Salta al contenuto principale


Cinque step per migliorare la tua privacy da zero


Una breve guida for dummies per diminuire i rischi di violazione di dati, infezioni malware e furto d'identità. Puoi farcela anche tu.

Hai una sola email storica, magari con qualche nome strano tipo franchinoforever77? Usi quella email da 13 anni per iscriverti a ogni social, sito web, e-commerce e community possibile — rigorosamente usando sempre la stessa password, che è una variazione del grande classico password123?

Ricevi milioni di email di spam con principi nigeriani e agenti dell’agenzia delle entrate che ti chiedono di cliccare su quel link verde fosforescente? Almeno una volta all’anno ti becchi qualche virus che ti costringe a portare il pc in assistenza?

O magari sei una persona che vorrebbe capire come vivere il mondo digitale senza farsi fregare ma non hai voglia di capire cosa e come?

Ecco, allora forse questo è l’articolo per te.

Prima però, iscriviti a Privacy Chronicles se non l’hai già fatto!

Si fa presto a parlare di privacy…


Si fa presto a parlare di privacy online (ha ancora senso specificare online?), ma il grande problema è che guadagnarsi un livello minimo di privacy richiede un certo sforzo e lavoro. Internet non è fatto per garantire alcun tipo di privacy, e spesso lo stesso può dirsi per gli strumenti che usiamo ogni giorno.

Fare il primo passo spesso è lo sforzo più grande, ma ti assicuro che una volta passati da 0 a 1, poi è più o meno tutto in discesa.

Molte persone credono che impegnarsi per avere privacy online equivalga a mettersi un cappuccio in testa, installare una distro Linux con qualche nome esotico impossibile da usare e metterci tre ore per scrivere una e-mail. Questo provoca uno stato d’ansia e frustrazione che spinge le persone a non fare proprio niente.

…ma tra il dire e il fare…


Prima di tutto, evitiamo isterismi. No — non ci sono gruppi criminali particolarmente interessati a ciò che fai, e no — CIA, KGB e FBI non ti stanno spiando, almeno non direttamente.

Detto questo, il modo migliore di approcciare la questione è usare la metodologia di OpSec (operations security) che possa aiutarci a creare il nostro threat model. Vale a dire, quello di cui vi ho già parlato qui:

Immagine/fotoPrivacy Chronicles

Threat modeling, l'arte di valutare i rischi

Come faccio a proteggere la mia privacy? Questa è la domanda che tutti prima o poi ci facciamo. È una domanda vaga e generale che in realtà ha poco senso e non ci porta da nessuna parte. Prima ancora della risposta, dobbiamo quindi pensare alla giusta domanda. Per farlo, dobbiamo avere una metodologia e dei criteri oggettivi che possano guidare la nostra ricerca delle giuste domande e risposte. Questa metodologia si chiama…
Read more
a year ago · 2 likes · Matte Galt

Mi rendo conto però che anche parlare di OpSec e thread modeling possa essere un ostacolo per chi parte proprio dallo zero assoluto, quindi oggi mi prodigherò per dare qualche consiglio pratico su come iniziare.

From zero to hero


Lo scenario di threat modeling per stavolta te lo faccio io.

Partiamo dal presupposto che probabilmente non sei a zero, ma a -10. Come minimo, da qualche parte qualcuno ti avrà rubato l’indirizzo email e magari pure qualche altro tipo di dato. Magari sul tuo PC c’è anche qualche malware perché ti piace scaricare e cliccare su qualsiasi .exe a portata di mano.

  • Asset da proteggere: informazioni personali, dati di contatto, comunicazioni.
  • Minacce e avversari: violazioni di dati, malware, furto d’identità. Gli avversari in questo caso sono gruppi criminali che sfruttano vulnerabilità e logiche industriali per tentare di compromettere sistemi informativi su larga scala.
  • Vulnerabilità: riutilizzo di email e password (anche con la stessa combinazione), sistemi non aggiornati e/o infetti da malware, dati e comunicazioni in chiaro (non cifrati).
  • Rischio: senza stare a calcolare precisamente, possiamo dire che siamo di fronte a un rischio medio: è plausible che un avversario possa sfruttare una vulnerabilità, ma le conseguenze sarebbero comunque gestibili nella maggior parte dei casi. Tra le conseguenze potremmo annoverare spam, furto di account social, malware, tentativi di frode.
  • Contromisure: quelle adesso le vediamo insieme…

Contromisura 1: evita la diffusione del tuo indirizzo email e minimizza l’esposizione


Il tuo indirizzo email è il tuo alias online. Ancor prima di essere uno strumento per ricevere messaggi, è un modo per creare account e autenticarsi su migliaia di servizi diversi, spesso anche molto sensibili.

Avere un indirizzo email compromesso significa aumentare di molto il rischio di subire violazioni e attacchi (phishing, tentativi di scam e virus).

Prima di tutto, verifica quindi se la tua email è compromessa. Per farlo visita haveibeenpwned.com e inserisci nel campo di testo il tuo indirizzo email. Se il risultato è una cosa del genere, potresti avere qualche problema:

6705330

Puoi fare almeno due cose per migliorare di molto la situazione:

  • Sarebbe il caso di cestinare quella email che ti ritrovi. Magari usando un provider privacy-friendly, senza tracking e profilazione, come Tutanota o ProtonMail. Metti in conto un’oretta del tuo tempo per aggiornare l’email dei tuoi account principali.
  • Per il futuro, evita di registrarti a ogni stupido sito con il tuo indirizzo email principale. Piuttosto, usa un servizio come Anonaddy o SimpleLogin che ti permettono di creare alias da usare al posto della tua email reale, mantenendo la possibilità di ricevere comunque comunicazioni e notifiche.

Così facendo avrai immediatamente e quasi a costo zero enormi vantaggi, sia in termini di rischio (la tua email sarà meno esposta) sia in termini di privacy, dato che i tuoi messaggi non saranno tracciati e profilati da Google e amici.

Share

Contromisura 2: usa un password manager e un app per l’autenticazione


La password è l’unica cosa che separa i tuoi dati e la tua vita dal mondo intero. Scoperta quella, è game over. Vale la pena prestare attenzione, perché ti assicuro che lì fuori c’è qualche bot che in questo momento sta cercando di crackare qualche tuo account. Una roba come password123 o p4sSwOrd123 può essere crackata in circa 0.02 secondi con gli strumenti di oggi.

6705332

Sarebbe meglio evitare password semplici come questa e scegliere invece combinazioni che rimangano almeno nella zona gialla della matrice:

231923

Anche in questo caso ci sono delle contromisure molto semplici e utili da prendere, che aumentano anche a dismisura la qualità della vita:

  • Usa un password manager, possibilmente non in cloud, anche se sono comodi. Il mio preferito è KeePassX che può essere usato anche su Android. Il password manager può creare password complesse per te in modo automatico e memorizzarle in modo sicuro, così non dovrai neanche ricordarle. Basta fare copia-incolla quando serve.
  • Usa un’app per l’autenticazione multi-fattore. Questa è probabilmente la misura più importante di tutte, e non usarla nel 2023 è da sciagurati. L’autenticazione multi-fattore aggiunge un elemento in più di sicurezza per accedere ai servizi online: un codice temporaneo visualizzato su un dispositivo che solo tu possiedi, come il tuo smartphone. Questo significa che se qualcuno possiede email e password del tuo account homebanking, senza quel codice non potrà comunque accedere. Ce ne sono tante, Google Authenticator va benone.

Una buona prassi che vale sia per le password che per altre informazioni analoghe, come le seed words di un wallet Bitcoin è di non scriverle mai in chiaro né online. Evitare come la peste note e .txt vari con password e seed — e soprattutto mai conservarli in Cloud, che è il PC di qualcun altro.

Contromisura 3: backup & formatta il tuo PC


Sì lo so, formattare il PC è una rottura di palle, ma se finora hai installato qualsiasi monnezza ti capitasse a tiro potrebbe essere probabile che tu abbia almeno qualche spyware o malware sul pc.

Oggi è veramente semplice ed è pieno di guide online, così come è semplice fare un backup dei dati e delle preferenze e ritrovarsi poi un PC più o meno identico a come l’avevi lasciato. Il backup può essere gestito direttamente tramite Windows su un’unità di memoria separata oppure puoi farlo in Cloud. Una volta re-installato il sistema operativo sarebbe bene attivare subito un antivirus. Se non fai cose strane Windows Defender va più che bene.

A prescindere dalla formattazione, l’ideale è comunque avere sempre una copia di sicurezza dei tuoi dati più importanti in formato cifrato, soprattutto se decidi di conservarli in Cloud — che è il PC di qualcun altro. Cifrare i dati è facilissimo, e puoi farlo anche con un semplice .zip, che permette di cifrare i file con algoritmo AES-256. Ci vogliono tipo 7 secondi.

Share

Contromisura 4: usa sistemi di comunicazione sicuri


Le comunicazioni sono forse la parte più importante del patrimonio informativo da proteggere. Quello che devi fare è capire prima di tutto che i servizi di messagistica integrati ai social network non sono strumenti di comunicazione sicuri. Anzi, sono strumenti direttamente monitorati dalle forze dell’ordine e dell’intelligence, come è stato dimostrato più volte anche coi Twitter Files12.

231924

Lo stesso vale per Instagram, Facebook, TikTok, e così via. Mai diffondere informazioni sensibili attraverso questi canali. La parte peggiore? Presto saranno sorvegliati legalmente e alla luce del sole a causa di leggi come il Chatcontrol.

Meglio preferire strumenti diversi con metodi di crittografia delle comunicazioni, come Signal o Telegram3. Ce ne sono anche altri, ancora migliori, ma hanno poca diffusione e sarai tu a valutare se e come usarli. Se preferisci Meta... anche Whatsapp è cifrato end-to-end.

Contromisura 5: minimizza la tua esposizione quando navighi online


Se ti piace viaggiare o sei uno di quelli a cui piace lavorare dalle poltroncine di Starbucks allora ti conviene imparare a usare una VPN, che è uno strumento molto utile per proteggere i tuoi dati di navigazione da occhi indiscreti e vulnerabilità di sicurezza tipiche delle reti pubbliche come quelle dei bar o degli hotel.

Inoltre, alcune VPN hanno strumenti di ad-blocking che possono anche aiutare a diminuire il rischio di beccarsi malware durante la navigazione.

Vale poi la pena considerare una VPN anche per ridurre l’esposizione dei nostri dati di traffico verso la sorveglianza di stato. Magari non lo saprai, ma molti stati (Italia inclusa) obbligano i provider di Internet e telefonia a tenere dati di navigazione a disposizione delle autorità per periodi di tempo anche molto lunghi. In Italia fino a sei anni.

E poi c’è la questione Tor, che si aggiunge agli strumenti utili per proteggere i dati di navigazione e anche oscurare la tua posizione geografica. Se vuoi saperne di più ne ho parlato in diverse occasioni.

Qui:

Immagine/fotoPrivacy Chronicles

VPN: a che serve, quali sono i rischi e come scegliere il miglior provider

Le Virtual Private Networks (VPN) sono ormai uno strumento diventato di uso comune, con tantissimi servizi diversi e piani di abbonamento di ogni tipo. Ma se comprare un servizio VPN è diventato facilissimo, non lo è altrettanto capire quale possa essere…
Read more
7 months ago · 6 likes · 10 comments · Matte Galt

E qui:

Immagine/fotoPrivacy Chronicles

Meglio Tor o una VPN?

Qualche tempo fa abbiamo parlato di VPN (Virtual Private Networks) e di come queste possano essere utili per ottenere più privacy online e in qualche modo anche bypassare specifiche leggi di sorveglianza di massa (come quelle italiane). Un altro servizio per aumentare privacy e ottenere un certo livello di anonimato è…
Read more
3 months ago · 7 likes · 2 comments · Matte Galt

Ci sei quasi


Così facendo il rischio di violazione dei tuoi dati e account, di avere infezioni malware o di subire furti d’identità diminuirà moltissimo. Poi sarà tutta discesa. L’importante è non sclerare e non passare da un eccesso all’altro. C’è sempre un trade-off tra sicurezza e comodità, ma non può esserci sicurezza senza comodità, perché tutti ricerchiamo costantemente ciò che ci è più semplice fare.

1

Twitter Files 1

2

Twitter Files 2

3

La crittografia end-to-end per Telegram è abilitata di default solo per le “chat segrete” 1 to 1. Di norma la crittografia è invece client-server, cioè gli admin di Telegram hanno il potere di accedere alle comunicazioni.