone che non
per essere in grado di identificare i malware. conoscete. E se un hacker fosse sul vostro
La conseguenza è che, per esempio, il gover- stesso network, potrebbe creare problemi alla
no degli Stati Uniti ha accusato Kaspersky vostra connessione e potenzialmente al vostro
Lab di aver passato al governo russo dei do- computer. Vale la pena fare qualche ricerca
cumenti sensibili di proprietà di uno dei suoi sulle VPN prima di sceglierne una, perché
clienti. alcune sono di gran lunga migliori di altre
(la maggior parte di quelle gratuite non sono
Do – Utilizzate dei plugin per la sicurezza: infallibili nel proteggere la privacy). Consi-
a volte, ad un hacker basta farvi arrivare su gliamo Freedome, Private Internet Access o,
un sito pieno di malware per prendere il con- se siete utenti competenti, Algo.
trollo del vostro computer. Per proteggervi gli
AdBlocker, che proteggono dai malware che Do – Disabilitate le macro: gli hacker pos-
sono incorporati nelle pubblicità presenti nei sono utilizzare le macro di Microsoft Offi-
siti più loschi o, a volte, anche nei siti legitti- ce contenute all’interno dei documenti per
mi. introdurre malware nel vostro computer. È
un vecchio trucco, ma è tornato in voga per
Un altro plugin utile è HTTPS Everywhere, diffondere ransomware. Disabilitatele!
che forza il criptaggio della vostra connessio-
ne (quando il sito lo supporta). Questo non vi Do – Eseguite il backup dei file: questa non è
salverà se il sito che state visitando nasconde certo una novità, ma se temete che gli hacker
un malware ma, in alcuni casi, vi aiuterà a distruggano o blocchino i vostri file (ad esem-
impedire che gli hacker vi reindirizzino su pio con dei ransomware), allora dovete farne
una falsa versione di quel sito, e in generale un backup. Possibilmente fatelo su un hard
vi proteggerà da quegli hacker che tentano disk esterno mentre non siete connessi alla
di interferire con la vostra connessione, ripor- rete: così, anche se ci fossero dei ransomwa-
tandovi su quella valida. re, il backup non verrebbe infettato.

13
VERSIONE 1.1 AGGIORNATO AL 15.05.2018

Don’ts
Don’t – Non utilizzate Flash, è uno dei Don’t – Non aprite allegati senza precauzio-
software meno sicuri di sempre. Gli hacker ni: per decenni i cybercriminali hanno nasco-
lo adorano perché ha più buchi del groviera. sto malware all’interno di allegati come Word
La buona notizia è che molti siti ne hanno o PDF. Gli antivirus a volte bloccano queste
abbandonato l’utilizzo, quindi non ne avrete minacce, ma è sempre meglio utilizzare il
più realmente bisogno. Prendete in considera- buon senso: non aprite allegati (e non clicca-
zione l’idea di eliminarlo dal vostro compu- te su link) di fonti non note o che non state
ter, o almeno di cambiare le impostazioni del aspettando. E se proprio volete farlo, ricorrete
browser in modo da dover cliccare ogni volta ad alcune precauzioni come aprire gli allegati
per avviarlo. all’interno di Chrome (senza scaricare i file).
Ancora meglio sarebbe salvare il file su Go-
Don’t – Non esponetevi troppo senza una ogle Drive per poi aprirlo al suo interno, così
ragione: alle persone piace condividere le il file viene aperto da Google e non dal vostro
proprie vite sui social. Ma vi supplichiamo, computer.
evitate di twittare foto della vostra carta
di credito o della carta di imbarco del vostro
volo, ad esempio. Più in generale, un post su
un social media è rivolto a chiunque in rete si
prenda la briga di controllare il vostro profilo,
anche se si trattasse solo di capire il vostro
indirizzo di casa tramite i percorsi segnati
su un sito come Strava, il social network
per corridori e ciclisti.

Informazioni personali come il vostro indiriz-


zo di casa o la vostra scuola possono essere
utilizzate per trovare ulteriori informazioni
attraverso schemi di ingegneria sociale.
Più informazioni personali un hacker pos-
siede, più è probabile che riesca ad accedere
a uno dei vostri account. Tenendo a mente
queste cose, magari prendete in considerazio-
ne l’idea di modificare le impostazioni sulla
privacy anche su alcuni dei vostri account.

14
VERSIONE 1.1 AGGIORNATO AL 15.05.2018

La Mobile
Security

15
VERSIONE 1.1 AGGIORNATO AL 15.05.2018

La Mobile Security

Adesso viviamo in un mondo dove gli smar- Una delle più grandi minacce per i telefoni
tphone sono diventati i nostri principali ap- è che qualcuno abbia accesso fisico al vostro
parecchi informatici. Non solo utilizziamo i cellulare e che possa sbloccarlo. Questo si-
cellulari più dei computer fissi, ma li abbiamo gnifica che la vostra sicurezza corrisponde al
con noi praticamente tutto il giorno. È sconta- vostro codice di accesso: possibilmente, evita-
to, dunque, che gli hacker concentrino sempre te di rivelare il vostro PIN o la password,
più su di essi i loro attacchi.La buona notizia ed evitate di utilizzare codici di accesso fa-
è che esistono alcuni semplici passi e precau- cilmente prevedibili come la data del vostro
zioni da seguire per minimizzare i rischi. Ecco compleanno. Perfino i codici di accesso più
quali sono. semplici sono un buon modo per fermare
i borseggiatori o ladruncoli di strada, ma non
Il Threat Modeling (per gli smartphone) sono così efficaci se quello che vi preoccupa
La maggior parte delle persone usa codici di è un partner scorretto che conosce il vostro
accesso, password o pattern per “bloccare” il PIN, ad esempio.
proprio telefono. Se non lo fate anche voi, do-
vreste assolutamente! (anche se, secondo uno Tenendo a mente queste cose, ecco alcuni
studio recente, i pattern sono meno sicuri e più semplici passi da seguire per prevenire altre
facili da indovinare rispetto ai PIN o ai codici minacce comuni per il vostro telefono.
di accesso).

16
VERSIONE 1.1 AGGIORNATO AL 15.05.2018

trebbero esserne in possesso. A parte questo,


iPhone vs Android procuratevi un iPhone, installate gli aggiorna-
Più o meno tutti nel mondo della cybersi- menti, non fate il jailbreak e molto probabil-
curezza — eccetto forse gli ingegneri che mente non correrete alcun rischio.
lavorano per Android — ritengono che gli
iPhone siano i cellulari più sicuri che si possa- Ma io adoro Android!
no avere. Ci sono diverse ragioni, ma le prin- Android è diventato il sistema operativo più
cipali sono che iOS, il sistema operativo della diffuso al mondo grazie alla sua natura decen-
Apple, è estremamente protetto. Le app sono tralizzata e open-source, e al fatto che molti
sottoposte a controlli approfondito prima di telefoni sono disponibili a prezzi parecchio
finire nell’App Store e vengono sempre testa- inferiori rispetto agli iPhone. In qualche modo,
te attraverso minuziose misure di sicurezza. questa natura open-source è stato il peccato
Ad esempio, ogni codice viene approvato e originale di Android: Google ha rinunciato
firmato digitalmente dalla Apple (una proce- al controllo, e perciò alla sicurezza, per acqui-
dura che prende il nome di code-signing) e sire una fetta di mercato. In questo modo, gli
vengono applicate limitazioni nelle interazioni aggiornamenti di sicurezza essenziali sono a
tra le app (sandboxing). Queste caratteristiche carico dell’azienda produttrice e delle compa-
fanno sì che, per gli hacker, attaccare il siste- gnie telefoniche che sono sempre molto lente
ma operativo risulti davvero difficile. Dato nel rilasciarli.
che Apple controlla l’infrastruttura iOS, mette
a disposizione per gli iPhone aggiornamenti La buona notizia è che negli ultimi due anni le
e patch istantanei; importanti upgrade per la cose sono migliorate molto. Google ha spinto
sicurezza di molti apparecchi Android possono i suoi partner a fornire ai clienti aggiornamenti
richiedere settimane o mesi per essere messi a mensili, e i dispositivi marchiati Google assi-
disposizione dei clienti. Perfino l’iPhone 5S, curano un supporto che ha pressoché la stessa
che è stato lanciato nel 2013, continua a gode- regolarità che fornisce Apple ai propri iPhone
re di questi benefici. e anche alcune delle stesse caratteristiche
di sicurezza.
Quindi, se siete tipi paranoici, l’iPhone è il cel-
lulare preconfigurato più sicuro. Ma, a meno Quindi la cosa migliore è scegliere uno smar-
che non abbiate una buona ragione per farlo, tphone Pixel o Nexus, la cui sicurezza dipende
NON fate il jailbreak. Anche se il jailbreak esclusivamente da Google.
e gli hacker che lo hanno sviluppato hanno
contribuito a rendere l’iPhone più sicuro, oggi Qualsiasi telefono Android abbiate, fate at-
farlo sul proprio telefono significa rinunciare tenzione alle app che installate. Generalmente
a gran parte delle caratteristiche che rendono gli hacker riescono a introdurre applicazioni
iPhone sicuro. In passato, hacker sono riusciti dannose su Play Store con molta facilità, quin-
a prendere di mira su larga scala solo iPhone di pensateci due volte prima di installare una
sui quali era stato effettuato un jailbreak. app poco conosciuta, oppure controllate che
la app che state scaricando sia davvero quella
Non c’è niente che non possa essere hackerato, che volete. La scorsa primavera una versione
comunque. È risaputo che alcuni governi di- falsa di WhatsApp è stata installata da più di
spongono di strumenti per l’hacking del valore un milione di utenti Android. Inoltre, rimane-
di milioni di dollari per attaccare gli iPhone, te fedeli a Play Store ed evitate di scaricare e
e forse anche alcuni sofisticati criminali po- installare applicazioni da store di terze parti

17
VERSIONE 1.1 AGGIORNATO AL 15.05.2018

che potrebbero benissimo rivelarsi pericolose.


Sulla maggior parte dei telefoni Android non In qualità di consumatori, non potete controlla-
è abilitata di default l’opzione di installare re se la vostra compagnia telefonica lascia
app di terze parti, e sarebbe meglio che questa dei bug che gli hacker possono sfruttare.
preferenza rimanesse invariata. Ma potete complicargli la vita nel momento
in cui tentano di spacciarsi per voi con gli
Per proteggere i dati sul vostro telefono An- ingenui dipendenti del supporto tecnico.
droid, assicuratevi che sia abilitata la crittogra- La soluzione è semplice, anche se non sono
fia dell’intero disco. Se non lo avete già fatto, in tanti a conoscerla: un codice di sicurezza
aprite le Impostazioni, andate su “Sicurezza” o una password secondari da fornire quando
e cliccate su “Esegui crittografia telefono”. si chiama il proprio gestore telefonico.
(Se non ci riuscite, cercate su Google come
attivarla sul vostro modello di telefono.)

Infine, anche se non è obbligatorio, sarebbe


una buona idea installare un antivirus per tele-
fono cellulare come Lookout o Zips. Probabil-
mente non fermeranno gli hacker del governo,
ma possono risultare efficaci contro i malware
più comuni.

Bloccate quella Sim Card


Sul nostro sito, abbiamo recentemente raccon-
tato di come alcuni hacker abbiano sfruttato un
virus su un sito della T-Mobile per entrare in
possesso dei dati personali dei clienti nel ten-
tativo di raccogliere informazioni che avreb-
bero poi potuto utilizzare per impersonare le
vittime e, sfruttando le loro abilità nel campo
dell’ingegneria sociale, convincere i compo-
nenti dello staff per il supporto di T-Mobile
a emettere nuove schede SIM. Questo tipo
di attacco, noto come “SIM swap”, permette
agli hacker di acquisire il vostro numero di
telefono e di conseguenza di tutto ciò che è ad
esso connesso. Il furto di SIM è ciò che rende
l’autenticazione a due fattori tramite SMS così
pericolosa.

Il vostro numero di telefono, probabilmente,


è la strada che porta a molti altri elementi, for-
se ancora più sensibili, della vostra vita digita-
le: la vostra email, il vostro conto in banca,
i vostri backup su iCloud.

18
VERSIONE 1.1 AGGIORNATO AL 15.05.2018

La guida di
Motherboard
alla privacy,
alla messaggistica
e alla sorveglianza

A seguito dell’11 Settembre, gli Stati Uniti Ricordate, l’anti-sorveglianza non è la cura,
hanno costruito un forte apparato di sorve- è solo una contromisura che potete prendere
glianza, indebolito le garanzie costituzionali per proteggere voi stessi e gli altri. Probabil-
e limitato il possibile ricorso al sistema legale. mente non sarete le persone più a rischio, ma
questo non significa che non dobbiate prendere
Dati gli enormi poteri della sorveglianza di misure di sicurezza adeguate. La sorveglian-
stato negli Stati Uniti — come del resto quel- za è una questione delicata: potete cercare
la dei governi di tutto il mondo — può capi- di prendere più provvedimenti possibili per
tare di sentirsi un po’ paranoici. Non solo la proteggervi ma, se mandate messaggi a qual-
NSA, perfino la polizia locale ha più strumenti cuno che non lo fa, potreste comunque essere
a disposizione per ficcare il naso negli affari spiati attraverso i loro dispositivi o tramite le
delle persone più di quanto abbia mai fatto. loro conversazioni con altre persone (se questi
C’è da temere anche una terrificante quanti- riportassero informazioni che gli avete riferito,
tà di sorveglianza passiva e imprevedibile: i ad esempio).
vostri account social possono essere citati in
giudizio, le vostre telefonate o le vostre mail Ecco perché è importante che le pratiche per
potrebbero venir prese in esame per più ampi la buona sicurezza diventino una norma: se
fini di indagine, e i metadati dei vostri telefo- non avete niente da temere, è ancora più im-
ni potrebbero essere acquisiti da alcuni IMSI portante che utilizziate alcuni di questi stru-
Catcher o Stingray che avevano un altro bersa- menti perché, così facendo, mettereste al sicu-
glio. ro le azioni dei vostri amici che, per esempio,
potrebbero essere immigrati senza documenti

19
VERSIONE 1.1 AGGIORNATO AL 15.05.2018

o attivisti. Il direttore della CIA scelto da Tru- mature che variano in ogni circostanza.
mp pensa che usare la crittografia possa essere
un’ammissione di colpevolezza. Se non si ha Per alcune persone è facile dire “usate Signal,
“niente da nascondere”, l’uso della crittografia usate Tor” e chiudere la faccenda, ma in realtà
può, in realtà, beneficiare persone che voglio- non vale per tutti la stessa cosa. Ad esempio,
no celare qualcosa. Seguendo questa guida conosco una persona che raccontava agli amici
renderete qualcun altro più sicuro. Pensatela degli abusi del suo ex-partner tramite la chat
come una sorta di immunità collettiva. Più le del gioco Words With Friends perché sapeva
persone praticano buone norme di sicurezza, che lui leggeva i suoi SMS e le sue chat di
più tutti gli altri saranno al sicuro. Google. Words With Friends non ha un siste-
ma di messaggistica particolarmente sicuro
I suggerimenti forniti precedentemente sono ma, in questo caso, è stata una scelta migliore
sempre validi: più ci si tiene alla larga dagli di Signal o Hangouts perché a lui non veniva
attacchi hacker, meno si rischierà di essere in mente di leggere quella chat.
sorvegliati (quando si tratta di sorvegliare un
iPhone, ad esempio, i governi hanno spesso Quando si parla di soggetti governativi, po-
poche opzioni oltre quella di hackerare il di- trebbe risultare utile valutare la sorveglianza
spositivo). Ma gli strumenti di alta tecnologia sotto due aspetti differenti: la sorveglianza dei
non risolvono tutti i problemi. I governi hanno metadati (chi siete, con chi parlate, quando lo
nelle mani un’arma che gli hacker criminali fate) e quella dei contenuti (di cosa state par-
non hanno: il potere della legge. Molti sugge- lando). Come in tutte le cose, quando si scava
rimenti in questa sezione della guida vi aiute- un po’ più a fondo, non è così semplice come
ranno non solo contro le richieste giuridiche sembra. Ma se è la prima volta che ci pensate,
e gli attacchi hacker governativi, ma anche questo è sicuramente un buon punto di parten-
contro chiunque voglia cercare di spiarvi. za.

Non dovete diventare degli esperti di sicurez- La legge sulla sorveglianza è complicata ma,
za. Iniziate solo a pensare ai vostri rischi per farla breve, sia la legge che l’attuale in-
e non lasciatevi intimidire dalla tecnologia. frastruttura tecnologica rendono più semplice
La sicurezza è un continuo processo di appren- entrare in possesso dei metadati piuttosto che
dimento. Le minacce e gli strumenti sviluppati dei contenuti. I metadati non sono necessa-
per metterle in atto cambiano continuamente, riamente meno importanti o meno eloquenti
ragione per cui spesso i consigli sulla privacy rispetto al dati veri e propri. Mettiamo che
e la sicurezza possono sembrare mutevoli abbiate ricevuto una telefonata da un’asso-
e contraddittori. Ma i suggerimenti che seguo- ciazione antiabortista. Voi chiamate il vostro
no sono un buon punto di partenza. partner, la vostra compagnia assicurativa (se
ce l’avete), infine vi rivolgete alla clinica per
Threat Modeling (per privacy l’aborto. Queste informazioni verranno ripor-
e sorveglianza) tate sul vostro registro telefonico e la vostra
Ricordatevi che nuovi strumenti sollevano compagnia potrebbe tranquillamente cederle
nuovi problemi. Senza threat modeling è facile al governo.
sentirsi schiacciati dalla quantità di strumenti Il vostro provider potrebbe non aver registrato
in circolazione. Il threat modeling per la sor- le telefonate, il contenuto è ancora privato.
veglianza è simile al threat modeling per gli Ma a questo punto non serve, anche con i soli
attacchi hacker ma, ovviamente, ci sono sfu- metadati sarebbe semplice farsi un’idea plausi-

20
VERSIONE 1.1 AGGIORNATO AL 15.05.2018

bile del contenuto delle conversazioni. con gli altri redattori.


Iniziate a pensare a cosa è aperto ed esposto, Queste sono tutte ottime funzionalità, e sono
e a quello che potete proteggere. A volte do- alcune delle ragioni per cui consigliamo Signal
vrete accettare che c’è ben poco da fare riguar- tra le tante altre app di messaggistica end-to-
do a un determinato canale di comunicazione. end. Anche iMessage e WhatsApp lo sono,
Se la situazione è drammatica non resta che ma hanno entrambe lati negativi.
tentare di aggirarla.
Sconsigliamo WhatsApp perchè è di proprietà
Signal di Facebook e condivide le informazioni
Signal è un servizio di messaggistica criptato dell’utente con l’azienda madre. Anche se si
per smartphone e computer desktop. È per mol- tratta solo di metadati, è in definitiva una pro-
ti — ma non per tutti — un buon modo di evi- messa che Facebook aveva fatto quando ha ac-
tare la sorveglianza. Visto che il governo ha la quistato WhatsApp ma che non ha mantenuto.
possibilità di intercettare i messaggi elettronici Pensiamo che questo la dica lunga sull’atten-
mentre vengono trasmessi, il vostro obiettivo dibilità dell’azienda al giorno d’oggi. Al mo-
è quello di utilizzare un sistema di crittografia mento Facebook sta discutendo e provvedendo
end-to-end per più comunicazioni possibili. a limitare o cessare del tutto la condivisione
di dati tra le due piattaforme.
Utilizzare Signal è semplice. Potete trovar-
lo e installarlo dallo store del vostro telefono Che Apple codifichi i messaggi end-to-end
(sull’App Store di iOS e sul Play Store di è una cosa molto positiva. Ma iMessage,
Google si chiama Signal Private Messenger di default, effettua un backup dei messaggi
ed è sviluppato da Open Whisper Systems). su iCloud, grazie al quale potete inviarli tra-
mite tutti i vostri dispositivi Apple. Questa è
Se avete il numero di telefono dell’altra perso- una funzione comoda e piacevole ma, se siete
na nella vostra lista dei contatti potrete vederli preoccupati dalla sorveglianza governativa,
su Signal e inviare loro messaggi o chiamarli. ricordate che Apple adempie alle richieste
Se anche l’altra persona ha Signal i messaggi legali del governo sui dati presenti nel vostro
verranno automaticamente criptati e tutto risul- iCloud: “Per tua comodità facciamo un backup
terà invisibile. su iCloud dei tuoi iMessage e SMS”, recita la
pagina riguardante la privacy sul sito di Apple.
Esiste anche un’applicazione desktop, quindi Puoi disattivare questa funzione, ma in teoria
potete utilizzarlo allo stesso modo in cui gli Apple potrebbe essere costretta ad accedere
utenti iOS/Mac OS utilizzano iMessage sul agli iMessage che avete mandato alle persone
loro telefono o sul loro computer. Andate sul che hanno ancora questa funzione abilitata.
sito Signal.org e scaricate l’app per il sistema
operativo che preferite. Basta seguire le istru- Signal trattiene davvero poche informazioni.
zioni, è molto semplice e intuitivo. Lo sappiamo perché Open Whisper Systems
è stato citato in giudizio dal governo lo scorso
Signal vi permette di impostare un timer per anno ed è stato costretto a cedere informazio-
i messaggi in modo che si cancellino tutti auto- ni. Le informazioni che avevano erano, però,
maticamente. L’intervallo di tempo può variare volutamente minime. Signal memorizza il nu-
ed essere anche molto breve. Questa è una fun- mero di telefono, la data di creazione dell’ac-
zione molto utile per i giornalisti che vogliono count e l’ora dell’ultima connessione ai server
proteggere le loro fonti o le loro conversazioni di Signal. Sì, è comunque qualcosa, ma non

21
VERSIONE 1.1 AGGIORNATO AL 15.05.2018

poi molto. in altre parole se il vostro telefono viene


Ci sono applicazioni che sono meno sicure hackerato o fisicamente confiscato dal gover-
anche di iMessage e WhatsApp. Ad esempio, no, o se la persona a cui scrivete fa uno screen-
dovreste assolutamente evitare di utilizzare Te- shot della vostra conversazione — il gioco
legram per comunicazioni sensibili. E Google è finito.
può leggere i vostri Hangout a meno che non
prendiate ulteriori provvedimenti per attivare La crittografia non impedisce al governo
una codifica end-to-end. Ci sono molti altri di curiosare, lo rende solo più difficile.
prodotti sul mercato che costituiscono una va- Il punto è che introdurre incognite nell’equa-
lida alternativa (Wire, ad esempio) ma, come zione aiuta ad aumentare il livello di privacy.
WhatsApp e iMessage, sono creati e sovven-
zionati da aziende a scopo di lucro e non si Social Media
può mai sapere come decideranno di monetiz- Se postate pubblicamente sui social, tenete
zare in futuro. Signal è un progetto no-profit presente che la polizia locale (e non solo) tiene
e open source. Ha i suoi difetti (ad esempio sotto controllo gli attivisti online. Ad esempio
non è pratico quanto iMessage e non ha il Facebook, Instagram e Twitter hanno tutti for-
lusso di avere un vasto team di sicurezza alle nito dati a prodotti di monitoraggio sui social
spalle) quindi si potrebbe pensare di donare che i dipartimenti di polizia hanno usato per
qualcosa una volta che si decide di scaricarlo. rintracciare gli attivisti di Black Lives Matter.

Una cosa che vale la pena menzionare è che Anche se modificate le impostazioni per blinda-
Signal richiede di associare il dispositivo a un re la vostra privacy, le aziende di social media
numero di telefono. Questo significa che dove- sono soggette a citazioni in giudizio, ordini
te fidarvi a lasciare il vostro numero di telefo- della corte e richieste di dati per ottenere in-
no alle persone con cui messaggiate (oppure formazioni. E spesso smollano le informazioni
dovrete fare i salti mortali per usare Signal senza nemmeno notificare l’utente. Per quanto
con un numero di telefono fasullo); ci sono riguarda i social media, dovete pensare che
molte ragioni per le quali potreste voler scrive- tutto quello che postate è pubblico. Questo non
re a persone senza dar loro il vostro numero significa che dovete smettere di utilizzarli, si-
e questo è uno dei potenziali svantaggi di gnifica soltanto che dovete essere consapevoli.
Signal. Se per voi questo è un problema, pren-
dete in considerazione un’altra opzione. Se siete attivisti, prendete in considerazione
l’idea di usare uno pseudonimo. Se non postate
Un’altra cosa da tenere a mente è che anche mai niente in rete, prendete comunque qualche
se una comunicazione è codificata end-to-end altra misura di sicurezza.
non significa che il governo non possa vederla.
Significa solamente che i suoi contenuti sono Chi taggate nei vostri post? Aggiungete infor-
criptati nel percorso da un’estremità all’altra. mazioni sulla posizione? Chi fotografate e per-
Voi potete vedere il messaggio, il vostro de- ché? Prestate particolare attenzione alle foto o
stinatario può vedere il messaggio. Se viene ai post sulle proteste, le manifestazioni o gli in-
intercettato durante il trasferimento è comple- contri. La tecnologia di riconoscimento facciale
tamente alterato e il suo contenuto è protetto è ormai piuttosto sofisticata quindi, anche se
dagli occhi di una spia. non taggate nessuno, teoricamente un algoritmo
potrebbe esaminare ed identificare gli attivisti
Ma se una “estremità” è compromessa — nella fotografia di una manifestazione. Questa

22
VERSIONE 1.1 AGGIORNATO AL 15.05.2018

funzionalità è già in atto nei suggerimenti di tag confronti del governo, altrimenti avrebbero
su Facebook.Quando scattate la foto di qualcu- pubblicato il filmato. (Ismayilova è uscita allo
no durante una protesta assicuratevi che loro scoperto e il video è stato postato in rete).
diano il consenso e conoscano le implicazioni Nel 2015 il governo azero l’ha condannata
di avere una loro foto in rete. a sette anni e mezzo di reclusione per evasione
fiscale. Attualmente è stata rilasciata in regime
Le Telecamere e i Microfoni di libertà vigilata.
Vivete attorno a delle telecamere? Se in casa
vostra utilizzate telecamere di sicurezza con- I governi hanno utilizzato l’arma sessuale
nesse alla rete o avete una webcam, adottate per ricattare i dissidenti fuori e dentro i confini
alcune misure di sicurezza. Controllate di aver del loro stato. Siatene consapevoli e proteggete
cambiato ogni password di default che era sta- la vostra privacy.
ta impostata quando vi sono state spedite
e copritele quando non le utilizzate. Bloccate lo schermo
Mettete una password o un codice di sicurezza
Se avete un laptop o uno smartphone usate uno sul vostro telefono e sul vostro computer.
sticker per coprire la telecamera frontale. Non Non fate affidamento solo sull’impronta digi-
dovete smettere di usare Facetime o di farvi tale. È più probabile che la polizia possa ob-
selfie, basta oscurare la visuale così che nessu- bligarvi legalmente a utilizzare l’impronta per
no possa vedere quando voi non lo desiderate. sbloccare il vostro telefono. Potreste avere più
La Electronic Frontier Foundation vende ade- possibilità di esercitare il vostro diritto di non
sivi oscuranti removibili per laptop (5 a 5 dol- rivelare la password.
lari) che non lasciano alcun segno sulla vostra
telecamera in modo che possiate applicarli e Usate OTR per chattare (se doveta)
toglietrli ogni volta. Prendete in considerazio- La scelta migliore per chattare con le persone
ne l’idea di comprarne un po’ e magari anche tramite computer desktop è Signal. Ma esiste
di regalarne qualcuno ai vostri amici. un’altra valida opzione che risulta particolar-
mente utile per i giornalisti.
Infine, non esiste un modo per essere comple-
tamente certi che il vostro microfono non stia Per chattare, chiudete la vostra finestra Gmail
registrando. Se vi preoccupa essere intercettati, e utilizzate OTR (Off The Record). Tenete
valutate l’idea di spegnere il vostro telefono e a mente che potete usare OTR solamente
di metterlo nel microonde (temporaneamente, se anche l’altra persona lo fa. Gli utenti Mac
a microonde spento) o di lasciarlo in un’altra possono installare Adium, chi ha il PC
stanza. Spegnere semplicemente il telefono (o Linux) dovrà installare Pidgin e il plugin
non vi assicura di essere fuori pericolo. di OTR.
E prendete in considerazione l’idea di lasciare
tutti i vostri dispositivi fuori dalla camera da Potete usare il vostro account Gmail come ID
letto quando avete un rapporto sessuale con della chat. In questo modo starete conversando
il vostro partner. tramite Hangouts, ma con un ulteriore livello
di codifica. Aprite una finestra della chat
Nel 2012 Khadija Ismayilova, una giornalista e cliccate sull’icona del lucchetto per far parti-
azera, è stata ricattata con un video hard filma- re la procedura di criptaggio. E assicuratevi
to di nascosto. L’estorsore chiese a Ismayilova di aver modificato le impostazioni in modo
di smetterla di pubblicare articoli di critica nei tale da non conservare il registro delle conver-

23
VERSIONE 1.1 AGGIORNATO AL 15.05.2018

sazioni quando vi scambiate messaggi codifi- Se siete attivisti che cercano di nascondere
cati.Anche in questo caso la procedura end-to- la propria identità, avrete bisogno di Tor per
end funziona solo in quello spazio limitato. Se mascherare il vostro indirizzo IP. Questo è uno
l’altra persona registra le vostre conversazioni, dei casi per i quali non lo si utilizza molto.
tutti questi sforzi potrebbero risultare inutili. Sarebbe controproducente se io aprissi Tor,
Se questo vi preoccupa, chiedete ai vostri ami- accedessi al mio profilo Twitter pubblico e
ci di non farlo. tweettassi, “Salve a tutti, sto twittando dagli
uffici di Vice di New York.” È come se rivelas-
Il Browser TOR si tutte le informazioni che Tor sta mascheran-
Tor — che prende il suo nome dall’acronimo do per me.
di “The Onion Router” — codifica il vostro
traffico in rete smistandolo attraverso una serie Se vi collegate spesso a reti Wi-Fi pubbliche,
di strati di server. In questo modo, se accede- invece, (pensate a Starbucks, a un hotel o agli
te a un sito web, risulta impossibile capire da aeroporti) dovreste utilizzare Tor. Fornisce be-
dove vi state connettendo. Il modo più sempli- nefici simili a quelli delle VPN, ma senza mol-
ce per utilizzarlo è quello di installare il brow- ti dei loro svantaggi (questo argomento verrà
ser Tor. È come Firefox o Chrome ma molto affrontato meglio nella prossima sezione).
più lento, visto la privacy che assicura.
Se gli Stati Uniti iniziassero a censurare alcune
Usando Tor si incrementa di gran lunga la aree del web come fanno molti altri governi,
propria privacy, ma risulterebbe alquanto sco- Tor potrebbe aiutarvi ad aggirare questa impo-
modo. Non sperate, ad esempio, di guardare sizione. Senz’altro Tor aiuta le persone a con-
Netflix su Tor. nettersi da paesi che praticano censure in rete.

Fate una valutazione di ciò di cui avete biso- Infine, il bello di Tor è che più persone
gno e cercate di capire quanto potete servirvi lo usano, meno tracciabili sono anche tutti gli
di Tor. Ricordatevi sempre che, quando non altri. Quando molte persone sparse per il mon-
lo utilizzate, il vostro indirizzo IP (che può ri- do cominciano a utilizzarlo autonomamente,
velare dove siete e dunque chi potreste essere) la protezione aumenta sempre di più.
è sempre alla luce del sole. Se vi prendeste un po’ di tempo per utilizzare
Tor ogni giorno, aiutereste le persone che ne
Ci sono quattro ragioni che possono spingervi hanno davvero bisogno.
a usarlo:
Ma facciamo qualche precisazione: Tor non
• State cercando di nascondere è inattaccabile. È risaputo che il governo ha
la vostra identità. hackerato gruppi di utenti su Tor, come è noto
•Utilizzate spesso reti Wi-Fi pubbliche. che abbia hackerato in modo massiccio utenti
•State cercando di eludere che utilizzavano delle VPN. Tor, di per sé,
la censura governativa. non elimina le possibilità di essere attaccati.
•Volete proteggere altre persone È utile per la privacy, non per la sicurezza.
che usano Tor. Ed è progettato per rendere più difficile la vita
a chi vuole registrare il vostro traffico, ma non
per impedirlo, quindi c’è sempre un rischio.

I server che formano la rete Tor — quelli sui


quali rimbalza il vostro traffico — sono ge-
24
VERSIONE 1.1 AGGIORNATO AL 15.05.2018

stiti da volontari, istituzioni e organizzazioni Alcune compagnie VPN sostengono di non


provenienti da tutto il mondo, alcuni dei quali registrare le informazioni dell’utente. Dovete
rischiano di imbattersi in problemi legali per valutare quanto vi fidate e prendere da soli
questo. Non sono obbligati a registrare il traffi- questa decisione. Se quello che vi preoccupa è
co che passa attraverso di loro ma, visto che è la sorveglianza dello stato, il nostro consiglio è
una rete di volontari, alcuni potrebbero esserlo. quello di utilizzare Tor.
Il rischio è mitigato dal fatto che ogni snodo
vede solo una parte del traffico che lo attra- PGP (probabilmente non ne vale la pena)
versa e nessuno ha accesso allo stesso tempo L’unico modo affidabile per criptare la vostra
all’IP dell’utente e al loro traffico codificato. email è PGP — noto anche come Pretty Good
Un malintenzionato dovrebbe gestire un vasto Privacy. Tuttavia PGP è molto scomodo da uti-
numero di snodi Tor per iniziare a registrare lizzare. Lo stesso creatore, Phil Zimmermann,
una quantità significativa di traffico — sforzo ha smesso di usarlo, visto che non riesce a
già di per sé complicato — ma il progetto Tor farlo funzionare sul suo telefono. Il problema è
monitora costantemente alla ricerca di qualcu- che non siete soltanto voi a dover capire come
no che potrebbe tentare di farlo. usarlo, ma anche tutti quelli con cui parlate.
Dire a qualcuno di scaricare Signal è molto
Per difendersi della sorveglianza governativa, più semplice rispetto a spiegargli nel dettaglio
Tor è meglio di una VPN e una VPN è meglio come funziona la crittografia asimmetrica.
di niente. Ecco dove può tornare utile il vostro threat
modeling, per aiutarvi a capire se vale la pena
Non è chiaro se Tor continuerà ad esistere, in utilizzare PGP.
futuro. Tor funziona parzialmente grazie a sus-
sidi governativi (come molte altre tecnologie Server di Posta Elettronica Privati
all’avanguardia, Tor è stato inizialmente svi- (non lo fate)
luppato dall’esercito degli Stati Uniti). È pos- Se il 2016 ha avuto un merito, è stato quello di
sibile che molto presto perda la maggior parte convincere tutti a non utilizzare server di posta
della sua dotazione finanziaria. Valutate l’idea elettronica privati. È vero che Google e altre
di fare una donazione al Tor Project. aziende devono rispettare gli ordini delle corti
di giustizia riguardo alle vostre informazioni,
Le Virtual Private Network incluse le vostre email, ma d’altra parte Goo-
Quando si parla di sorveglianza governativa, gle sa come gestire i server di posta elettronica
le VPN non aiutano molto. Una VPN oscura il molto meglio di voi. I server delle email sono
vostro indirizzo IP, ma se entra in gioco lo sta- complessi, provate a chiederlo a Hillary Clin-
to, le VPN possono venir citate in giudizio ed ton.
essere obbligate a fornire informazioni sull’u-
tente che potrebbero poi aiutare a identificarvi. Se state criptando l’email, Google può mettere
Ad esempio, molte compagnie VPN tengono le mani soltanto sui metadati (mittente, desti-
traccia degli indirizzi IP che si connettono, natario e oggetto del messaggio). Dato che
quando e a quali siti si è effettuato l’accesso criptare l’email è molto complicato, cercate
— tutte cose che alla fine possono portare a di tenere i dati sensibili al di fuori della posta
individuarvi, specialmente se avete usato la elettronica e di utilizzare al suo posto i canali
vostra carta di credito per pagare l’iscrizione criptati end-to-end. Non abbandonate i vostri
alla VPN. account email di terze parti, ma siate consape-
voli che il governo può averne accesso.

25
VERSIONE 1.1 AGGIORNATO AL 15.05.2018

rebbe tutti gli iPhone in circolazione. Micro-


Criptate il vostro Hard Disk soft non fa la stessa cosa — in alcuni casi usa
Buona notizia: non è più così difficile come la pratica nota come “key escrow”, che per-
lo era un tempo. La codifica dell’intero disco mette di decodificare il vostro dispositivo —
comporta che una volta che il tuo dispositivo è dunque dovete prendere ulteriori precauzioni
bloccato (quando è spento o quando è acceso (specificate in questo articolo) per raggiungere
con lo schermo bloccato), i contenuti del vo- lo stesso livello di protezione.
stro disco rigido non sono accessibili senza la
vostra password/chiave. Potreste aver bisogno di far ricorso a Vera-
Crypt. Molte guide più datate vi diranno di
Molti smartphone nascono già con la completa utilizzare TrueCrypt, a prescindere dal sistema
codifica del disco. Se possedete un iPhone con operativo. È un consiglio che adesso non è più
un sistema operativo recentemente aggiornato valido. VeraCrypt era TrueCrypt e la storia
(in realtà negli ultimi tre anni), metteteci sopra del perché non lo è più è una contorta crit-
un codice di sicurezza e siete a posto. to-soap-opera con dei buchi nella trama della
grandezza di Marte, e francamente al di fuori
Se avete un telefono Android, potrebbe già dell’ambito di questa guida. Per farla breve,
essere criptato di default (Google Pixel lo è). a quanto dicono gli esperti non c’è niente che
Ma è probabile che non lo sia. Non esiste una non vada in VeraCrypt ma, se ne avete la possi-
guida aggiornata su come attivare la codifica bilità, utilizzate la crittografia completa del di-
per tutti i dispositivi Android, quindi, dovrete sco che vi fornisce il vostro sistema operativo.
andare a curiosare in giro voi stessi oppure
chiedere a un amico. E se avete un Windows Se usate Linux, il vostro disco ha sicuramente
phone, che Dio vi aiuti, perché noi non possia- un sistema di crittografia già preconfigurato.
mo. Seguite le istruzioni mentre lo installate.

Per quanto riguarda i computer, di nuovo, Carte di Credito


le cose sono diventate molto più semplici di Sappiate che le compagnie delle carte di credi-
quanto lo fossero in precedenza. Basta utilizza- to non scendono mai in campo contro il gover-
re l’opzione per la crittografia dell’intero disco no. Se pagate qualcosa utilizzando la vostra
del vostro sistema operativo. Per i MacBook carta di credito, siate consapevoli che il gover-
che hanno installato Lion o un sistema più no può arrivare ad avere quell’informazione
recente, attivate FileVault. piuttosto facilmente. E ricordate che, una volta
che la vostra identità tocca qualcosa, si crea
Per Windows, invece, risulta tutto più com- una pista che il governo può risalire fino ad
plicato. Innanzitutto, alcuni utenti hanno atti- arrivarne a capo.
vato un sistema di crittografia di default. Altri
possono attivarlo, ma è abbastanza difficile. E Ad esempio, se acquistate una gift card Visa
se invece avete Microsoft Bitlocker, dovrete prepagata usando la vostra carta di credito
trafficare con ulteriori impostazioni per ren- personale e con quella pagate una compagnia
derlo più sicuro. La Apple non ha il potere di VPN, il governo può semplicemente seguire
sbloccare i vostri dispositivi. Com’è noto, se il la pista a ritroso, trovare prima la vostra carta
governo si rivolge alla Apple, la Apple non può e poi voi. Se pagate una compagnia VPN in
prendere e decodificare il vostro telefono per i Bitcoin, ma avete comprato i Bitcoin con la
federali, se non elaborando un bug che colpi- vostra carta di credito personale, sarete ugual-

26
VERSIONE 1.1 AGGIORNATO AL 15.05.2018

mente rintracciabili.
Questo è applicabile a qualsiasi altra cosa per Non aspettate l’imminenza di una causa per
la quale utilizziate del denaro, come comprare cancellare tutte le vostre cose. Potrebbero
un dominio o un telefono economico prepa- essere illegali e potreste rischiare di finire in
gato, conosciuto anche come burner. In prati- prigione. Ogni situazione è diversa: i vostri ap-
ca, non è che si possa fare molto. Questo è il punti potrebbero risultare necessari per scagio-
motivo per cui consigliamo Tor invece che un narvi. Quindi se siete dei tipi che accumulano
servizio VPN. gli appunti in modo compulsivo, informatevi
sui rischi, parlate con un avvocato e comporta-
Questa è anche una delle ragioni per le quali è tevi responsabilmente.
così difficile procurarsi un burner che sia vera-
mente un burner (Come pagherete per prolun- Il Futuro (?)
gare i servizi telefonici senza collegare a quel Questo ci porta al nostro prossimo punto: non
telefono il vostro nome?). Non c’è una risposta sappiamo cosa ha in serbo il futuro. Questa
scontata. Non fingeremo di essere in grado di guida è stata scritta tenendo a mente le attuali
dare un buon consiglio in questa circostanza. potenzialità tecniche e legali del governo degli
Se vi trovate in una situazione nella quale la Stati Uniti. Ma tutto questo in futuro potrebbe
vostra vita dipende dal rimanere nell’anoni- cambiare. Una crittografia solida potrebbe di-
mato, vi servirà molto di più di una qualsiasi ventare illegale. I paesi in cui viviamo potreb-
guida in rete. bero iniziare a mettere in pratica una censura
in rete allo stesso modo della Cina e di altre
Un ultima cosa: per adesso, ci sono organiz- nazioni. Il governo potrebbe istituire una poli-
zazioni non governative che hanno il diritto tica sui codici di identificazione per connetter-
costituzionale di astenersi dal rivelare il nome si alla rete, rendendo praticamente impossibile
dei donatori. Ma la vostra carta di credito o postare nell’anonimato.
PayPal potrebbero tradirvi ugualmente. Que-
sto non significa che non dovreste fare dona- Queste cose sono più difficili da attuare e
zioni alle organizzazioni che si oppongono rendere effettive, quindi è improbabile che si
agli abusi e che lottano per i diritti e le libertà verifichino nel breve termine. Non è impossi-
civili. Piuttosto è ancora più importante che bile che il governo faccia pressione sugli app
lo facciate. Più persone comuni lo fanno, più store per togliere Signal e altre applicazioni di
i singoli donatori sono protetti dallo sguardo crittografia end-to-end. Questa guida potrebbe
indagatore e dal sospetto. essere valida solo fino ad allora. Ecco un mo-
tivo in più per agire immediatamente contro la
Note Speciali per i Giornalisti sorveglianza e per continuare ad adattarsi alle
Volete proteggere le vostre fonti? circostanze che si verranno a creare.

I vostri appunti, le vostre chat su Slack, i vostri Disconnettetevi


Hangouts, il vostro Google Drive, Dropbox, In molti luoghi pubblici ci sono telecamere,
le interviste che avete registrato, le trascrizio- alcuni posti sono pieni di microfoni. E c’è
ni e i vostri messaggi potrebbero tutti finire sempre la possibilità che possiate essere presi
in tribunale. A seconda del caso giudiziario, di mira per essere sorvegliati. Ma, in ultima
potrebbe non importare se questi siano criptati analisi, è molto più difficile sorvegliare qual-
o meno. cuno di specifico dal vivo piuttosto che racco-
gliere le comunicazioni elettroniche di molte

27
VERSIONE 1.1 AGGIORNATO AL 15.05.2018

persone allo stesso tempo. umani che lavorano in una nazione ad alto
Prendetevi una pausa dal mondo in rete e in- rischio o in una zona di conflitto o un’organiz-
contrate gli altri di persona. Se rimanete fuori zazione che costruisce infrastrutture informa-
dalla portata dell’orecchio non verrete spiati tiche in tempi ristretti, tutto questo non sarà
e le vostre parole svaniranno nell’aria, senza certo abbastanza e dovrete prendere ulteriori
essere sorvegliate o registrate. precauzioni.

Oltretutto, se state leggendo questa guida, è Ma questi sono suggerimenti base che seguono
probabile che a questo punto abbiate proprio il buonsenso e che tutti dovrebbero conoscere.
bisogno di un abbraccio. Ovviamente alcuni lettori non esiteranno a
far notare tutto quello che questa guida si è
Quindi incontratevi con gli amici, verificate dimenticata di dire, ma noi saremmo conten-
le vostre chiavi di Signal e scambiatevi un ti di avere il vostro feedback. La sicurezza
bell’abbraccio. Perché probabilmente sarete è un mondo in costante evoluzione e quello
entrambi spaventati e avrete bisogno l’uno che oggi è un buon consiglio potrebbe non
dell’altro, più di quanto possiate aver bisogno esserlo più domani, quindi il nostro obiettivo
di queste tecnologie. è quello di aggiornare questa guida piuttosto
regolarmente e dunque, per favore, non esitate
Andate e siate prudenti a contattarci se pensate che manchi qualcosa o
Per adesso è tutto. Di nuovo, questa voleva che ci sia qualche errore.
essere una semplice guida per utenti di me-
dio livello. Quindi se siete attivisti per i diritti E ricordate, prestate sempre attenzione!

28
VERSIONE 1.1 AGGIORNATO AL 15.05.2018

E ricordate,
prestate
sempre
attenzione!
Per ora è tutto. Di nuovo, questa è una guida
basilare pensata per l’utente medio. Quindi se
siete attivisti che lavorano in zone pericolose
o di guerra, o lavorate per un’organizzazione
che costruisce infrastrutture IT, questi consigli
non sono abbastanza.

Ovviamente, alcuni lettori noteranno la man-


canza di qualcosa, e ci piacerebbe che ce lo
segnalassero. Il mondo della sicurezza è in
costante cambiamento, e dei buoni consigli
validi oggi potrebbero non esserlo domani.
Il nostro obiettivo, comunque, è aggiornare
questa guida periodicamente. Quindi se ave-
te dei suggerimenti contattateci all’indirizzo
itmotherboard@vice.com.

E ricordate: state sempre attenti!

29
VERSIONE 1.1 AGGIORNATO AL 15.05.2018

Glossario
di Hacking
e Cyber-
Parole

30
VERSIONE 1.1 AGGIORNATO AL 15.05.2018

Attribuzione: È il processo per stabilire chi Cracking: Un termine generale che indica l’at-
è l’autore di un hack. Spesso, l’attribuzione to di entrare in un sistema di sicurezza, spesso
è la parte più difficile dell’indagine perché gli per fini malvagi. Secondo il New Hacker’s
hacker con una certa esperienza si nascondono Dictionary pubblicato da MIT Press, le parole
dietro strati di servizi che mascherano la loro “hacking” e “hacker” sono abbreviazioni delle
collocazione e la loro identità. Molti incidenti parole “cracking” e “crack”. Ma gli hacker
potrebbero non avere mai un’attribuzione. non sono per forza cattivi, i cracker sì. Inoltre,
la parola cracking si usa anche per indicare
Backdoor: Entrare in un sistema protetto una violazione del copyright e in molti altri
usando una password è come sfondare la porta contesti senza necessariamente una connota-
principale. Alcune aziende potrebbero co- zione negativa.
struire delle “backdoor” nei loro sistemi per
permettere agli sviluppatori di saltare l’auten- Crypto: Abbreviazione di crittografia, la scien-
ticazione e entrarci direttamente. Le backdoor, za della comunicazione segreta o l’insieme
di solito, sono segrete ma potrebbero essere delle procedure per nascondere i dati e i mes-
violate dagli hacker se vengono scoperte. saggi attraverso la criptazione (vedi voce).
Black hat: Un hacker che mira al proprio Certificato Digitale: È un passaporto digitale
tornaconto personale o che si dedica ad attivi- o un timbro di approvazione che attesta l’iden-
tà illecite. Contrariamente al white hat (vedi tità di una persona, un sito o un servizio
voce), che di solito lavora per mettere in guar- su internet. In termini più tecnici, un certificato
dia le aziende e migliorare i servizi, il black digitale prova che qualcuno è in possesso di
hat vende le vulnerabilità che scopre agli altri una certa chiave crittografica che, tradizional-
hacker per permettere loro di utilizzarle. mente, non può essere contraffatta. I certificati
Botnet: Il tuo computer fa parte di una botnet? digitali più comuni sono quelli dei siti a con-
Forse sì, ma non lo sai. Le botnet, o armate nessione criptata che sul browser appaiono
zombie, sono network di computer controllati come un lucchetto verde.
da qualcuno. Il controllo su centinaia o miglia-
ia di computer permette di mettere in atto al- Criptazione: Il processo di codificare dati
cuni tipi di cyberattacchi, come i DDoS (vedi o messaggi rendendoli illeggibili e segreti.
voce). Comprare migliaia di computer non sa- L’opposto è decrittazione, il decodificare il
rebbe economico, quindi gli hacker utilizzano messaggio. Sia la crittazione che la decritta-
i malware per infettare dei computer random zione sono funzioni della crittografia. La crit-
connessi alla rete. Se il tuo computer è infetta- tazione è usata da individui, aziende e nella
to, potrebbe seguire i comandi dell’hacker in sicurezza digitale come prodotto di consumo.
background. Criptazione End-to-end: Un particolare tipo
Bug: Probabilmente ne hai sentito parlare. di criptazione dove un messaggio o dei dati
Un bug è un’imperfezione o un errore in un vengono criptati da una parte, per esempio
software. Alcuni sono innocui o semplicemen- il computer o il telefono, e decrittati dall’altra,
te fastidiosi, ma altri possono essere sfruttati per esempio in un altro computer. I dati vengo-
dagli hacker. Ecco perché molte aziende hanno no criptati in modo che, almeno in teoria, solo
iniziato a pagare chi segnala i bug prima che chi invia e chi riceve — e nessun altro — può
siano le persone sbagliate a trovarli. leggerli.

31
VERSIONE 1.1 AGGIORNATO AL 15.05.2018

Dark web: È un insieme di siti non indicizzati re la serratura rotte. Entrambe le cose sono pe-
da Google e accessibili soltanto da browser ricolose, ma solo una può far entrare un ladro.
come Tor (vedi voce). Spesso, il dark web è Il modo in cui i criminali forzano il lucchetto
usato da operatori che vogliono restare anoni- è un exploit.
mi. Tutto il dark web è sul deep web, ma non
tutto il deep web è sul dark web. Firma: Un’altra funzione del PGP, oltre quella
di criptare i messaggi, è l’abilità di firmare i
DDoS: Un tipo di cyberattacco diventato po- messaggi con una chiave di crittazione segreta.
polare negli ultimi anni perché è relativamente Visto che questa chiave è conosciuta soltanto
facile da eseguire e ha effetti immediati. DDoS da una persona ed è nel suo computer e da nes-
sta per attacco Distributed Denial of Service, sun’altra parte, le firme crittografiche dovreb-
che vuol dire che chi attacca sta usando bero garantire che stai parlando effettivamente
un certo numero di computer per inondare con quella persona. Questo è un buon modo
il target con dati o richieste di dati. In questo per provare sulla rete che sei davvero tu.
modo il target, che spesso è un sito, rallenta
o si blocca. Chi attacca potrebbe usare anche
il semplice Denial of Service, che è lanciato Hacker: Questo termine è diventato, erronea-
da un computer solo. mente, sinonimo di qualcuno che si introduce
illegalmente dentro un sistema. In origine, gli
Deep web: Questo termine è usato spesso hacker erano semplicemente delle persone
come sinonimo di “dark web” o “dark net”, che “esplorano i sistemi programmabili nel
ma non è corretto. Il deep web è la parte dettaglio per capire come metterli alla prova”,
dell’internet che non è indicizzata dai motori come scritto nel MIT New Hacker’s Dictio-
di ricerca. Include pagine protette da pas- nary. In realtà il termine “hacker” può essere
sword, siti con paywall, network criptati, usato sia per i buoni, anche conosciuti come
e database — cose molto noiose. “white hat”, che per cybercriminali, anche
detti “hacker black hat” o “cracker”.
DEF CON: Una delle più famose conferenze
di hacker negli USA e nel mondo. Iniziata nel Hacktivista: Qualcuno che usa le sue capacità
1992, ha luogo ogni estate a Las Vegas. di hackerare per scopi politici. Un hacktivista
può compiere piccole azioni come mettere
Evil maid attack: Come suggerito dal nome offline il sito di un ente pubblico o del gover-
in inglese, un attacco evil maid è un hack che no, ma anche rubare informazioni importanti e
richiede accesso fisico a un computer — il tipo consegnarle ai cittadini. Un esempio di gruppo
di accesso che una domestica mal intenzionata di hacktivisti molto conosciuto è Anonymous.
potrebbe avere mentre mette a posto l’ufficio
del suo capo, per esempio. Avendo accesso Hashing: Fai finta di avere un pezzo di testo
fisico, un hacker può installare un software per che dovrebbe rimanere segreto, tipo una pas-
tracciare quello che fai e potenzialmente acce- sword. Dovresti mettere il testo in una cartella
dere anche alle informazione criptate. segreta sul tuo computer, ma se qualcuno vi
accede sei comunque in pericolo. Per tenere
Exploit: È un processo per trarre vantaggio una password segreta, dovresti anche “hashar-
dalla vulnerabilità di un bug in un computer la” con un programma che esegue una fun-
o in un’applicazione. Non tutti i bug portano zione che camuffa il testo dell’informazione
a degli exploit. Pensala così: se la tua porta è originale. Questa rappresentazione astratta
rotta, può cigolare quando la apri, oppure ave- è chiamata hash. Le aziende potrebbero archi-

32
VERSIONE 1.1 AGGIORNATO AL 15.05.2018

viare password o dati relativi al riconoscimen- somware, spyware, adware e molti altri sono
to facciale con degli hash per incrementare malware.
la sicurezza.
Man-in-the-middle: Anche in forma MitM
HTTPS/SSL/TLS: Sta per Hypertext Transfer è un attacco piuttosto comune in cui qualcuno
Protocol, dove la “S” sta per “sicuro”. HTTP si intromette tra due parti, impersonandole.
è infatti l’impalcatura basilare che controlla il Ciò permette a chi attacca di intercettare e po-
modo in cui i dati vengono trasferiti sul web, tenzialmente alterare la comunicazione.
mentre HTTPS aggiunge uno strato di cripta- Con questo tipo di attacco, si può semplice-
zione che protegge la tua connessione sui siti mente ascoltare, trasmettere dati o anche alte-
principali — la tua banca, il tuo provider e i rare e manipolare il flusso di dati.
social network. HTTPS usa i protocolli SSL e
TLS non solo per proteggere la tua connessio- Metadati: I metadati sono semplicemente dati
ne ma anche per provare l’identità del sito di sui dati. Quando invii un’email, ad esempio,
modo che quando vedi https://gmail.com sei il testo rappresenta il contenuto del messaggio,
davvero sicuro che ti stai connettendo a Goo- ma l’indirizzo da cui invii il testo, l’indirizzo
gle e non a un sito falso. a cui lo invii e il momento in cui è partita sono
i metadati. Può sembrare una cosa da poco,
Infosec: Abbreviazione di “information securi- ma disponendo di una quantità sufficiente di
ty”. È il termine colloquiale per indicare quella metadati, ad esempio, la geolocalizzazione di
che è comunemente nota come cybersecurity. una foto postata sui social, può diventare sem-
plicissimo risalire all’identità o alla posizione
Jailbreak: Eludere la sicurezza di un device, di un utente.
come un iPhone o una PlayStation per rimuo-
vere le restrizioni di fabbrica, generalmente OpSec: OpSec è un acronimo di ”operational
con l’obiettivo di installarci software non security,” ovvero la sicurezza operativa, ovve-
ufficiali. ro, il processo per mantenere segrete le infor-
mazioni, online e offline. Originariamente un
Chiavi: La crittografia utilizza “chiavi” digita- termine militare, OpSec è una pratica e, in un
li. Nel caso della criptazione PGP, una chiave certo senso, una filosofia che ha come punto
pubblica viene usata per criptare i messaggi, di inizio l’identificazione di quali informazioni
mentre una segreta è usata per decriptarli. mantenere segrete e da chi si cerca di nascon-
In altri sistemi, potrebbe esserci soltanto derle. L’OpSec “buono” prende le mosse da
una chiave segreta condivisa da tutte le parti. questi principi che possono coinvolgere qualsi-
In altri casi, se chi attacca prende il controllo asi aspetto, dal trasmettere messaggi attraverso
della chiave di decriptazione, potrebbero es- i post-It al posto di usare le mail, all’utilizzo
serci buone possibilità di accedere al sistema. della crittografia digitale.
Lulz: Una variazione slang di “lol” usata rego- OTR: Cosa fai se vuoi avere una conversazio-
larmente dagli hacker black hat, di solito per ne criptata, ma in tempi rapidi? La risposta
indicare un hack o un leak fatto a spese di altri, è OTR, o Off-the-Record, un protocollo per
“for teh lulz” criptare i messaggi istantanei end-to-end.
Malware: Sta per “software maligno”. Sempli- A differenza del PGP, che è usato generalmen-
cemente si riferisce a ogni tipo di programma te per le email e fornisce a ogni persona coin-
o software progettato per danneggiare o hacke- volta una chiave pubblica e una privata,
rare una vittima. Virus, worm, trojan, ran- il protocollo OTR usa una sola chiave tempo-

33
VERSIONE 1.1 AGGIORNATO AL 15.05.2018

ranea per ogni conversazione, che le rende più Phishing: Il phishing è più una forma di in-
sicure in caso qualcuno hackeri il tuo compu- gegneria sociale che di hacking o cracking
ter e metta le mani sulle chiavi. Inoltre, l’OTR in senso proprio. In un’operazione di questo
è spesso più facile da usare del PGP. tipo, in genere un hacker contatta la vittima
per estrarre specifiche informazioni che pos-
Password manager: Usare la stessa password sono essere usate in un attacco successivo.
per tutti i login — dall’account bancario a Se- Ad esempio, può fingere di essere il servizio
amless, passando per Tinder — è una pessima clienti di Google o Facebook, o l’operatore
idea. A un hacker basta infilarsi con successo telefonico della vittima, e chiederle di cliccare
in un solo account per poter accedere a tutti gli su un link maligno o di inviare informazioni
altri. Ma memorizzare una stringa di caratteri — tipo la propria password — in una email.
unica per ogni piattaforma è un incubo. Ecco Gli hacker eseguono migliaia di tentativi di
a cosa serve un password manager: si tratta phishing alla volta, ma possono anche compie-
di un software che conserva tutte le password re attacchi più specifici, noti come spearphi-
al tuo posto, e può anche generare automati- shing.
camente password lunghe e complicate. Devi
solo ricordarti la password per il tuo password Plaintext: Esattamente quello che pensi —
manager, fare login e accedere a tutti gli altri un testo non criptato. Questa definizione stes-
login. sa è plaintext. Puoi sentire parlare di plaintext
in riferimento a “cleartext” ovvero testo “in
Penetration testing o pentesting: Se installi chiaro”. Le aziende con poca sicurezza potreb-
un sistema di sicurezza in casa, in ufficio bero avere le password in plaintext, anche se
o nella tua azienda, vuoi sicuramente che sia la cartella in cui le tengono è criptata, in attesa
al sicuro da qualsiasi malintenzionato, giusto? che un hacker le rubi.
Un buon modo per testare la sicurezza di un si-
stema è assumere una persona — un pentester Pwned: È gergo tecnico da nerd per il verbo
— perché esegua attacchi di proposito, così “own”, appropriarsi. Nel mondo dei videogio-
da capire eventuali punti deboli. Il pentesting chi, un giocatore che ne batte un altro può dire
è legato ai red team, benché possa essere fatto “I pwned you”. Tra gli hacker, il termine ha un
anche in modo più strutturato e meno aggres- significato simile, solo che riguarda l’accesso
sivo. a un altro computer. Esiste un sito “Have I
Been Pwned”, che ti dirà se i tuoi account
PGP: “Pretty Good Privacy” è un modo di sono mai stati compromessi.
criptare i dati, di solito email, così se qualcu-
no li intercetta vedrà un testo alterato. Mette RAT: Sta per “Remote Access Tool” o “Remo-
in atto un sistema di crittografia asimmetrica, te Access Trojan”. Un RAT può essere molto
quindi la persona che manda il messaggio usa dannoso se usato come malware. Se qualcuno
una chiave di criptazione “pubblica” mentre installa un RAT sul tuo computer può prender-
chi lo riceve usa una chiave “privata” per de- ne il controllo completo. C’è anche un busi-
codificarlo. Anche se ha più di vent’anni, ness di RAT per chi vuole accedere da casa
è ancora un formidabile metodo di criptazione, alla propria postazione di lavoro. Il lato negati-
anche se è notoriamente un po’ difficile da usa- vo? Molti di quelli maligni sono disponibili
re anche per gli utenti con più esperienza. su internet, anche gratis, e possono essere usati
da chi non ha grosse conoscenze nel campo.

34
VERSIONE 1.1 AGGIORNATO AL 15.05.2018

Ransomware: È un tipo di malware che blocca Shodan puoi trovare webcam non protette,
il tuo computer e non ti fa accedere ai file. stampanti, dispositivi medici, pompe del gas e
Ti mostra un messaggio che ti dice quanto persino turbine eoliche. Anche se suona terrifi-
devi pagare e dove mandare i soldi, solitamen- cante, il suo valore è proprio quello di aiutare
te in bitcoin, per avere indietro i tuoi file. i ricercatori a trovare questi device e ad avver-
Si tratta di un buon racket per gli hacker, tire i loro proprietari per metterli al sicuro.
e molti lo considerano un’epidemia perché
spesso le persone tendono a pagare qualche Side channel: L’hardware del tuo computer
centinaio di euro pur di riavere il loro compu- emette continuamente dei segnali elettrici va-
ter. All’inizio del 2016 una clinica medica di gamente percepibili. Un attacco side channel
Hollywood ha pagato 17.000 dollari per riave- mira a identificare i pattern di questo segnale
re indietro per capire che tipo di operazioni sta facendo
i computer. la macchina. Per esempio, un hacker che
“ascolta” il tuo hard drive mentre sta generan-
Red team: Per testare la sicurezza dei loro do una password di crittazione potrebbe effet-
computer, e per trovare eventuali vulnerabilità, tivamente essere in grado di ricostruirla,
le aziende possono assumere degli hacker per e rubarla senza che tu lo sappia.
organizzarli in un “red team” che attacchi il si-
stema e tenti di metterlo sotto sopra. In questi Sniffing: È un modo di intercettare i dati invia-
casi, essere hackerati è un bene, perché si pos- ti attraverso un network senza essere scoperti,
sono mettere a posto le vulnerabilità prima che usando dei particolari software che “sniffano”.
lo faccia qualcun altro. È un concetto generale, Una volta raccolti i dati, un hacker può utiliz-
usato anche nella strategia militare. zarli per ottenere informazioni utili, come le
password. È considerato particolarmente peri-
Root: Nella maggior parte dei computer, coloso perché è difficile da individuare e può
“root” è il nome più comune dato ai livelli agire sia dentro che fuori dal network.
d’accesso al sistema più importanti, oppure
è il nome dell’account che ha questi privile- Ingegneria sociale: Non tutti gli hack vengo-
gi. Il che significa che il “root” può installare no compiuti guardando uno schermo nero
applicazioni, cancellare e creare file. Se gli con caratteri in verde come nel film Matrix.
hacker vi accedono possono fare quello che A volte, ottenere l’ingresso a un sistema sicuro
vogliono con il computer o con il sistema che è facile tanto quanto telefonare o mandare una
hanno compromesso. Questo è il sacro graal mail spacciandosi per qualcun altro — tipo per
dell’hacking. qualcuno che ha normalmente accesso a una
password ma l’ha dimenticata proprio quel
Rootkit: È un particolare tipo di malware col- giorno. Anche il phishing include degli aspetti
locato in profondità nel sistema e attivato ogni di ingegneria sociale, perché includono l’atto
volta che lo accendi, anche prima del sistema di convincere qualcuno della legittimità del
operativo. Questo rende il rootkit difficile da mittente di un’email.
intercettare, persistente, e in grado di catturare
praticamente tutti i dati del computer infettato. Spoofing: Gli hacker possono attuare un at-
tacco phishing creando un indirizzo email, per
Shodan: È soprannominato “il Google degli esempio, di modo che assomigli a quello che
hacker” o “motore di ricerca terrificante”. una persona conosce. Questo è spoofing.
Pensatelo come un Google per i dispositivi
connessi piuttosto che per i siti web. Usando

35
VERSIONE 1.1 AGGIORNATO AL 15.05.2018

Può essere usato per gli scam telefonici gere il ruolo, ad esempio, di un ulteriore livello
o per creare un indirizzo fake per un sito. di sicurezza in aggiunta alla password. L’idea
alla sua base è che anche nell’eventualità in
Spyware: È un particolare tipo di malware cui una password o una chiave di decrittazione
fatto per spiare, monitorare e potenzialmente venissero rubata, l’hacker avrebbe bisogno di
rubare dei dati. un vero e proprio token fisico per sfruttarle.
State actor: Sono hacker o gruppi di hacker Tor: Tor è l’abbreviazione di The Onion Rou-
pagati da un governo. Potenzialmente, sono ter. Originariamente sviluppato dal Naval
formidabili perché possono avere risorse finan- Research Laboratory degli Stati Uniti, viene
ziarie illimitate. Pensate, per esempio, ora utilizzato sia dai cattivi (hacker, pedofili)
all’NSA. A volte, comunque, gli state actor che dai buoni (attivisti, giornalisti) per rende-
possono essere anche un gruppo di hacker che re anonime le loro attività online. L’idea alle
ricevono supporto tacito, come per esempio base è che una rete di computer sparsa in tutto
la Syrian Electronic Army. il mondo — alcuni gestiti da università, alcuni
Tails: Tails è l’acronimo per The Amnesic da utenti comuni, altri dal governo — instradi
Incognito Live System. Se avete veramente il vostro traffico in modo estremamente tortuo-
a cuore la vostra digital security, sappiate che so per mascherare la vostra reale posizione.
è il sistema operativo approvato da Edward Il Tor network è questa rete di computer gesti-
Snowden. Tails è un sistema che fa sì che ta da volontari. Il Tor Project è l’organizzazio-
il vostro computer non ricordi nulla, è come ne no-profit che si occupa della manutenzione
una macchina nuova ogni volta che si avvia. del software Tor. Il Tor browser è invece il
Il software è libero e open source. Sebbene software gratuito che permette di utilizzare
l’opinione in proposito sia generalmente posi- Tor.
tiva, sono stati riscontrati dei difetti nella sua Verifica (dump): Processo attraverso il quale
sicurezza. reporter e ricercatori di sicurezza esaminano
Threat model: Immagina un gioco di scacchi, i dati hackerati. Questo processo è importante
è il tuo turno e stai pensando a tutte le mosse per assicurarsi che i dati siano autentici e le
possibili del tuo sfidante. Hai lasciato la regina affermazioni di hacker anonimi in merito siano
scoperta? Il tuo re è messo all’angolo? Questo vere e non solo un tentativo di ottenere noto-
è quello che fanno i ricercatori nel campo della rietà o fare soldi truffando le persone sul dark
sicurezza quando progettano un treat model. web.
È un termine acchiappatutto usato per descri- Virus: È un tipo di malware tipicamente na-
vere le capacità del nemico da cui ti devi tute- scosto dentro un programma o un file. Diver-
lare e le tue vulnerabilità. Sei un attivista alle samente dal worm (vedi voce), ha bisogno
prese con un team di hacker dello stato? Il tuo dell’azione umana per diffondersi: ci vuole
threat model deve essere bello robusto. Vuoi un essere umano per creare un allegato infetto,
verificare la sicurezza di una connessione nel e un altro per scaricarlo. I virus possono infet-
mezzo del nulla? Forse non è il caso di preoc- tare i computer e rubare dati, cancellarli
cuparsi troppo. o criptarli o incasinarli in qualsiasi altro modo.
Token: Piccolo dispositivo fisico che permette VPN: VPN è l’acronimo di Virtual Private
al suo proprietario di accedere o autenticarsi a Network. Le VPN utilizzano la crittografia
un determinato servizio. I token possono svol- per creare un canale privato e sicuro per con-

36
VERSIONE 1.1 AGGIORNATO AL 15.05.2018

nettersi a Internet quando si usa una rete non


affidabile (ad esempio una rete di Starbucks
o il WiFi di un Airbnb). Pensate a una VPN
come a un tunnel che parte da voi diretto verso
la vostra destinazione, scavato sotto il normale
internet. Le VPN consentono ai dipendenti
di connettersi alla rete del loro datore di lavoro
in modalità remota e aiutano anche gli utenti
comuni a proteggere la propria connessione.
Le VPN consentono inoltre agli utenti di rim-
balzare sui server di altre parti del mondo, per-
mettendo loro di apparire come se si stessero
connettendo da lì. Questo dà loro la possibilità
di aggirare la censura, come il Great Firewall
in Cina, o di visualizzare le offerte di Netflix
negli Stati Uniti mentre si trovano in Canada.
Esistono infinite VPN ed è quasi impossibile
decidere quali sono le migliori.
White hat: Un hacker con l’obiettivo di met-
tere a posto e proteggere i sistemi. Contraria-
mente ai black hat (vedi voce), non guadagna-
no dagli hack o dai bug che trovano per fare
soldi illegalmente bensì mettono in guardia le
eventuali aziende per aiutarle a mettere a posto
il problema.
Worm: Un particolare tipo di malware che
si autoreplin particolare tipo di malware che
si autoreplica in automatico, diffondendosi
da un computer all’altro. La storia di internet
è fitta di worm, dal Morris worm, il primo
in assoluto, al worm di MySpace che ha infet-
tato milioni di persone.
Zero-day: Anche detto “0day” è un bug che
il fornitore del software non ha ancora indivi-
duato o che non ha ancora una patch. Il nome
deriva dal concetto che si trae vantaggio dal
fatto che sono passati zero giorni tra la scoper-
ta del bug e il primo attacco. Sono i bug più
preziosi per gli hacker perché devono ancora
trovare soluzione, quindi è praticamente certo
che funzionino.

37