Professional Documents
Culture Documents
Guida
di
Motherboard
Per
Non
Farsi
Hackerare
VERSIONE 1.1 AGGIORNATO AL 15.05.2018
La Guida di
Motherboard per
non Farsi Hackerare
Una delle domande che ci fanno più spesso qui nessi alla rete, droni volanti che trasportano
a Motherboard è “Cosa posso fare per proteg- computer con software per effettuare attacchi
germi da un attacco hacker?” informatici; per non parlare dei pericoli lega-
ti all’archiviazione delle nostre informazioni
Dato che vivere nella società moderna signi- genetiche.
fica affidarsi in misura sempre maggiore nelle
mani di terze parti, la risposta è spesso “Non Questo non significa che sia tutto inutile.
molto”. Prendete, ad esempio, l’enorme at- Ci sono un sacco di cose che si possono fare
tacco a Equifax — LA società americana di per rendere la vita più complicata agli hacker
controllo del credito dei consumatori — che intenzionati ad accedere ai vostri dispositivi
ha coinvolto all’incirca metà della popolazione o ai vostri account, e lo scopo di questa guida
americana: alcune persone si erano iscritte al è quello di fornirvi dei chiari e semplici punti
servizio proprio perché volevano proteggersi da seguire per incrementare il vostro livello di
da eventuali attacchi, eppure i loro dati sono sicurezza digitale. Esistono, grosso modo, due
stati rubati. tipi di attacchi: quelli che gli utenti non posso-
no evitare e quelli che normalmente possono
Gli hacker possono entrare in possesso di cen- essere prevenuti. Noi vogliamo aiutarvi
tinaia di milioni di password in un colpo solo a ridurre i danni causati dai primi ed evitare
e creare interruzioni di servizio di proporzioni che i secondi si verifichino.
notevoli. Non ci possiamo aspettare che in fu-
turo le cose migliorino se pensiamo che presto In quanto singoli utenti, non potete far niente
avremo a che fare con robot domestici intelli- per impedire al vostro provider e-mail o all’a-
genti che potrebbero essere manomessi zienda che custodisce i vostri dati finanziari
e programmati per uccidere, gingilli in grado di essere bersaglio di un hacker. Ma potete
di causare veri e propri disastri una volta con- certamente evitare attacchi di phishing che
1
VERSIONE 1.1 AGGIORNATO AL 15.05.2018
2
VERSIONE 1.1 AGGIORNATO AL 15.05.2018
indice
30 Glossario di Hacking
e Cyber-parole
3
VERSIONE 1.1 AGGIORNATO AL 15.05.2018
Le basi
della
sicurezza
digitale
4
VERSIONE 1.1 AGGIORNATO AL 15.05.2018
Il Threat
Modeling
In questa guida tutto inizia con il “threat mo- hanno un threat modeling che gli permette di
deling”, che nel linguaggio hacker significa navigare in rete senza troppe preoccupazioni,
stimare le probabilità di essere attaccati o sor- e di non vivere come dei reclusi paranoici.
vegliati. Quando ci si propone di proteggere le
proprie comunicazioni digitali è fondamentale Quindi, prima di fare qualsiasi altra cosa,
pensare in primo luogo a cosa si vuole proteg- dovreste valutare il vostro threat modeling.
gere e dall’attacco di chi. Se chiedessimo ad In sostanza, cosa state cercando di proteggere
un esperto di information security se Signal è e da chi state cercando di proteggerlo?
la migliore app di messaggistica o se Tor è il
browser più sicuro, lui risponderebbe sicura- La Electronic Frontier Foundation, in materia
mente “dipende dal vostro threat modeling.” di threat modeling, consiglia di porsi queste
La risposta a qualsiasi domanda sulla sicurez- cinque domande:
za è, essenzialmente: “Dipende.”
1. Cosa volete proteggere?
I piani di sicurezza non sono mai identici tra 2. Da chi?
loro. Il tipo di protezione da adottare deve 3. Quante probabilità ci sono che la prote-
tener conto di chi potrebbe tentare di accedere zione risulti necessaria?
ai vostri account o di leggere i vostri messaggi. 4. Quanto negative sarebbero le
La cattiva notizia è che non esiste una solu- conseguenze di un eventuale fallimento?
zione infallibile (perdonateci!), ma la buona 5. Quante difficoltà siete disposti
notizia è che la maggior parte delle persone ad affrontare per prevenirle?
5
VERSIONE 1.1 AGGIORNATO AL 15.05.2018
La minaccia è un ex che potrebbe tentare di In generale, però, è stata progettata per coloro
accedere al vostro account Facebook? Assicu- che vogliono conoscere lo stretto indispensa-
rarsi che nessuno sappia la vostra password, bile per rafforzare la propria sicurezza digitale.
allora, è un buon modo per iniziare. (Non con- Se il vostro threat modeling include gli hacker
dividete password importanti con le persone, della NSA o altri gruppi finanziati dallo stato
non importa chi esse siano: se state pensando come Fancy Bear, vi consigliamo di parlare
a Netflix, assicuratevi di non utilizzare quella della vostra situazione specifica con un profes-
password per nessun altro account persona- sionista qualificato.
le). State cercando di impedire che, tramite la
pratica del doxing, qualcuno raccolga i vostri
dati personali — la data del vostro complean-
no, ad esempio — per poi arrivare ad acquisire
ulteriori informazioni? Bene, tenere d’occhio
quello che si pubblica sui social potrebbe es-
sere una buona idea. E l’autenticazione a due
fattori (ne parleremo più avanti) contribuisce
in larga misura a fermare criminali ben più pe-
ricolosi. Se siete attivisti, giornalisti, o in qual-
che modo avete ragioni per temere il governo,
lo stato o rappresentanti delle forze dell’ordine
che vogliono sorvegliarvi, le misure che dove-
te adottare per proteggervi sono assai diverse
da quelle che dovreste prendere per mantenere
segreti i piani per un party a sorpresa che state
organizzando per il vostro migliore amico.
6
VERSIONE 1.1 AGGIORNATO AL 15.05.2018
Tenete Aggiornati
i Vostri Software
7
VERSIONE 1.1 AGGIORNATO AL 15.05.2018
Le Password
Abbiamo tutti un sacco di password da ricor- quella che sblocca il caveau che contiene tutte
dare e questo è il motivo per cui alcune per- le altre.
sone preferiscono utilizzare sempre le stesse.
Riutilizzare le password è una cattiva idea È bene, però, che quella password sia davvero
perché se, per esempio, un hacker riesce buona. Scordatevi le lettere maiuscole, i sim-
a prendere possesso della vostra password boli e i numeri. Il metodo più semplice per
di Netflix o Spotify, può poi usarla per entrare creare una password sicura è utilizzare una
nel vostro account di car sharing o nel vostro passphrase: una serie di parole scelte a caso
conto corrente e prosciugare la vostra carta di che siano però pronunciabili — così da essere
credito. Anche se le nostre menti non sono in più semplici da memorizzare. Ad esempio:
realtà poi così male nel ricordarsi le password, dadi colbacco deltoide landa lucia (non usate
è quasi impossibile ricordarne dozzine che questa, l’abbiamo appena bruciata).
siano sicure ed univoche.
Una volta fatto questo potete utilizzare singo-
La buona notizia è che la soluzione a questi le password formate da molti caratteri per tut-
problemi esiste già: i password manager. to il resto, se le create con un password mana-
Sono app o estensioni per il browser che ger e non le riutilizzate per altro. La password
tengono a mente le password al posto vostro, principale è meglio che sia una passphrase
aiutano a crearne di buone e semplificano la perché è più semplice da memorizzare, cosa
vostra vita in rete. Se utilizzate un password non necessaria per le altre, delle quali si occu-
manager, dovete ricordare una sola password, perà il password manager.
8
VERSIONE 1.1 AGGIORNATO AL 15.05.2018
Intuitivamente, potreste pensare che non sia password è mai stata rubata perché l’azienda le
saggio archiviare le password sul vostro com- aveva archiviate al sicuro. LastPass rimane un
puter o affidarle a un password manager ester- password manager raccomandabile anche se è
no al vostro personale e costante controllo. incorso in questi incidenti. Ma di nuovo, tutto
E se un hacker riuscisse a metterci le mani? sta nel valutare il proprio threat modeling.
Non è meglio tenerle tutte a mente? Be’ non
proprio: è molto più probabile che un truffatore Quindi, per favore, utilizzate uno dei tanti pas-
riutilizzi una password rubata da qualche altra sword manager disponibili, come 1Password,
parte piuttosto che un hacker esperto decida LastPass o KeePass. Non c’è ragione per non
autonomamente di prendere come bersaglio farlo. Farà sentire più tranquilli anche noi,
il vostro database di password. Per esempio, e renderà la vostra vita più semplice.
se aveste utilizzato la stessa password su molti
siti e questa fosse stata rubata nel massiccio E se il vostro capo vi chiede di cambiare perio-
attacco a Yahoo! (che ha colpito 3 miliardi di dicamente le password in nome della sicurez-
persone), potrebbe venir facilmente riutilizzata za, vi prego, ditegli che è un’idea terribile.
per il vostro account Gmail, Uber, Facebook Se utilizzate un password manager, l’autentica-
e su altri siti. Alcuni password manager archi- zione a due fattori (vedete sotto) e avete delle
viano le vostre password criptate nel cloud in password sicure e univoche per ogni account,
modo che, anche se l’azienda dovesse subire non c’è bisogno di cambiarle ogni volta —
un attacco hacker, rimarrebbero al sicuro. a meno che non sia stato violato il backend,
Ad esempio, il password manager LastPass o la vostra password sia stata in qualche modo
è stato hackerato almeno due volte, ma nessuna rubata.
9
VERSIONE 1.1 AGGIORNATO AL 15.05.2018
L’Autenticazione
a Due Fattori
Avere password forti e univoche è un primo mente creata (che può tornare utile se il vostro
passo importante, ma anche queste possono telefono non ha copertura nel momento in cui
essere rubate. Quindi per i vostri account più cercate di accedere), o un piccolo apparecchio
importanti (gli account della mail, di Twitter fisico come un token USB (talvolta chiamato
o di Facebook, i vostri conti bancari o finan- U2F security key o YubiKey, prendendo
ziari) dovreste aggiungere un ulteriore livello il nome dai brand più conosciuti).
di protezione conosciuto come autenticazione
a due fattori (o “a più fattori” o “strong authen- Negli ultimi anni si è spesso discusso della
tication”). Molti servizi, oggi, offrono l’auten- sicurezza degli SMS come “secondo fattore”.
ticazione a due fattori, quindi non sarebbe certo L’attivista Deray McKesson era stato derubato
sbagliato attivarla dove possibile. Controllate del suo numero di telefono e gli hacker erano
tutti i servizi su questo sito: twofactorauth.org. così riusciti a trovare il modo di ricevere i mes-
saggi con i codici di sicurezza che proteggeva-
Abilitando questo tipo di autenticazione non no i suoi account. E il National Institute of
basterà solo la vostra password per avere ac- Standards and Technology (NIST), una sezione
cesso ai vostri account. Avrete bisogno anche del governo degli Stati Uniti che scrive linee
di qualcos’altro, che di solito è un codice nu- guida su regole e misure, inclusa la sicurezza,
merico inviato tramite SMS sul vostro telefo- ha recentemente scoraggiato l’uso dell’autenti-
no, o un codice generato da una app apposita- cazione a due fattori tramite SMS.
10
VERSIONE 1.1 AGGIORNATO AL 15.05.2018
L’attacco a Deray è stato reso possibile grazie presente nel vostro computer. Gli hacker ador-
all’ingegneria sociale. In questo caso, un ad- ano Flash perché ha più buchi del groviera.
detto al servizio clienti è stato indotto con l’in- La buona notizia è che molti siti ne hanno ab-
ganno a rendere Deray vulnerabile. La truffa bandonato l’utilizzo, quindi non ne avrete più
è consistita nel farsi inviare dalla sua compag- realmente bisogno per godervi una completa
nia telefonica una nuova scheda SIM per met- e intensa esperienza in rete. Prendete in con-
tere le mani sul suo numero di telefono. Ciò siderazione l’idea di eliminarlo dal vostro
ha permesso che, una volta immessa la prima computer, o almeno di cambiare le impostazi-
password, il secondo fattore venisse inviato oni sul vostro browser, in modo da dover clic-
direttamente a loro. Questa è una truffa co- care ogni volta per avviarlo.
mune che sta diventando sempre più frequente.
11
VERSIONE 1.1 AGGIORNATO AL 15.05.2018
Dos
&
Don’ts
12
VERSIONE 1.1 AGGIORNATO AL 15.05.2018
Dos
Do – Utilizzate un antivirus: sì, questa l’a- Do – Utilizzate una VPN: le Virtual Private
vevate già sentita. Gli antivirus sono, ironi- Network (reti di telecomunicazione private)
camente, pieni di buchi di sicurezza. Se non sono un canale sicuro tra il vostro computer
siete persone a rischio di essere prese di mira e la rete internet. Se utilizzate una VPN,
da hacker di livello avanzato, averne uno è vi collegate prima ad essa e poi alla rete
una buona idea. Un antivirus però non è una internet nella sua interezza, aggiungendo uno
panacea, e nel 2018 vi servirà qualcosa in più strato di sicurezza e di privacy. Se state utiliz-
per essere al sicuro. Inoltre gli antivirus, per zando internet in uno spazio pubblico, mettia-
definizione, sono estremamente invasivi: mo da Starbucks, in aeroporto o in un Airbnb,
devono cercare a fondo nel vostro computer lo state condividendo con persone che non
per essere in grado di identificare i malware. conoscete. E se un hacker fosse sul vostro
La conseguenza è che, per esempio, il gover- stesso network, potrebbe creare problemi alla
no degli Stati Uniti ha accusato Kaspersky vostra connessione e potenzialmente al vostro
Lab di aver passato al governo russo dei do- computer. Vale la pena fare qualche ricerca
cumenti sensibili di proprietà di uno dei suoi sulle VPN prima di sceglierne una, perché
clienti. alcune sono di gran lunga migliori di altre
(la maggior parte di quelle gratuite non sono
Do – Utilizzate dei plugin per la sicurezza: infallibili nel proteggere la privacy). Consi-
a volte, ad un hacker basta farvi arrivare su gliamo Freedome, Private Internet Access o,
un sito pieno di malware per prendere il con- se siete utenti competenti, Algo.
trollo del vostro computer. Per proteggervi gli
AdBlocker, che proteggono dai malware che Do – Disabilitate le macro: gli hacker pos-
sono incorporati nelle pubblicità presenti nei sono utilizzare le macro di Microsoft Offi-
siti più loschi o, a volte, anche nei siti legitti- ce contenute all’interno dei documenti per
mi. introdurre malware nel vostro computer. È
un vecchio trucco, ma è tornato in voga per
Un altro plugin utile è HTTPS Everywhere, diffondere ransomware. Disabilitatele!
che forza il criptaggio della vostra connessio-
ne (quando il sito lo supporta). Questo non vi Do – Eseguite il backup dei file: questa non è
salverà se il sito che state visitando nasconde certo una novità, ma se temete che gli hacker
un malware ma, in alcuni casi, vi aiuterà a distruggano o blocchino i vostri file (ad esem-
impedire che gli hacker vi reindirizzino su pio con dei ransomware), allora dovete farne
una falsa versione di quel sito, e in generale un backup. Possibilmente fatelo su un hard
vi proteggerà da quegli hacker che tentano disk esterno mentre non siete connessi alla
di interferire con la vostra connessione, ripor- rete: così, anche se ci fossero dei ransomwa-
tandovi su quella valida. re, il backup non verrebbe infettato.
13
VERSIONE 1.1 AGGIORNATO AL 15.05.2018
Don’ts
Don’t – Non utilizzate Flash, è uno dei Don’t – Non aprite allegati senza precauzio-
software meno sicuri di sempre. Gli hacker ni: per decenni i cybercriminali hanno nasco-
lo adorano perché ha più buchi del groviera. sto malware all’interno di allegati come Word
La buona notizia è che molti siti ne hanno o PDF. Gli antivirus a volte bloccano queste
abbandonato l’utilizzo, quindi non ne avrete minacce, ma è sempre meglio utilizzare il
più realmente bisogno. Prendete in considera- buon senso: non aprite allegati (e non clicca-
zione l’idea di eliminarlo dal vostro compu- te su link) di fonti non note o che non state
ter, o almeno di cambiare le impostazioni del aspettando. E se proprio volete farlo, ricorrete
browser in modo da dover cliccare ogni volta ad alcune precauzioni come aprire gli allegati
per avviarlo. all’interno di Chrome (senza scaricare i file).
Ancora meglio sarebbe salvare il file su Go-
Don’t – Non esponetevi troppo senza una ogle Drive per poi aprirlo al suo interno, così
ragione: alle persone piace condividere le il file viene aperto da Google e non dal vostro
proprie vite sui social. Ma vi supplichiamo, computer.
evitate di twittare foto della vostra carta
di credito o della carta di imbarco del vostro
volo, ad esempio. Più in generale, un post su
un social media è rivolto a chiunque in rete si
prenda la briga di controllare il vostro profilo,
anche se si trattasse solo di capire il vostro
indirizzo di casa tramite i percorsi segnati
su un sito come Strava, il social network
per corridori e ciclisti.
14
VERSIONE 1.1 AGGIORNATO AL 15.05.2018
La Mobile
Security
15
VERSIONE 1.1 AGGIORNATO AL 15.05.2018
La Mobile Security
Adesso viviamo in un mondo dove gli smar- Una delle più grandi minacce per i telefoni
tphone sono diventati i nostri principali ap- è che qualcuno abbia accesso fisico al vostro
parecchi informatici. Non solo utilizziamo i cellulare e che possa sbloccarlo. Questo si-
cellulari più dei computer fissi, ma li abbiamo gnifica che la vostra sicurezza corrisponde al
con noi praticamente tutto il giorno. È sconta- vostro codice di accesso: possibilmente, evita-
to, dunque, che gli hacker concentrino sempre te di rivelare il vostro PIN o la password,
più su di essi i loro attacchi.La buona notizia ed evitate di utilizzare codici di accesso fa-
è che esistono alcuni semplici passi e precau- cilmente prevedibili come la data del vostro
zioni da seguire per minimizzare i rischi. Ecco compleanno. Perfino i codici di accesso più
quali sono. semplici sono un buon modo per fermare
i borseggiatori o ladruncoli di strada, ma non
Il Threat Modeling (per gli smartphone) sono così efficaci se quello che vi preoccupa
La maggior parte delle persone usa codici di è un partner scorretto che conosce il vostro
accesso, password o pattern per “bloccare” il PIN, ad esempio.
proprio telefono. Se non lo fate anche voi, do-
vreste assolutamente! (anche se, secondo uno Tenendo a mente queste cose, ecco alcuni
studio recente, i pattern sono meno sicuri e più semplici passi da seguire per prevenire altre
facili da indovinare rispetto ai PIN o ai codici minacce comuni per il vostro telefono.
di accesso).
16
VERSIONE 1.1 AGGIORNATO AL 15.05.2018
17
VERSIONE 1.1 AGGIORNATO AL 15.05.2018
18
VERSIONE 1.1 AGGIORNATO AL 15.05.2018
La guida di
Motherboard
alla privacy,
alla messaggistica
e alla sorveglianza
A seguito dell’11 Settembre, gli Stati Uniti Ricordate, l’anti-sorveglianza non è la cura,
hanno costruito un forte apparato di sorve- è solo una contromisura che potete prendere
glianza, indebolito le garanzie costituzionali per proteggere voi stessi e gli altri. Probabil-
e limitato il possibile ricorso al sistema legale. mente non sarete le persone più a rischio, ma
questo non significa che non dobbiate prendere
Dati gli enormi poteri della sorveglianza di misure di sicurezza adeguate. La sorveglian-
stato negli Stati Uniti — come del resto quel- za è una questione delicata: potete cercare
la dei governi di tutto il mondo — può capi- di prendere più provvedimenti possibili per
tare di sentirsi un po’ paranoici. Non solo la proteggervi ma, se mandate messaggi a qual-
NSA, perfino la polizia locale ha più strumenti cuno che non lo fa, potreste comunque essere
a disposizione per ficcare il naso negli affari spiati attraverso i loro dispositivi o tramite le
delle persone più di quanto abbia mai fatto. loro conversazioni con altre persone (se questi
C’è da temere anche una terrificante quanti- riportassero informazioni che gli avete riferito,
tà di sorveglianza passiva e imprevedibile: i ad esempio).
vostri account social possono essere citati in
giudizio, le vostre telefonate o le vostre mail Ecco perché è importante che le pratiche per
potrebbero venir prese in esame per più ampi la buona sicurezza diventino una norma: se
fini di indagine, e i metadati dei vostri telefo- non avete niente da temere, è ancora più im-
ni potrebbero essere acquisiti da alcuni IMSI portante che utilizziate alcuni di questi stru-
Catcher o Stingray che avevano un altro bersa- menti perché, così facendo, mettereste al sicu-
glio. ro le azioni dei vostri amici che, per esempio,
potrebbero essere immigrati senza documenti
19
VERSIONE 1.1 AGGIORNATO AL 15.05.2018
o attivisti. Il direttore della CIA scelto da Tru- mature che variano in ogni circostanza.
mp pensa che usare la crittografia possa essere
un’ammissione di colpevolezza. Se non si ha Per alcune persone è facile dire “usate Signal,
“niente da nascondere”, l’uso della crittografia usate Tor” e chiudere la faccenda, ma in realtà
può, in realtà, beneficiare persone che voglio- non vale per tutti la stessa cosa. Ad esempio,
no celare qualcosa. Seguendo questa guida conosco una persona che raccontava agli amici
renderete qualcun altro più sicuro. Pensatela degli abusi del suo ex-partner tramite la chat
come una sorta di immunità collettiva. Più le del gioco Words With Friends perché sapeva
persone praticano buone norme di sicurezza, che lui leggeva i suoi SMS e le sue chat di
più tutti gli altri saranno al sicuro. Google. Words With Friends non ha un siste-
ma di messaggistica particolarmente sicuro
I suggerimenti forniti precedentemente sono ma, in questo caso, è stata una scelta migliore
sempre validi: più ci si tiene alla larga dagli di Signal o Hangouts perché a lui non veniva
attacchi hacker, meno si rischierà di essere in mente di leggere quella chat.
sorvegliati (quando si tratta di sorvegliare un
iPhone, ad esempio, i governi hanno spesso Quando si parla di soggetti governativi, po-
poche opzioni oltre quella di hackerare il di- trebbe risultare utile valutare la sorveglianza
spositivo). Ma gli strumenti di alta tecnologia sotto due aspetti differenti: la sorveglianza dei
non risolvono tutti i problemi. I governi hanno metadati (chi siete, con chi parlate, quando lo
nelle mani un’arma che gli hacker criminali fate) e quella dei contenuti (di cosa state par-
non hanno: il potere della legge. Molti sugge- lando). Come in tutte le cose, quando si scava
rimenti in questa sezione della guida vi aiute- un po’ più a fondo, non è così semplice come
ranno non solo contro le richieste giuridiche sembra. Ma se è la prima volta che ci pensate,
e gli attacchi hacker governativi, ma anche questo è sicuramente un buon punto di parten-
contro chiunque voglia cercare di spiarvi. za.
Non dovete diventare degli esperti di sicurez- La legge sulla sorveglianza è complicata ma,
za. Iniziate solo a pensare ai vostri rischi per farla breve, sia la legge che l’attuale in-
e non lasciatevi intimidire dalla tecnologia. frastruttura tecnologica rendono più semplice
La sicurezza è un continuo processo di appren- entrare in possesso dei metadati piuttosto che
dimento. Le minacce e gli strumenti sviluppati dei contenuti. I metadati non sono necessa-
per metterle in atto cambiano continuamente, riamente meno importanti o meno eloquenti
ragione per cui spesso i consigli sulla privacy rispetto al dati veri e propri. Mettiamo che
e la sicurezza possono sembrare mutevoli abbiate ricevuto una telefonata da un’asso-
e contraddittori. Ma i suggerimenti che seguo- ciazione antiabortista. Voi chiamate il vostro
no sono un buon punto di partenza. partner, la vostra compagnia assicurativa (se
ce l’avete), infine vi rivolgete alla clinica per
Threat Modeling (per privacy l’aborto. Queste informazioni verranno ripor-
e sorveglianza) tate sul vostro registro telefonico e la vostra
Ricordatevi che nuovi strumenti sollevano compagnia potrebbe tranquillamente cederle
nuovi problemi. Senza threat modeling è facile al governo.
sentirsi schiacciati dalla quantità di strumenti Il vostro provider potrebbe non aver registrato
in circolazione. Il threat modeling per la sor- le telefonate, il contenuto è ancora privato.
veglianza è simile al threat modeling per gli Ma a questo punto non serve, anche con i soli
attacchi hacker ma, ovviamente, ci sono sfu- metadati sarebbe semplice farsi un’idea plausi-
20
VERSIONE 1.1 AGGIORNATO AL 15.05.2018
21
VERSIONE 1.1 AGGIORNATO AL 15.05.2018
Una cosa che vale la pena menzionare è che Anche se modificate le impostazioni per blinda-
Signal richiede di associare il dispositivo a un re la vostra privacy, le aziende di social media
numero di telefono. Questo significa che dove- sono soggette a citazioni in giudizio, ordini
te fidarvi a lasciare il vostro numero di telefo- della corte e richieste di dati per ottenere in-
no alle persone con cui messaggiate (oppure formazioni. E spesso smollano le informazioni
dovrete fare i salti mortali per usare Signal senza nemmeno notificare l’utente. Per quanto
con un numero di telefono fasullo); ci sono riguarda i social media, dovete pensare che
molte ragioni per le quali potreste voler scrive- tutto quello che postate è pubblico. Questo non
re a persone senza dar loro il vostro numero significa che dovete smettere di utilizzarli, si-
e questo è uno dei potenziali svantaggi di gnifica soltanto che dovete essere consapevoli.
Signal. Se per voi questo è un problema, pren-
dete in considerazione un’altra opzione. Se siete attivisti, prendete in considerazione
l’idea di usare uno pseudonimo. Se non postate
Un’altra cosa da tenere a mente è che anche mai niente in rete, prendete comunque qualche
se una comunicazione è codificata end-to-end altra misura di sicurezza.
non significa che il governo non possa vederla.
Significa solamente che i suoi contenuti sono Chi taggate nei vostri post? Aggiungete infor-
criptati nel percorso da un’estremità all’altra. mazioni sulla posizione? Chi fotografate e per-
Voi potete vedere il messaggio, il vostro de- ché? Prestate particolare attenzione alle foto o
stinatario può vedere il messaggio. Se viene ai post sulle proteste, le manifestazioni o gli in-
intercettato durante il trasferimento è comple- contri. La tecnologia di riconoscimento facciale
tamente alterato e il suo contenuto è protetto è ormai piuttosto sofisticata quindi, anche se
dagli occhi di una spia. non taggate nessuno, teoricamente un algoritmo
potrebbe esaminare ed identificare gli attivisti
Ma se una “estremità” è compromessa — nella fotografia di una manifestazione. Questa
22
VERSIONE 1.1 AGGIORNATO AL 15.05.2018
funzionalità è già in atto nei suggerimenti di tag confronti del governo, altrimenti avrebbero
su Facebook.Quando scattate la foto di qualcu- pubblicato il filmato. (Ismayilova è uscita allo
no durante una protesta assicuratevi che loro scoperto e il video è stato postato in rete).
diano il consenso e conoscano le implicazioni Nel 2015 il governo azero l’ha condannata
di avere una loro foto in rete. a sette anni e mezzo di reclusione per evasione
fiscale. Attualmente è stata rilasciata in regime
Le Telecamere e i Microfoni di libertà vigilata.
Vivete attorno a delle telecamere? Se in casa
vostra utilizzate telecamere di sicurezza con- I governi hanno utilizzato l’arma sessuale
nesse alla rete o avete una webcam, adottate per ricattare i dissidenti fuori e dentro i confini
alcune misure di sicurezza. Controllate di aver del loro stato. Siatene consapevoli e proteggete
cambiato ogni password di default che era sta- la vostra privacy.
ta impostata quando vi sono state spedite
e copritele quando non le utilizzate. Bloccate lo schermo
Mettete una password o un codice di sicurezza
Se avete un laptop o uno smartphone usate uno sul vostro telefono e sul vostro computer.
sticker per coprire la telecamera frontale. Non Non fate affidamento solo sull’impronta digi-
dovete smettere di usare Facetime o di farvi tale. È più probabile che la polizia possa ob-
selfie, basta oscurare la visuale così che nessu- bligarvi legalmente a utilizzare l’impronta per
no possa vedere quando voi non lo desiderate. sbloccare il vostro telefono. Potreste avere più
La Electronic Frontier Foundation vende ade- possibilità di esercitare il vostro diritto di non
sivi oscuranti removibili per laptop (5 a 5 dol- rivelare la password.
lari) che non lasciano alcun segno sulla vostra
telecamera in modo che possiate applicarli e Usate OTR per chattare (se doveta)
toglietrli ogni volta. Prendete in considerazio- La scelta migliore per chattare con le persone
ne l’idea di comprarne un po’ e magari anche tramite computer desktop è Signal. Ma esiste
di regalarne qualcuno ai vostri amici. un’altra valida opzione che risulta particolar-
mente utile per i giornalisti.
Infine, non esiste un modo per essere comple-
tamente certi che il vostro microfono non stia Per chattare, chiudete la vostra finestra Gmail
registrando. Se vi preoccupa essere intercettati, e utilizzate OTR (Off The Record). Tenete
valutate l’idea di spegnere il vostro telefono e a mente che potete usare OTR solamente
di metterlo nel microonde (temporaneamente, se anche l’altra persona lo fa. Gli utenti Mac
a microonde spento) o di lasciarlo in un’altra possono installare Adium, chi ha il PC
stanza. Spegnere semplicemente il telefono (o Linux) dovrà installare Pidgin e il plugin
non vi assicura di essere fuori pericolo. di OTR.
E prendete in considerazione l’idea di lasciare
tutti i vostri dispositivi fuori dalla camera da Potete usare il vostro account Gmail come ID
letto quando avete un rapporto sessuale con della chat. In questo modo starete conversando
il vostro partner. tramite Hangouts, ma con un ulteriore livello
di codifica. Aprite una finestra della chat
Nel 2012 Khadija Ismayilova, una giornalista e cliccate sull’icona del lucchetto per far parti-
azera, è stata ricattata con un video hard filma- re la procedura di criptaggio. E assicuratevi
to di nascosto. L’estorsore chiese a Ismayilova di aver modificato le impostazioni in modo
di smetterla di pubblicare articoli di critica nei tale da non conservare il registro delle conver-
23
VERSIONE 1.1 AGGIORNATO AL 15.05.2018
sazioni quando vi scambiate messaggi codifi- Se siete attivisti che cercano di nascondere
cati.Anche in questo caso la procedura end-to- la propria identità, avrete bisogno di Tor per
end funziona solo in quello spazio limitato. Se mascherare il vostro indirizzo IP. Questo è uno
l’altra persona registra le vostre conversazioni, dei casi per i quali non lo si utilizza molto.
tutti questi sforzi potrebbero risultare inutili. Sarebbe controproducente se io aprissi Tor,
Se questo vi preoccupa, chiedete ai vostri ami- accedessi al mio profilo Twitter pubblico e
ci di non farlo. tweettassi, “Salve a tutti, sto twittando dagli
uffici di Vice di New York.” È come se rivelas-
Il Browser TOR si tutte le informazioni che Tor sta mascheran-
Tor — che prende il suo nome dall’acronimo do per me.
di “The Onion Router” — codifica il vostro
traffico in rete smistandolo attraverso una serie Se vi collegate spesso a reti Wi-Fi pubbliche,
di strati di server. In questo modo, se accede- invece, (pensate a Starbucks, a un hotel o agli
te a un sito web, risulta impossibile capire da aeroporti) dovreste utilizzare Tor. Fornisce be-
dove vi state connettendo. Il modo più sempli- nefici simili a quelli delle VPN, ma senza mol-
ce per utilizzarlo è quello di installare il brow- ti dei loro svantaggi (questo argomento verrà
ser Tor. È come Firefox o Chrome ma molto affrontato meglio nella prossima sezione).
più lento, visto la privacy che assicura.
Se gli Stati Uniti iniziassero a censurare alcune
Usando Tor si incrementa di gran lunga la aree del web come fanno molti altri governi,
propria privacy, ma risulterebbe alquanto sco- Tor potrebbe aiutarvi ad aggirare questa impo-
modo. Non sperate, ad esempio, di guardare sizione. Senz’altro Tor aiuta le persone a con-
Netflix su Tor. nettersi da paesi che praticano censure in rete.
Fate una valutazione di ciò di cui avete biso- Infine, il bello di Tor è che più persone
gno e cercate di capire quanto potete servirvi lo usano, meno tracciabili sono anche tutti gli
di Tor. Ricordatevi sempre che, quando non altri. Quando molte persone sparse per il mon-
lo utilizzate, il vostro indirizzo IP (che può ri- do cominciano a utilizzarlo autonomamente,
velare dove siete e dunque chi potreste essere) la protezione aumenta sempre di più.
è sempre alla luce del sole. Se vi prendeste un po’ di tempo per utilizzare
Tor ogni giorno, aiutereste le persone che ne
Ci sono quattro ragioni che possono spingervi hanno davvero bisogno.
a usarlo:
Ma facciamo qualche precisazione: Tor non
• State cercando di nascondere è inattaccabile. È risaputo che il governo ha
la vostra identità. hackerato gruppi di utenti su Tor, come è noto
•Utilizzate spesso reti Wi-Fi pubbliche. che abbia hackerato in modo massiccio utenti
•State cercando di eludere che utilizzavano delle VPN. Tor, di per sé,
la censura governativa. non elimina le possibilità di essere attaccati.
•Volete proteggere altre persone È utile per la privacy, non per la sicurezza.
che usano Tor. Ed è progettato per rendere più difficile la vita
a chi vuole registrare il vostro traffico, ma non
per impedirlo, quindi c’è sempre un rischio.
25
VERSIONE 1.1 AGGIORNATO AL 15.05.2018
26
VERSIONE 1.1 AGGIORNATO AL 15.05.2018
mente rintracciabili.
Questo è applicabile a qualsiasi altra cosa per Non aspettate l’imminenza di una causa per
la quale utilizziate del denaro, come comprare cancellare tutte le vostre cose. Potrebbero
un dominio o un telefono economico prepa- essere illegali e potreste rischiare di finire in
gato, conosciuto anche come burner. In prati- prigione. Ogni situazione è diversa: i vostri ap-
ca, non è che si possa fare molto. Questo è il punti potrebbero risultare necessari per scagio-
motivo per cui consigliamo Tor invece che un narvi. Quindi se siete dei tipi che accumulano
servizio VPN. gli appunti in modo compulsivo, informatevi
sui rischi, parlate con un avvocato e comporta-
Questa è anche una delle ragioni per le quali è tevi responsabilmente.
così difficile procurarsi un burner che sia vera-
mente un burner (Come pagherete per prolun- Il Futuro (?)
gare i servizi telefonici senza collegare a quel Questo ci porta al nostro prossimo punto: non
telefono il vostro nome?). Non c’è una risposta sappiamo cosa ha in serbo il futuro. Questa
scontata. Non fingeremo di essere in grado di guida è stata scritta tenendo a mente le attuali
dare un buon consiglio in questa circostanza. potenzialità tecniche e legali del governo degli
Se vi trovate in una situazione nella quale la Stati Uniti. Ma tutto questo in futuro potrebbe
vostra vita dipende dal rimanere nell’anoni- cambiare. Una crittografia solida potrebbe di-
mato, vi servirà molto di più di una qualsiasi ventare illegale. I paesi in cui viviamo potreb-
guida in rete. bero iniziare a mettere in pratica una censura
in rete allo stesso modo della Cina e di altre
Un ultima cosa: per adesso, ci sono organiz- nazioni. Il governo potrebbe istituire una poli-
zazioni non governative che hanno il diritto tica sui codici di identificazione per connetter-
costituzionale di astenersi dal rivelare il nome si alla rete, rendendo praticamente impossibile
dei donatori. Ma la vostra carta di credito o postare nell’anonimato.
PayPal potrebbero tradirvi ugualmente. Que-
sto non significa che non dovreste fare dona- Queste cose sono più difficili da attuare e
zioni alle organizzazioni che si oppongono rendere effettive, quindi è improbabile che si
agli abusi e che lottano per i diritti e le libertà verifichino nel breve termine. Non è impossi-
civili. Piuttosto è ancora più importante che bile che il governo faccia pressione sugli app
lo facciate. Più persone comuni lo fanno, più store per togliere Signal e altre applicazioni di
i singoli donatori sono protetti dallo sguardo crittografia end-to-end. Questa guida potrebbe
indagatore e dal sospetto. essere valida solo fino ad allora. Ecco un mo-
tivo in più per agire immediatamente contro la
Note Speciali per i Giornalisti sorveglianza e per continuare ad adattarsi alle
Volete proteggere le vostre fonti? circostanze che si verranno a creare.
27
VERSIONE 1.1 AGGIORNATO AL 15.05.2018
persone allo stesso tempo. umani che lavorano in una nazione ad alto
Prendetevi una pausa dal mondo in rete e in- rischio o in una zona di conflitto o un’organiz-
contrate gli altri di persona. Se rimanete fuori zazione che costruisce infrastrutture informa-
dalla portata dell’orecchio non verrete spiati tiche in tempi ristretti, tutto questo non sarà
e le vostre parole svaniranno nell’aria, senza certo abbastanza e dovrete prendere ulteriori
essere sorvegliate o registrate. precauzioni.
Oltretutto, se state leggendo questa guida, è Ma questi sono suggerimenti base che seguono
probabile che a questo punto abbiate proprio il buonsenso e che tutti dovrebbero conoscere.
bisogno di un abbraccio. Ovviamente alcuni lettori non esiteranno a
far notare tutto quello che questa guida si è
Quindi incontratevi con gli amici, verificate dimenticata di dire, ma noi saremmo conten-
le vostre chiavi di Signal e scambiatevi un ti di avere il vostro feedback. La sicurezza
bell’abbraccio. Perché probabilmente sarete è un mondo in costante evoluzione e quello
entrambi spaventati e avrete bisogno l’uno che oggi è un buon consiglio potrebbe non
dell’altro, più di quanto possiate aver bisogno esserlo più domani, quindi il nostro obiettivo
di queste tecnologie. è quello di aggiornare questa guida piuttosto
regolarmente e dunque, per favore, non esitate
Andate e siate prudenti a contattarci se pensate che manchi qualcosa o
Per adesso è tutto. Di nuovo, questa voleva che ci sia qualche errore.
essere una semplice guida per utenti di me-
dio livello. Quindi se siete attivisti per i diritti E ricordate, prestate sempre attenzione!
28
VERSIONE 1.1 AGGIORNATO AL 15.05.2018
E ricordate,
prestate
sempre
attenzione!
Per ora è tutto. Di nuovo, questa è una guida
basilare pensata per l’utente medio. Quindi se
siete attivisti che lavorano in zone pericolose
o di guerra, o lavorate per un’organizzazione
che costruisce infrastrutture IT, questi consigli
non sono abbastanza.
29
VERSIONE 1.1 AGGIORNATO AL 15.05.2018
Glossario
di Hacking
e Cyber-
Parole
30
VERSIONE 1.1 AGGIORNATO AL 15.05.2018
Attribuzione: È il processo per stabilire chi Cracking: Un termine generale che indica l’at-
è l’autore di un hack. Spesso, l’attribuzione to di entrare in un sistema di sicurezza, spesso
è la parte più difficile dell’indagine perché gli per fini malvagi. Secondo il New Hacker’s
hacker con una certa esperienza si nascondono Dictionary pubblicato da MIT Press, le parole
dietro strati di servizi che mascherano la loro “hacking” e “hacker” sono abbreviazioni delle
collocazione e la loro identità. Molti incidenti parole “cracking” e “crack”. Ma gli hacker
potrebbero non avere mai un’attribuzione. non sono per forza cattivi, i cracker sì. Inoltre,
la parola cracking si usa anche per indicare
Backdoor: Entrare in un sistema protetto una violazione del copyright e in molti altri
usando una password è come sfondare la porta contesti senza necessariamente una connota-
principale. Alcune aziende potrebbero co- zione negativa.
struire delle “backdoor” nei loro sistemi per
permettere agli sviluppatori di saltare l’auten- Crypto: Abbreviazione di crittografia, la scien-
ticazione e entrarci direttamente. Le backdoor, za della comunicazione segreta o l’insieme
di solito, sono segrete ma potrebbero essere delle procedure per nascondere i dati e i mes-
violate dagli hacker se vengono scoperte. saggi attraverso la criptazione (vedi voce).
Black hat: Un hacker che mira al proprio Certificato Digitale: È un passaporto digitale
tornaconto personale o che si dedica ad attivi- o un timbro di approvazione che attesta l’iden-
tà illecite. Contrariamente al white hat (vedi tità di una persona, un sito o un servizio
voce), che di solito lavora per mettere in guar- su internet. In termini più tecnici, un certificato
dia le aziende e migliorare i servizi, il black digitale prova che qualcuno è in possesso di
hat vende le vulnerabilità che scopre agli altri una certa chiave crittografica che, tradizional-
hacker per permettere loro di utilizzarle. mente, non può essere contraffatta. I certificati
Botnet: Il tuo computer fa parte di una botnet? digitali più comuni sono quelli dei siti a con-
Forse sì, ma non lo sai. Le botnet, o armate nessione criptata che sul browser appaiono
zombie, sono network di computer controllati come un lucchetto verde.
da qualcuno. Il controllo su centinaia o miglia-
ia di computer permette di mettere in atto al- Criptazione: Il processo di codificare dati
cuni tipi di cyberattacchi, come i DDoS (vedi o messaggi rendendoli illeggibili e segreti.
voce). Comprare migliaia di computer non sa- L’opposto è decrittazione, il decodificare il
rebbe economico, quindi gli hacker utilizzano messaggio. Sia la crittazione che la decritta-
i malware per infettare dei computer random zione sono funzioni della crittografia. La crit-
connessi alla rete. Se il tuo computer è infetta- tazione è usata da individui, aziende e nella
to, potrebbe seguire i comandi dell’hacker in sicurezza digitale come prodotto di consumo.
background. Criptazione End-to-end: Un particolare tipo
Bug: Probabilmente ne hai sentito parlare. di criptazione dove un messaggio o dei dati
Un bug è un’imperfezione o un errore in un vengono criptati da una parte, per esempio
software. Alcuni sono innocui o semplicemen- il computer o il telefono, e decrittati dall’altra,
te fastidiosi, ma altri possono essere sfruttati per esempio in un altro computer. I dati vengo-
dagli hacker. Ecco perché molte aziende hanno no criptati in modo che, almeno in teoria, solo
iniziato a pagare chi segnala i bug prima che chi invia e chi riceve — e nessun altro — può
siano le persone sbagliate a trovarli. leggerli.
31
VERSIONE 1.1 AGGIORNATO AL 15.05.2018
Dark web: È un insieme di siti non indicizzati re la serratura rotte. Entrambe le cose sono pe-
da Google e accessibili soltanto da browser ricolose, ma solo una può far entrare un ladro.
come Tor (vedi voce). Spesso, il dark web è Il modo in cui i criminali forzano il lucchetto
usato da operatori che vogliono restare anoni- è un exploit.
mi. Tutto il dark web è sul deep web, ma non
tutto il deep web è sul dark web. Firma: Un’altra funzione del PGP, oltre quella
di criptare i messaggi, è l’abilità di firmare i
DDoS: Un tipo di cyberattacco diventato po- messaggi con una chiave di crittazione segreta.
polare negli ultimi anni perché è relativamente Visto che questa chiave è conosciuta soltanto
facile da eseguire e ha effetti immediati. DDoS da una persona ed è nel suo computer e da nes-
sta per attacco Distributed Denial of Service, sun’altra parte, le firme crittografiche dovreb-
che vuol dire che chi attacca sta usando bero garantire che stai parlando effettivamente
un certo numero di computer per inondare con quella persona. Questo è un buon modo
il target con dati o richieste di dati. In questo per provare sulla rete che sei davvero tu.
modo il target, che spesso è un sito, rallenta
o si blocca. Chi attacca potrebbe usare anche
il semplice Denial of Service, che è lanciato Hacker: Questo termine è diventato, erronea-
da un computer solo. mente, sinonimo di qualcuno che si introduce
illegalmente dentro un sistema. In origine, gli
Deep web: Questo termine è usato spesso hacker erano semplicemente delle persone
come sinonimo di “dark web” o “dark net”, che “esplorano i sistemi programmabili nel
ma non è corretto. Il deep web è la parte dettaglio per capire come metterli alla prova”,
dell’internet che non è indicizzata dai motori come scritto nel MIT New Hacker’s Dictio-
di ricerca. Include pagine protette da pas- nary. In realtà il termine “hacker” può essere
sword, siti con paywall, network criptati, usato sia per i buoni, anche conosciuti come
e database — cose molto noiose. “white hat”, che per cybercriminali, anche
detti “hacker black hat” o “cracker”.
DEF CON: Una delle più famose conferenze
di hacker negli USA e nel mondo. Iniziata nel Hacktivista: Qualcuno che usa le sue capacità
1992, ha luogo ogni estate a Las Vegas. di hackerare per scopi politici. Un hacktivista
può compiere piccole azioni come mettere
Evil maid attack: Come suggerito dal nome offline il sito di un ente pubblico o del gover-
in inglese, un attacco evil maid è un hack che no, ma anche rubare informazioni importanti e
richiede accesso fisico a un computer — il tipo consegnarle ai cittadini. Un esempio di gruppo
di accesso che una domestica mal intenzionata di hacktivisti molto conosciuto è Anonymous.
potrebbe avere mentre mette a posto l’ufficio
del suo capo, per esempio. Avendo accesso Hashing: Fai finta di avere un pezzo di testo
fisico, un hacker può installare un software per che dovrebbe rimanere segreto, tipo una pas-
tracciare quello che fai e potenzialmente acce- sword. Dovresti mettere il testo in una cartella
dere anche alle informazione criptate. segreta sul tuo computer, ma se qualcuno vi
accede sei comunque in pericolo. Per tenere
Exploit: È un processo per trarre vantaggio una password segreta, dovresti anche “hashar-
dalla vulnerabilità di un bug in un computer la” con un programma che esegue una fun-
o in un’applicazione. Non tutti i bug portano zione che camuffa il testo dell’informazione
a degli exploit. Pensala così: se la tua porta è originale. Questa rappresentazione astratta
rotta, può cigolare quando la apri, oppure ave- è chiamata hash. Le aziende potrebbero archi-
32
VERSIONE 1.1 AGGIORNATO AL 15.05.2018
viare password o dati relativi al riconoscimen- somware, spyware, adware e molti altri sono
to facciale con degli hash per incrementare malware.
la sicurezza.
Man-in-the-middle: Anche in forma MitM
HTTPS/SSL/TLS: Sta per Hypertext Transfer è un attacco piuttosto comune in cui qualcuno
Protocol, dove la “S” sta per “sicuro”. HTTP si intromette tra due parti, impersonandole.
è infatti l’impalcatura basilare che controlla il Ciò permette a chi attacca di intercettare e po-
modo in cui i dati vengono trasferiti sul web, tenzialmente alterare la comunicazione.
mentre HTTPS aggiunge uno strato di cripta- Con questo tipo di attacco, si può semplice-
zione che protegge la tua connessione sui siti mente ascoltare, trasmettere dati o anche alte-
principali — la tua banca, il tuo provider e i rare e manipolare il flusso di dati.
social network. HTTPS usa i protocolli SSL e
TLS non solo per proteggere la tua connessio- Metadati: I metadati sono semplicemente dati
ne ma anche per provare l’identità del sito di sui dati. Quando invii un’email, ad esempio,
modo che quando vedi https://gmail.com sei il testo rappresenta il contenuto del messaggio,
davvero sicuro che ti stai connettendo a Goo- ma l’indirizzo da cui invii il testo, l’indirizzo
gle e non a un sito falso. a cui lo invii e il momento in cui è partita sono
i metadati. Può sembrare una cosa da poco,
Infosec: Abbreviazione di “information securi- ma disponendo di una quantità sufficiente di
ty”. È il termine colloquiale per indicare quella metadati, ad esempio, la geolocalizzazione di
che è comunemente nota come cybersecurity. una foto postata sui social, può diventare sem-
plicissimo risalire all’identità o alla posizione
Jailbreak: Eludere la sicurezza di un device, di un utente.
come un iPhone o una PlayStation per rimuo-
vere le restrizioni di fabbrica, generalmente OpSec: OpSec è un acronimo di ”operational
con l’obiettivo di installarci software non security,” ovvero la sicurezza operativa, ovve-
ufficiali. ro, il processo per mantenere segrete le infor-
mazioni, online e offline. Originariamente un
Chiavi: La crittografia utilizza “chiavi” digita- termine militare, OpSec è una pratica e, in un
li. Nel caso della criptazione PGP, una chiave certo senso, una filosofia che ha come punto
pubblica viene usata per criptare i messaggi, di inizio l’identificazione di quali informazioni
mentre una segreta è usata per decriptarli. mantenere segrete e da chi si cerca di nascon-
In altri sistemi, potrebbe esserci soltanto derle. L’OpSec “buono” prende le mosse da
una chiave segreta condivisa da tutte le parti. questi principi che possono coinvolgere qualsi-
In altri casi, se chi attacca prende il controllo asi aspetto, dal trasmettere messaggi attraverso
della chiave di decriptazione, potrebbero es- i post-It al posto di usare le mail, all’utilizzo
serci buone possibilità di accedere al sistema. della crittografia digitale.
Lulz: Una variazione slang di “lol” usata rego- OTR: Cosa fai se vuoi avere una conversazio-
larmente dagli hacker black hat, di solito per ne criptata, ma in tempi rapidi? La risposta
indicare un hack o un leak fatto a spese di altri, è OTR, o Off-the-Record, un protocollo per
“for teh lulz” criptare i messaggi istantanei end-to-end.
Malware: Sta per “software maligno”. Sempli- A differenza del PGP, che è usato generalmen-
cemente si riferisce a ogni tipo di programma te per le email e fornisce a ogni persona coin-
o software progettato per danneggiare o hacke- volta una chiave pubblica e una privata,
rare una vittima. Virus, worm, trojan, ran- il protocollo OTR usa una sola chiave tempo-
33
VERSIONE 1.1 AGGIORNATO AL 15.05.2018
ranea per ogni conversazione, che le rende più Phishing: Il phishing è più una forma di in-
sicure in caso qualcuno hackeri il tuo compu- gegneria sociale che di hacking o cracking
ter e metta le mani sulle chiavi. Inoltre, l’OTR in senso proprio. In un’operazione di questo
è spesso più facile da usare del PGP. tipo, in genere un hacker contatta la vittima
per estrarre specifiche informazioni che pos-
Password manager: Usare la stessa password sono essere usate in un attacco successivo.
per tutti i login — dall’account bancario a Se- Ad esempio, può fingere di essere il servizio
amless, passando per Tinder — è una pessima clienti di Google o Facebook, o l’operatore
idea. A un hacker basta infilarsi con successo telefonico della vittima, e chiederle di cliccare
in un solo account per poter accedere a tutti gli su un link maligno o di inviare informazioni
altri. Ma memorizzare una stringa di caratteri — tipo la propria password — in una email.
unica per ogni piattaforma è un incubo. Ecco Gli hacker eseguono migliaia di tentativi di
a cosa serve un password manager: si tratta phishing alla volta, ma possono anche compie-
di un software che conserva tutte le password re attacchi più specifici, noti come spearphi-
al tuo posto, e può anche generare automati- shing.
camente password lunghe e complicate. Devi
solo ricordarti la password per il tuo password Plaintext: Esattamente quello che pensi —
manager, fare login e accedere a tutti gli altri un testo non criptato. Questa definizione stes-
login. sa è plaintext. Puoi sentire parlare di plaintext
in riferimento a “cleartext” ovvero testo “in
Penetration testing o pentesting: Se installi chiaro”. Le aziende con poca sicurezza potreb-
un sistema di sicurezza in casa, in ufficio bero avere le password in plaintext, anche se
o nella tua azienda, vuoi sicuramente che sia la cartella in cui le tengono è criptata, in attesa
al sicuro da qualsiasi malintenzionato, giusto? che un hacker le rubi.
Un buon modo per testare la sicurezza di un si-
stema è assumere una persona — un pentester Pwned: È gergo tecnico da nerd per il verbo
— perché esegua attacchi di proposito, così “own”, appropriarsi. Nel mondo dei videogio-
da capire eventuali punti deboli. Il pentesting chi, un giocatore che ne batte un altro può dire
è legato ai red team, benché possa essere fatto “I pwned you”. Tra gli hacker, il termine ha un
anche in modo più strutturato e meno aggres- significato simile, solo che riguarda l’accesso
sivo. a un altro computer. Esiste un sito “Have I
Been Pwned”, che ti dirà se i tuoi account
PGP: “Pretty Good Privacy” è un modo di sono mai stati compromessi.
criptare i dati, di solito email, così se qualcu-
no li intercetta vedrà un testo alterato. Mette RAT: Sta per “Remote Access Tool” o “Remo-
in atto un sistema di crittografia asimmetrica, te Access Trojan”. Un RAT può essere molto
quindi la persona che manda il messaggio usa dannoso se usato come malware. Se qualcuno
una chiave di criptazione “pubblica” mentre installa un RAT sul tuo computer può prender-
chi lo riceve usa una chiave “privata” per de- ne il controllo completo. C’è anche un busi-
codificarlo. Anche se ha più di vent’anni, ness di RAT per chi vuole accedere da casa
è ancora un formidabile metodo di criptazione, alla propria postazione di lavoro. Il lato negati-
anche se è notoriamente un po’ difficile da usa- vo? Molti di quelli maligni sono disponibili
re anche per gli utenti con più esperienza. su internet, anche gratis, e possono essere usati
da chi non ha grosse conoscenze nel campo.
34
VERSIONE 1.1 AGGIORNATO AL 15.05.2018
Ransomware: È un tipo di malware che blocca Shodan puoi trovare webcam non protette,
il tuo computer e non ti fa accedere ai file. stampanti, dispositivi medici, pompe del gas e
Ti mostra un messaggio che ti dice quanto persino turbine eoliche. Anche se suona terrifi-
devi pagare e dove mandare i soldi, solitamen- cante, il suo valore è proprio quello di aiutare
te in bitcoin, per avere indietro i tuoi file. i ricercatori a trovare questi device e ad avver-
Si tratta di un buon racket per gli hacker, tire i loro proprietari per metterli al sicuro.
e molti lo considerano un’epidemia perché
spesso le persone tendono a pagare qualche Side channel: L’hardware del tuo computer
centinaio di euro pur di riavere il loro compu- emette continuamente dei segnali elettrici va-
ter. All’inizio del 2016 una clinica medica di gamente percepibili. Un attacco side channel
Hollywood ha pagato 17.000 dollari per riave- mira a identificare i pattern di questo segnale
re indietro per capire che tipo di operazioni sta facendo
i computer. la macchina. Per esempio, un hacker che
“ascolta” il tuo hard drive mentre sta generan-
Red team: Per testare la sicurezza dei loro do una password di crittazione potrebbe effet-
computer, e per trovare eventuali vulnerabilità, tivamente essere in grado di ricostruirla,
le aziende possono assumere degli hacker per e rubarla senza che tu lo sappia.
organizzarli in un “red team” che attacchi il si-
stema e tenti di metterlo sotto sopra. In questi Sniffing: È un modo di intercettare i dati invia-
casi, essere hackerati è un bene, perché si pos- ti attraverso un network senza essere scoperti,
sono mettere a posto le vulnerabilità prima che usando dei particolari software che “sniffano”.
lo faccia qualcun altro. È un concetto generale, Una volta raccolti i dati, un hacker può utiliz-
usato anche nella strategia militare. zarli per ottenere informazioni utili, come le
password. È considerato particolarmente peri-
Root: Nella maggior parte dei computer, coloso perché è difficile da individuare e può
“root” è il nome più comune dato ai livelli agire sia dentro che fuori dal network.
d’accesso al sistema più importanti, oppure
è il nome dell’account che ha questi privile- Ingegneria sociale: Non tutti gli hack vengo-
gi. Il che significa che il “root” può installare no compiuti guardando uno schermo nero
applicazioni, cancellare e creare file. Se gli con caratteri in verde come nel film Matrix.
hacker vi accedono possono fare quello che A volte, ottenere l’ingresso a un sistema sicuro
vogliono con il computer o con il sistema che è facile tanto quanto telefonare o mandare una
hanno compromesso. Questo è il sacro graal mail spacciandosi per qualcun altro — tipo per
dell’hacking. qualcuno che ha normalmente accesso a una
password ma l’ha dimenticata proprio quel
Rootkit: È un particolare tipo di malware col- giorno. Anche il phishing include degli aspetti
locato in profondità nel sistema e attivato ogni di ingegneria sociale, perché includono l’atto
volta che lo accendi, anche prima del sistema di convincere qualcuno della legittimità del
operativo. Questo rende il rootkit difficile da mittente di un’email.
intercettare, persistente, e in grado di catturare
praticamente tutti i dati del computer infettato. Spoofing: Gli hacker possono attuare un at-
tacco phishing creando un indirizzo email, per
Shodan: È soprannominato “il Google degli esempio, di modo che assomigli a quello che
hacker” o “motore di ricerca terrificante”. una persona conosce. Questo è spoofing.
Pensatelo come un Google per i dispositivi
connessi piuttosto che per i siti web. Usando
35
VERSIONE 1.1 AGGIORNATO AL 15.05.2018
Può essere usato per gli scam telefonici gere il ruolo, ad esempio, di un ulteriore livello
o per creare un indirizzo fake per un sito. di sicurezza in aggiunta alla password. L’idea
alla sua base è che anche nell’eventualità in
Spyware: È un particolare tipo di malware cui una password o una chiave di decrittazione
fatto per spiare, monitorare e potenzialmente venissero rubata, l’hacker avrebbe bisogno di
rubare dei dati. un vero e proprio token fisico per sfruttarle.
State actor: Sono hacker o gruppi di hacker Tor: Tor è l’abbreviazione di The Onion Rou-
pagati da un governo. Potenzialmente, sono ter. Originariamente sviluppato dal Naval
formidabili perché possono avere risorse finan- Research Laboratory degli Stati Uniti, viene
ziarie illimitate. Pensate, per esempio, ora utilizzato sia dai cattivi (hacker, pedofili)
all’NSA. A volte, comunque, gli state actor che dai buoni (attivisti, giornalisti) per rende-
possono essere anche un gruppo di hacker che re anonime le loro attività online. L’idea alle
ricevono supporto tacito, come per esempio base è che una rete di computer sparsa in tutto
la Syrian Electronic Army. il mondo — alcuni gestiti da università, alcuni
Tails: Tails è l’acronimo per The Amnesic da utenti comuni, altri dal governo — instradi
Incognito Live System. Se avete veramente il vostro traffico in modo estremamente tortuo-
a cuore la vostra digital security, sappiate che so per mascherare la vostra reale posizione.
è il sistema operativo approvato da Edward Il Tor network è questa rete di computer gesti-
Snowden. Tails è un sistema che fa sì che ta da volontari. Il Tor Project è l’organizzazio-
il vostro computer non ricordi nulla, è come ne no-profit che si occupa della manutenzione
una macchina nuova ogni volta che si avvia. del software Tor. Il Tor browser è invece il
Il software è libero e open source. Sebbene software gratuito che permette di utilizzare
l’opinione in proposito sia generalmente posi- Tor.
tiva, sono stati riscontrati dei difetti nella sua Verifica (dump): Processo attraverso il quale
sicurezza. reporter e ricercatori di sicurezza esaminano
Threat model: Immagina un gioco di scacchi, i dati hackerati. Questo processo è importante
è il tuo turno e stai pensando a tutte le mosse per assicurarsi che i dati siano autentici e le
possibili del tuo sfidante. Hai lasciato la regina affermazioni di hacker anonimi in merito siano
scoperta? Il tuo re è messo all’angolo? Questo vere e non solo un tentativo di ottenere noto-
è quello che fanno i ricercatori nel campo della rietà o fare soldi truffando le persone sul dark
sicurezza quando progettano un treat model. web.
È un termine acchiappatutto usato per descri- Virus: È un tipo di malware tipicamente na-
vere le capacità del nemico da cui ti devi tute- scosto dentro un programma o un file. Diver-
lare e le tue vulnerabilità. Sei un attivista alle samente dal worm (vedi voce), ha bisogno
prese con un team di hacker dello stato? Il tuo dell’azione umana per diffondersi: ci vuole
threat model deve essere bello robusto. Vuoi un essere umano per creare un allegato infetto,
verificare la sicurezza di una connessione nel e un altro per scaricarlo. I virus possono infet-
mezzo del nulla? Forse non è il caso di preoc- tare i computer e rubare dati, cancellarli
cuparsi troppo. o criptarli o incasinarli in qualsiasi altro modo.
Token: Piccolo dispositivo fisico che permette VPN: VPN è l’acronimo di Virtual Private
al suo proprietario di accedere o autenticarsi a Network. Le VPN utilizzano la crittografia
un determinato servizio. I token possono svol- per creare un canale privato e sicuro per con-
36
VERSIONE 1.1 AGGIORNATO AL 15.05.2018
37