La

Guida
di
Motherboard
Per
Non
Farsi
Hackerare
VERSIONE 1.1 AGGIORNATO AL 15.05.2018

La Guida di
Motherboard per
non Farsi Hackerare

Una delle domande che ci fanno più spesso qui nessi alla rete, droni volanti che trasportano
a Motherboard è “Cosa posso fare per proteg- computer con software per effettuare attacchi
germi da un attacco hacker?” informatici; per non parlare dei pericoli lega-
ti all’archiviazione delle nostre informazioni
Dato che vivere nella società moderna signi- genetiche.
fica affidarsi in misura sempre maggiore nelle
mani di terze parti, la risposta è spesso “Non Questo non significa che sia tutto inutile.
molto”. Prendete, ad esempio, l’enorme at- Ci sono un sacco di cose che si possono fare
tacco a Equifax — LA società americana di per rendere la vita più complicata agli hacker
controllo del credito dei consumatori — che intenzionati ad accedere ai vostri dispositivi
ha coinvolto all’incirca metà della popolazione o ai vostri account, e lo scopo di questa guida
americana: alcune persone si erano iscritte al è quello di fornirvi dei chiari e semplici punti
servizio proprio perché volevano proteggersi da seguire per incrementare il vostro livello di
da eventuali attacchi, eppure i loro dati sono sicurezza digitale. Esistono, grosso modo, due
stati rubati. tipi di attacchi: quelli che gli utenti non posso-
no evitare e quelli che normalmente possono
Gli hacker possono entrare in possesso di cen- essere prevenuti. Noi vogliamo aiutarvi
tinaia di milioni di password in un colpo solo a ridurre i danni causati dai primi ed evitare
e creare interruzioni di servizio di proporzioni che i secondi si verifichino.
notevoli. Non ci possiamo aspettare che in fu-
turo le cose migliorino se pensiamo che presto In quanto singoli utenti, non potete far niente
avremo a che fare con robot domestici intelli- per impedire al vostro provider e-mail o all’a-
genti che potrebbero essere manomessi zienda che custodisce i vostri dati finanziari
e programmati per uccidere, gingilli in grado di essere bersaglio di un hacker. Ma potete
di causare veri e propri disastri una volta con- certamente evitare attacchi di phishing che

1
VERSIONE 1.1 AGGIORNATO AL 15.05.2018

permetterebbero a un hacker di accedere al

vostro account di posta elettronica, e potreste Ad ogni modo,
anche impedire che una vostra password finita
in mezzo a un furto di dati su vasta scala ven-
basta con le chiacchiere.
ga riutilizzata per accedere a un altro vostro Ecco la GUIDA DI
account su cui magari avete usato la stessa
password. MOTHERBOARD
Questa guida è in continuo aggiornamento
CONTRO GLI ATTACCHI
e non è adattabile ad ogni singolo caso; non HACKER
esistono cose come “la sicurezza perfetta” e
non ci sono soluzioni per tutti. Ma speriamo
che possa essere un buon punto di partenza per
chi ha intenzione di mettere al riparo la propria
vita digitale. Questo è il motivo per il quale
abbiamo cercato di mantenere questa guida il
più accessibile possibile, ma se vi capita di im-
battervi in un qualche termine tecnico che non
conoscete, c’è un glossario alla fine.

Questo è un lavoro a cui hanno partecipato

membri dello staff di Motherboard del presen-
te e del passato, ed è stata esaminata da molte
delle nostre fonti. Hanno collaborato Loren-
zo Franceschi-Bicchierai, Joseph Cox, Sarah
Jeong e Jason Koebler, ma i suggerimenti che
trovate al suo interno nascono grazie a un per-
corso fatto di anni di articoli e ricerche sulla
sicurezza digitale portato avanti da dozzine
di reporter e di professionisti appartenenti al
campo dell’information security. Considera-
tela un work-in-progress: apporteremo piccoli
aggiornamenti nel caso si presentassero nuove
e rilevanti vulnerabilità. Un ringraziamento
speciale a Matt Mitchell di Crypto Harlem e
a Eva Galperin della Electronic Frontier Foun-
dation per aver revisionato alcune parti
di questa guida.

Versione italiana a cura di

Antonella Di Biase, Federico Nejrotti,
Giulia Trincardi e Federico Martelli
Traduzione di Alessandro Franchi
Adattamento grafico di Pietro Amoruoso

2
VERSIONE 1.1 AGGIORNATO AL 15.05.2018

indice

04 Le basi della 19 Privacy,

sicurezza digitale Messaggistica
05 Il Threat Modeling e sorveglianza
07 Tenete aggiornati i vostri software governativa
08 Le Password
10 L’autenticazione a due fattori 20 Il Threat Modeling
(per privacy e sorveglianza)
21 Signal
15 La sicurezza dei 22 Social Media
23 Le Telecamere e i Microfoni
dispositivi mobili
23 Bloccate lo Schermo
16 Il Threat Modeling 23 Usate OTR per chattare
(per gli smartphone) 24 Il Browser Tor
17 iPhone vs Android 25 Le Virtual Private Network
17 La sicurezza di Android 25 Il PGP
18 SIM Card & Sicurezza dell’account 25 Provider di Email e Server
26 Criptare gli Hardware
26 Carte di Credito
27 Note per i Giornalisti
27 Il Futuro
27 Disconnettersi

30 Glossario di Hacking
e Cyber-parole
3
VERSIONE 1.1 AGGIORNATO AL 15.05.2018

Le basi
della
sicurezza
digitale

4
VERSIONE 1.1
Il Threat
Modeling
In questa guida tutto inizia con il “threat mo-
deling”, che nel linguaggio hacker significa
stimare le probabilità di essere attaccati o sor-
vegliati. Quando ci si propone di proteggere le
proprie comunicazioni digitali è fondamentale
pensare in primo luogo a cosa si vuole proteg-
gere e dall’attacco di chi. Se chiedessimo ad
un esperto di information security se Signal è
la migliore app di messaggistica o se Tor è il
browser più sicuro, lui risponderebbe sicura-
mente “dipende dal vostro threat modeling.”
La risposta a qualsiasi domanda sulla sicurez-
za è, essenzialmente: “Dipende.”
I piani di sicurezza non sono mai identici tra
loro. Il tipo di protezione da adottare deve
tener conto di chi potrebbe tentare di accedere zione risulti necessaria?
ai vostri account o di leggere i vostri messaggi. 4. Quanto negative sarebbero le
La cattiva notizia è che non esiste una solu-
zione infallibile (perdonateci!), ma la buona
notizia è che la maggior parte delle persone
AGGIORNATO AL 15.05.2018
hanno un threat modeling che gli permette di
navigare in rete senza troppe preoccupazioni,
e di non vivere come dei reclusi paranoici.
Quindi, prima di fare qualsiasi altra cosa,
dovreste valutare il vostro threat modeling.
In sostanza, cosa state cercando di proteggere
e da chi state cercando di proteggerlo?
La Electronic Frontier Foundation, in materia
di threat modeling, consiglia di porsi queste
cinque domande:
1. Cosa volete proteggere?
2. Da chi?
3. Quante probabilità ci sono che la prote-
conseguenze di un eventuale fallimento?
5. Quante difficoltà siete disposti
ad affrontare per prevenirle?
5
VERSIONE 1.1 AGGIORNATO AL 15.05.2018

La minaccia è un ex che potrebbe tentare di In generale, però, è stata progettata per coloro
accedere al vostro account Facebook? Assicu- che vogliono conoscere lo stretto indispensa-
rarsi che nessuno sappia la vostra password, bile per rafforzare la propria sicurezza digitale.
allora, è un buon modo per iniziare. (Non con- Se il vostro threat modeling include gli hacker
dividete password importanti con le persone, della NSA o altri gruppi finanziati dallo stato
non importa chi esse siano: se state pensando come Fancy Bear, vi consigliamo di parlare
a Netflix, assicuratevi di non utilizzare quella della vostra situazione specifica con un profes-
password per nessun altro account persona- sionista qualificato.
le). State cercando di impedire che, tramite la
pratica del doxing, qualcuno raccolga i vostri
dati personali — la data del vostro complean-
no, ad esempio — per poi arrivare ad acquisire
ulteriori informazioni? Bene, tenere d’occhio
quello che si pubblica sui social potrebbe es-
sere una buona idea. E l’autenticazione a due
fattori (ne parleremo più avanti) contribuisce
in larga misura a fermare criminali ben più pe-
ricolosi. Se siete attivisti, giornalisti, o in qual-
che modo avete ragioni per temere il governo,
lo stato o rappresentanti delle forze dell’ordine
che vogliono sorvegliarvi, le misure che dove-
te adottare per proteggervi sono assai diverse
da quelle che dovreste prendere per mantenere
segreti i piani per un party a sorpresa che state
organizzando per il vostro migliore amico.

Anche sopravvalutare la minaccia potrebbe es-

sere un problema: iniziare a usare strani siste-
mi operativi personalizzati, macchine virtuali,
o un qualsiasi altro espediente tecnico quando
non è veramente necessario (o quando non si
sa come utilizzarlo), vi farà sprecare del tempo
e potrebbe farvi correre dei rischi. Nel mi-
gliore dei casi finirete per spendere un po’ più
tempo per eseguire azioni informatiche molto
banali; nell’ipotesi peggiore potreste cullarvi
in un falso senso di sicurezza con servizi e
hardware di cui non avete bisogno, soprav-
valutando quello che veramente è importante
per voi e le reali minacce nelle quali potreste
incorrere.

In alcuni punti, questa guida vi fornirà dei pas-

si specifici da seguire se avete un threat mode-
ling che include soggetti sofisticati.

6
VERSIONE 1.1 AGGIORNATO AL 15.05.2018

Tenete Aggiornati
i Vostri Software

Probabilmente la cosa più semplice e impor- Spesso i cyber-attacchi sfruttano i difetti di

tante che possiate fare per proteggervi è man- software obsoleti come vecchi browser, let-
tenere il software che utilizzate aggiornato tori PDF o programmi di elaborazione testo.
all’ultima versione. Ciò significa avere una Mantenendo tutto aggiornato, avrete meno
versione aggiornata di qualsiasi sistema opera- possibilità di diventare vittime di un malware,
tivo stiate utilizzando, e aggiornare tutte le vo- perché le ditte di produzione competenti e gli
stre app e programmi. Significa anche aggior- sviluppatori dei software rendono velocemente
nare i firmware del vostro router, i dispositivi disponibili nuove patch per i loro prodotti non
connessi e ogni altro gadget in vostro possesso appena notano il minimo segnale di un attacco.
che può connettersi alla rete.
Gli attacchi hacker scelgono spesso la strada
Tenete a mente che, sul vostro computer, non più semplice: si concentrano in prima istan-
dovete necessariamente utilizzare l’ultima ver- za sul bersaglio più debole e abbordabile. Ad
sione di un sistema operativo. In alcuni casi, esempio, gli hacker dietro il rovinoso attacco
anche le versioni un po’ più vecchie hanno ransomware divenuto noto come WannaCry
i loro aggiornamenti per la sicurezza. (Sfor- scelsero vittime che non avevano installato un
tunatamente non è più il caso di Windows XP, aggiornamento di sicurezza che era stato reso
smettete di utilizzarlo!) La cosa più importante disponibile già da diverse settimane. In altre
è che il vostro sistema operativo riceva anco- parole, sapevano che sarebbero riusciti a entra-
ra gli aggiornamenti di sicurezza e che voi li re dato che le vittime non avevano cambiato
installiate. la serratura della loro porta di ingresso, anche
se le chiavi erano già state rese disponibili
Quindi se c’è una lezione che dovete impara- a chiunque.
re da questa guida è: aggiornate, aggiornate,
aggiornate, o installate patch, installate patch,
installate patch.

7
VERSIONE 1.1
Le Password
Abbiamo tutti un sacco di password da ricor-
dare e questo è il motivo per cui alcune per-
sone preferiscono utilizzare sempre le stesse.
Riutilizzare le password è una cattiva idea
perché se, per esempio, un hacker riesce
a prendere possesso della vostra password
di Netflix o Spotify, può poi usarla per entrare
nel vostro account di car sharing o nel vostro
conto corrente e prosciugare la vostra carta di
credito. Anche se le nostre menti non sono in
realtà poi così male nel ricordarsi le password,
è quasi impossibile ricordarne dozzine che
siano sicure ed univoche.
La buona notizia è che la soluzione a questi
problemi esiste già: i password manager.
Sono app o estensioni per il browser che
tengono a mente le password al posto vostro,
aiutano a crearne di buone e semplificano la
vostra vita in rete. Se utilizzate un password
manager, dovete ricordare una sola password,
AGGIORNATO AL 15.05.2018
quella che sblocca il caveau che contiene tutte
le altre.
È bene, però, che quella password sia davvero
buona. Scordatevi le lettere maiuscole, i sim-
boli e i numeri. Il metodo più semplice per
creare una password sicura è utilizzare una
passphrase: una serie di parole scelte a caso
che siano però pronunciabili — così da essere
più semplici da memorizzare. Ad esempio:
dadi colbacco deltoide landa lucia (non usate
questa, l’abbiamo appena bruciata).
Una volta fatto questo potete utilizzare singo-
le password formate da molti caratteri per tut-
to il resto, se le create con un password mana-
ger e non le riutilizzate per altro. La password
principale è meglio che sia una passphrase
perché è più semplice da memorizzare, cosa
non necessaria per le altre, delle quali si occu-
perà il password manager.
8
VERSIONE 1.1
Intuitivamente, potreste pensare che non sia
saggio archiviare le password sul vostro com-
puter o affidarle a un password manager ester-
no al vostro personale e costante controllo.
E se un hacker riuscisse a metterci le mani?
Non è meglio tenerle tutte a mente? Be’ non
proprio: è molto più probabile che un truffatore
riutilizzi una password rubata da qualche altra
parte piuttosto che un hacker esperto decida
autonomamente di prendere come bersaglio
il vostro database di password. Per esempio,
se aveste utilizzato la stessa password su molti
siti e questa fosse stata rubata nel massiccio
attacco a Yahoo! (che ha colpito 3 miliardi di
persone), potrebbe venir facilmente riutilizzata
per il vostro account Gmail, Uber, Facebook
e su altri siti. Alcuni password manager archi-
viano le vostre password criptate nel cloud in
modo che, anche se l’azienda dovesse subire
un attacco hacker, rimarrebbero al sicuro.
Ad esempio, il password manager LastPass
è stato hackerato almeno due volte, ma nessuna
AGGIORNATO AL 15.05.2018
password è mai stata rubata perché l’azienda le
aveva archiviate al sicuro. LastPass rimane un
password manager raccomandabile anche se è
incorso in questi incidenti. Ma di nuovo, tutto
sta nel valutare il proprio threat modeling.
Quindi, per favore, utilizzate uno dei tanti pas-
sword manager disponibili, come 1Password,
LastPass o KeePass. Non c’è ragione per non
farlo. Farà sentire più tranquilli anche noi,
e renderà la vostra vita più semplice.
E se il vostro capo vi chiede di cambiare perio-
dicamente le password in nome della sicurez-
za, vi prego, ditegli che è un’idea terribile.
Se utilizzate un password manager, l’autentica-
zione a due fattori (vedete sotto) e avete delle
password sicure e univoche per ogni account,
non c’è bisogno di cambiarle ogni volta —
a meno che non sia stato violato il backend,
o la vostra password sia stata in qualche modo
rubata.
9
VERSIONE 1.1
L’Autenticazione
a Due Fattori
Avere password forti e univoche è un primo
passo importante, ma anche queste possono
essere rubate. Quindi per i vostri account più
importanti (gli account della mail, di Twitter
o di Facebook, i vostri conti bancari o finan-
ziari) dovreste aggiungere un ulteriore livello
di protezione conosciuto come autenticazione
a due fattori (o “a più fattori” o “strong authen-
tication”). Molti servizi, oggi, offrono l’auten-
ticazione a due fattori, quindi non sarebbe certo
sbagliato attivarla dove possibile. Controllate
tutti i servizi su questo sito: twofactorauth.org.
Abilitando questo tipo di autenticazione non
basterà solo la vostra password per avere ac-
cesso ai vostri account. Avrete bisogno anche
di qualcos’altro, che di solito è un codice nu-
merico inviato tramite SMS sul vostro telefo-
no, o un codice generato da una app apposita-
AGGIORNATO AL 15.05.2018
mente creata (che può tornare utile se il vostro
telefono non ha copertura nel momento in cui
cercate di accedere), o un piccolo apparecchio
fisico come un token USB (talvolta chiamato
U2F security key o YubiKey, prendendo
il nome dai brand più conosciuti).
Negli ultimi anni si è spesso discusso della
sicurezza degli SMS come “secondo fattore”.
L’attivista Deray McKesson era stato derubato
del suo numero di telefono e gli hacker erano
così riusciti a trovare il modo di ricevere i mes-
saggi con i codici di sicurezza che proteggeva-
no i suoi account. E il National Institute of
Standards and Technology (NIST), una sezione
del governo degli Stati Uniti che scrive linee
guida su regole e misure, inclusa la sicurezza,
ha recentemente scoraggiato l’uso dell’autenti-
cazione a due fattori tramite SMS.
10
VERSIONE 1.1 AGGIORNATO AL 15.05.2018

L’attacco a Deray è stato reso possibile grazie
all’ingegneria sociale. In questo caso, un ad-
detto al servizio clienti è stato indotto con l’in-
ganno a rendere Deray vulnerabile. La truffa
è consistita nel farsi inviare dalla sua compag-
nia telefonica una nuova scheda SIM per met-
tere le mani sul suo numero di telefono. Ciò
ha permesso che, una volta immessa la prima
password, il secondo fattore venisse inviato
direttamente a loro. Questa è una truffa co-
mune che sta diventando sempre più frequente.
presente nel vostro computer. Gli hacker ador-
ano Flash perché ha più buchi del groviera.
La buona notizia è che molti siti ne hanno ab-
bandonato l’utilizzo, quindi non ne avrete più
realmente bisogno per godervi una completa
e intensa esperienza in rete. Prendete in con-
siderazione l’idea di eliminarlo dal vostro
computer, o almeno di cambiare le impostazi-
oni sul vostro browser, in modo da dover clic-
care ogni volta per avviarlo.

È difficile difendersi da un attacco del genere,

ed è una triste verità che non esista una forma
di sicurezza perfetta. Ma ci sono passi che si
possono compiere per rendere questi attacchi
più complessi da attuare e ne parleremo nel
dettaglio poco più avanti, nella sezione della
mobile
security.

L’autenticazione a due fattori tramite SMS può

essere raggirata ed è anche possibile utilizzare
a proprio vantaggio vulnerabilità nell’infras-
truttura delle telecomunicazioni che trasmet-
tono le nostre conversazioni, o utilizzare un
dispositivo conosciuto come IMSI-Catcher,
o Stingray, per raccogliere le conversazioni
e i vostri SMS di verifica. Non scriviamo tutto
questo per spaventarvi, ma vale la pena far
notare che anche se ogni tipo di autenticazione
a due fattori è meglio che niente, sarebbe più
consigliabile utilizzare una app di autenticazi-
one o, ancora meglio, una chiavetta fisica.

Dovreste, se il sito lo permette, usare un’altra

opzione a due fattori che non sia quella tramite
SMS, come una app di autenticazione
sul vostro smartphone (ad esempio Google
Authenticator, DUO Mobile o Authy) o un
apparecchio fisico. Se questa opzione fosse
disponibile, sarebbe un’ottima idea utilizzarla.

Non utilizzate Flash: Flash è storicamente uno

dei software più meno sicuri che sia mai stato

11
VERSIONE 1.1 AGGIORNATO AL 15.05.2018

Dos
&
Don’ts

12
VERSIONE 1.1
Dos
Do – Utilizzate un antivirus: sì, questa l’a-
vevate già sentita. Gli antivirus sono, ironi-
camente, pieni di buchi di sicurezza. Se non
siete persone a rischio di essere prese di mira
da hacker di livello avanzato, averne uno è
una buona idea. Un antivirus però non è una
panacea, e nel 2018 vi servirà qualcosa in più
per essere al sicuro. Inoltre gli antivirus, per
definizione, sono estremamente invasivi:
devono cercare a fondo nel vostro computer
per essere in grado di identificare i malware.
La conseguenza è che, per esempio, il gover-
no degli Stati Uniti ha accusato Kaspersky
Lab di aver passato al governo russo dei do-
cumenti sensibili di proprietà di uno dei suoi
clienti.
Do – Utilizzate dei plugin per la sicurezza:
a volte, ad un hacker basta farvi arrivare su
un sito pieno di malware per prendere il con-
trollo del vostro computer. Per proteggervi gli
AdBlocker, che proteggono dai malware che
sono incorporati nelle pubblicità presenti nei
siti più loschi o, a volte, anche nei siti legitti-
mi.
Un altro plugin utile è HTTPS Everywhere,
che forza il criptaggio della vostra connessio-
ne (quando il sito lo supporta). Questo non vi
salverà se il sito che state visitando nasconde
un malware ma, in alcuni casi, vi aiuterà a
impedire che gli hacker vi reindirizzino su
una falsa versione di quel sito, e in generale
vi proteggerà da quegli hacker che tentano
di interferire con la vostra connessione, ripor-
tandovi su quella valida.
AGGIORNATO AL 15.05.2018
Do – Utilizzate una VPN: le Virtual Private
Network (reti di telecomunicazione private)
sono un canale sicuro tra il vostro computer
e la rete internet. Se utilizzate una VPN,
vi collegate prima ad essa e poi alla rete
internet nella sua interezza, aggiungendo uno
strato di sicurezza e di privacy. Se state utiliz-
zando internet in uno spazio pubblico, mettia-
mo da Starbucks, in aeroporto o in un Airbnb,
lo state condividendo con persone che non
conoscete. E se un hacker fosse sul vostro
stesso network, potrebbe creare problemi alla
vostra connessione e potenzialmente al vostro
computer. Vale la pena fare qualche ricerca
sulle VPN prima di sceglierne una, perché
alcune sono di gran lunga migliori di altre
(la maggior parte di quelle gratuite non sono
infallibili nel proteggere la privacy). Consi-
gliamo Freedome, Private Internet Access o,
se siete utenti competenti, Algo.
Do – Disabilitate le macro: gli hacker pos-
sono utilizzare le macro di Microsoft Offi-
ce contenute all’interno dei documenti per
introdurre malware nel vostro computer. È
un vecchio trucco, ma è tornato in voga per
diffondere ransomware. Disabilitatele!
Do – Eseguite il backup dei file: questa non è
certo una novità, ma se temete che gli hacker
distruggano o blocchino i vostri file (ad esem-
pio con dei ransomware), allora dovete farne
un backup. Possibilmente fatelo su un hard
disk esterno mentre non siete connessi alla
rete: così, anche se ci fossero dei ransomwa-
re, il backup non verrebbe infettato.
13
VERSIONE 1.1 AGGIORNATO AL 15.05.2018

Don’ts
Don’t – Non utilizzate Flash, è uno dei Don’t – Non aprite allegati senza precauzio-
software meno sicuri di sempre. Gli hacker ni: per decenni i cybercriminali hanno nasco-
lo adorano perché ha più buchi del groviera. sto malware all’interno di allegati come Word
La buona notizia è che molti siti ne hanno o PDF. Gli antivirus a volte bloccano queste
abbandonato l’utilizzo, quindi non ne avrete minacce, ma è sempre meglio utilizzare il
più realmente bisogno. Prendete in considera- buon senso: non aprite allegati (e non clicca-
zione l’idea di eliminarlo dal vostro compu- te su link) di fonti non note o che non state
ter, o almeno di cambiare le impostazioni del aspettando. E se proprio volete farlo, ricorrete
browser in modo da dover cliccare ogni volta ad alcune precauzioni come aprire gli allegati
per avviarlo. all’interno di Chrome (senza scaricare i file).
Ancora meglio sarebbe salvare il file su Go-
Don’t – Non esponetevi troppo senza una ogle Drive per poi aprirlo al suo interno, così
ragione: alle persone piace condividere le il file viene aperto da Google e non dal vostro
proprie vite sui social. Ma vi supplichiamo, computer.
evitate di twittare foto della vostra carta
di credito o della carta di imbarco del vostro
volo, ad esempio. Più in generale, un post su
un social media è rivolto a chiunque in rete si
prenda la briga di controllare il vostro profilo,
anche se si trattasse solo di capire il vostro
indirizzo di casa tramite i percorsi segnati
su un sito come Strava, il social network
per corridori e ciclisti.

Informazioni personali come il vostro indiriz-

zo di casa o la vostra scuola possono essere
utilizzate per trovare ulteriori informazioni
attraverso schemi di ingegneria sociale.
Più informazioni personali un hacker pos-
siede, più è probabile che riesca ad accedere
a uno dei vostri account. Tenendo a mente
queste cose, magari prendete in considerazio-
ne l’idea di modificare le impostazioni sulla
privacy anche su alcuni dei vostri account.

14
VERSIONE 1.1 AGGIORNATO AL 15.05.2018

La Mobile
Security

15
VERSIONE 1.1
La Mobile Security
Adesso viviamo in un mondo dove gli smar-
tphone sono diventati i nostri principali ap-
parecchi informatici. Non solo utilizziamo i
cellulari più dei computer fissi, ma li abbiamo
con noi praticamente tutto il giorno. È sconta-
to, dunque, che gli hacker concentrino sempre
più su di essi i loro attacchi.La buona notizia
è che esistono alcuni semplici passi e precau-
zioni da seguire per minimizzare i rischi. Ecco
quali sono.
Il Threat Modeling (per gli smartphone)
La maggior parte delle persone usa codici di
accesso, password o pattern per “bloccare” il
proprio telefono. Se non lo fate anche voi, do-
vreste assolutamente! (anche se, secondo uno
studio recente, i pattern sono meno sicuri e più
facili da indovinare rispetto ai PIN o ai codici
di accesso).
AGGIORNATO AL 15.05.2018
Una delle più grandi minacce per i telefoni
è che qualcuno abbia accesso fisico al vostro
cellulare e che possa sbloccarlo. Questo si-
gnifica che la vostra sicurezza corrisponde al
vostro codice di accesso: possibilmente, evita-
te di rivelare il vostro PIN o la password,
ed evitate di utilizzare codici di accesso fa-
cilmente prevedibili come la data del vostro
compleanno. Perfino i codici di accesso più
semplici sono un buon modo per fermare
i borseggiatori o ladruncoli di strada, ma non
sono così efficaci se quello che vi preoccupa
è un partner scorretto che conosce il vostro
PIN, ad esempio.
Tenendo a mente queste cose, ecco alcuni
semplici passi da seguire per prevenire altre
minacce comuni per il vostro telefono.
16
VERSIONE 1.1 AGGIORNATO AL 15.05.2018

trebbero esserne in possesso. A parte questo,

iPhone vs Android procuratevi un iPhone, installate gli aggiorna-
Più o meno tutti nel mondo della cybersi- menti, non fate il jailbreak e molto probabil-
curezza — eccetto forse gli ingegneri che mente non correrete alcun rischio.
lavorano per Android — ritengono che gli
iPhone siano i cellulari più sicuri che si possa- Ma io adoro Android!
no avere. Ci sono diverse ragioni, ma le prin- Android è diventato il sistema operativo più
cipali sono che iOS, il sistema operativo della diffuso al mondo grazie alla sua natura decen-
Apple, è estremamente protetto. Le app sono tralizzata e open-source, e al fatto che molti
sottoposte a controlli approfondito prima di telefoni sono disponibili a prezzi parecchio
finire nell’App Store e vengono sempre testa- inferiori rispetto agli iPhone. In qualche modo,
te attraverso minuziose misure di sicurezza. questa natura open-source è stato il peccato
Ad esempio, ogni codice viene approvato e originale di Android: Google ha rinunciato
firmato digitalmente dalla Apple (una proce- al controllo, e perciò alla sicurezza, per acqui-
dura che prende il nome di code-signing) e sire una fetta di mercato. In questo modo, gli
vengono applicate limitazioni nelle interazioni aggiornamenti di sicurezza essenziali sono a
tra le app (sandboxing). Queste caratteristiche carico dell’azienda produttrice e delle compa-
fanno sì che, per gli hacker, attaccare il siste- gnie telefoniche che sono sempre molto lente
ma operativo risulti davvero difficile. Dato nel rilasciarli.
che Apple controlla l’infrastruttura iOS, mette
a disposizione per gli iPhone aggiornamenti La buona notizia è che negli ultimi due anni le
e patch istantanei; importanti upgrade per la cose sono migliorate molto. Google ha spinto
sicurezza di molti apparecchi Android possono i suoi partner a fornire ai clienti aggiornamenti
richiedere settimane o mesi per essere messi a mensili, e i dispositivi marchiati Google assi-
disposizione dei clienti. Perfino l’iPhone 5S, curano un supporto che ha pressoché la stessa
che è stato lanciato nel 2013, continua a gode- regolarità che fornisce Apple ai propri iPhone
re di questi benefici. e anche alcune delle stesse caratteristiche
di sicurezza.
Quindi, se siete tipi paranoici, l’iPhone è il cel-
lulare preconfigurato più sicuro. Ma, a meno Quindi la cosa migliore è scegliere uno smar-
che non abbiate una buona ragione per farlo, tphone Pixel o Nexus, la cui sicurezza dipende
NON fate il jailbreak. Anche se il jailbreak esclusivamente da Google.
e gli hacker che lo hanno sviluppato hanno
contribuito a rendere l’iPhone più sicuro, oggi Qualsiasi telefono Android abbiate, fate at-
farlo sul proprio telefono significa rinunciare tenzione alle app che installate. Generalmente
a gran parte delle caratteristiche che rendono gli hacker riescono a introdurre applicazioni
iPhone sicuro. In passato, hacker sono riusciti dannose su Play Store con molta facilità, quin-
a prendere di mira su larga scala solo iPhone di pensateci due volte prima di installare una
sui quali era stato effettuato un jailbreak. app poco conosciuta, oppure controllate che
la app che state scaricando sia davvero quella
Non c’è niente che non possa essere hackerato, che volete. La scorsa primavera una versione
comunque. È risaputo che alcuni governi di- falsa di WhatsApp è stata installata da più di
spongono di strumenti per l’hacking del valore un milione di utenti Android. Inoltre, rimane-
di milioni di dollari per attaccare gli iPhone, te fedeli a Play Store ed evitate di scaricare e
e forse anche alcuni sofisticati criminali po- installare applicazioni da store di terze parti

17
VERSIONE 1.1 AGGIORNATO AL 15.05.2018

che potrebbero benissimo rivelarsi pericolose.

Sulla maggior parte dei telefoni Android non In qualità di consumatori, non potete controlla-
è abilitata di default l’opzione di installare re se la vostra compagnia telefonica lascia
app di terze parti, e sarebbe meglio che questa dei bug che gli hacker possono sfruttare.
preferenza rimanesse invariata. Ma potete complicargli la vita nel momento
in cui tentano di spacciarsi per voi con gli
Per proteggere i dati sul vostro telefono An- ingenui dipendenti del supporto tecnico.
droid, assicuratevi che sia abilitata la crittogra- La soluzione è semplice, anche se non sono
fia dell’intero disco. Se non lo avete già fatto, in tanti a conoscerla: un codice di sicurezza
aprite le Impostazioni, andate su “Sicurezza” o una password secondari da fornire quando
e cliccate su “Esegui crittografia telefono”. si chiama il proprio gestore telefonico.
(Se non ci riuscite, cercate su Google come
attivarla sul vostro modello di telefono.)

Infine, anche se non è obbligatorio, sarebbe

una buona idea installare un antivirus per tele-
fono cellulare come Lookout o Zips. Probabil-
mente non fermeranno gli hacker del governo,
ma possono risultare efficaci contro i malware
più comuni.

Bloccate quella Sim Card

Sul nostro sito, abbiamo recentemente raccon-
tato di come alcuni hacker abbiano sfruttato un
virus su un sito della T-Mobile per entrare in
possesso dei dati personali dei clienti nel ten-
tativo di raccogliere informazioni che avreb-
bero poi potuto utilizzare per impersonare le
vittime e, sfruttando le loro abilità nel campo
dell’ingegneria sociale, convincere i compo-
nenti dello staff per il supporto di T-Mobile
a emettere nuove schede SIM. Questo tipo
di attacco, noto come “SIM swap”, permette
agli hacker di acquisire il vostro numero di
telefono e di conseguenza di tutto ciò che è ad
esso connesso. Il furto di SIM è ciò che rende
l’autenticazione a due fattori tramite SMS così
pericolosa.

Il vostro numero di telefono, probabilmente,

è la strada che porta a molti altri elementi, for-
se ancora più sensibili, della vostra vita digita-
le: la vostra email, il vostro conto in banca,
i vostri backup su iCloud.

18
VERSIONE 1.1
La guida di
Motherboard
alla privacy,
alla messaggistica
e alla sorveglianza
A seguito dell’11 Settembre, gli Stati Uniti
hanno costruito un forte apparato di sorve-
glianza, indebolito le garanzie costituzionali
e limitato il possibile ricorso al sistema legale.
Dati gli enormi poteri della sorveglianza di
stato negli Stati Uniti — come del resto quel-
la dei governi di tutto il mondo — può capi-
tare di sentirsi un po’ paranoici. Non solo la
NSA, perfino la polizia locale ha più strumenti
a disposizione per ficcare il naso negli affari
delle persone più di quanto abbia mai fatto.
C’è da temere anche una terrificante quanti-
tà di sorveglianza passiva e imprevedibile: i
vostri account social possono essere citati in
giudizio, le vostre telefonate o le vostre mail
potrebbero venir prese in esame per più ampi
fini di indagine, e i metadati dei vostri telefo-
ni potrebbero essere acquisiti da alcuni IMSI
Catcher o Stingray che avevano un altro bersa-
glio.
AGGIORNATO AL 15.05.2018
Ricordate, l’anti-sorveglianza non è la cura,
è solo una contromisura che potete prendere
per proteggere voi stessi e gli altri. Probabil-
mente non sarete le persone più a rischio, ma
questo non significa che non dobbiate prendere
misure di sicurezza adeguate. La sorveglian-
za è una questione delicata: potete cercare
di prendere più provvedimenti possibili per
proteggervi ma, se mandate messaggi a qual-
cuno che non lo fa, potreste comunque essere
spiati attraverso i loro dispositivi o tramite le
loro conversazioni con altre persone (se questi
riportassero informazioni che gli avete riferito,
ad esempio).
Ecco perché è importante che le pratiche per
la buona sicurezza diventino una norma: se
non avete niente da temere, è ancora più im-
portante che utilizziate alcuni di questi stru-
menti perché, così facendo, mettereste al sicu-
ro le azioni dei vostri amici che, per esempio,
potrebbero essere immigrati senza documenti
19
VERSIONE 1.1 AGGIORNATO AL 15.05.2018

o attivisti. Il direttore della CIA scelto da Tru-
mp pensa che usare la crittografia possa essere
un’ammissione di colpevolezza. Se non si ha
“niente da nascondere”, l’uso della crittografia
può, in realtà, beneficiare persone che voglio-
no celare qualcosa. Seguendo questa guida
renderete qualcun altro più sicuro. Pensatela
come una sorta di immunità collettiva. Più le
persone praticano buone norme di sicurezza,
più tutti gli altri saranno al sicuro.
I suggerimenti forniti precedentemente sono
sempre validi: più ci si tiene alla larga dagli
attacchi hacker, meno si rischierà di essere
sorvegliati (quando si tratta di sorvegliare un
iPhone, ad esempio, i governi hanno spesso
poche opzioni oltre quella di hackerare il di-
spositivo). Ma gli strumenti di alta tecnologia
non risolvono tutti i problemi. I governi hanno
nelle mani un’arma che gli hacker criminali
non hanno: il potere della legge. Molti sugge-
rimenti in questa sezione della guida vi aiute-
ranno non solo contro le richieste giuridiche
e gli attacchi hacker governativi, ma anche
contro chiunque voglia cercare di spiarvi.
mature che variano in ogni circostanza.
Per alcune persone è facile dire “usate Signal,
usate Tor” e chiudere la faccenda, ma in realtà
non vale per tutti la stessa cosa. Ad esempio,
conosco una persona che raccontava agli amici
degli abusi del suo ex-partner tramite la chat
del gioco Words With Friends perché sapeva
che lui leggeva i suoi SMS e le sue chat di
Google. Words With Friends non ha un siste-
ma di messaggistica particolarmente sicuro
ma, in questo caso, è stata una scelta migliore
di Signal o Hangouts perché a lui non veniva
in mente di leggere quella chat.
Quando si parla di soggetti governativi, po-
trebbe risultare utile valutare la sorveglianza
sotto due aspetti differenti: la sorveglianza dei
metadati (chi siete, con chi parlate, quando lo
fate) e quella dei contenuti (di cosa state par-
lando). Come in tutte le cose, quando si scava
un po’ più a fondo, non è così semplice come
sembra. Ma se è la prima volta che ci pensate,
questo è sicuramente un buon punto di parten-
za.

Non dovete diventare degli esperti di sicurez- La legge sulla sorveglianza è complicata ma,
za. Iniziate solo a pensare ai vostri rischi per farla breve, sia la legge che l’attuale in-
e non lasciatevi intimidire dalla tecnologia. frastruttura tecnologica rendono più semplice
La sicurezza è un continuo processo di appren- entrare in possesso dei metadati piuttosto che
dimento. Le minacce e gli strumenti sviluppati dei contenuti. I metadati non sono necessa-
per metterle in atto cambiano continuamente, riamente meno importanti o meno eloquenti
ragione per cui spesso i consigli sulla privacy rispetto al dati veri e propri. Mettiamo che
e la sicurezza possono sembrare mutevoli abbiate ricevuto una telefonata da un’asso-
e contraddittori. Ma i suggerimenti che seguo- ciazione antiabortista. Voi chiamate il vostro
no sono un buon punto di partenza. partner, la vostra compagnia assicurativa (se
ce l’avete), infine vi rivolgete alla clinica per
Threat Modeling (per privacy l’aborto. Queste informazioni verranno ripor-
e sorveglianza) tate sul vostro registro telefonico e la vostra
Ricordatevi che nuovi strumenti sollevano compagnia potrebbe tranquillamente cederle
nuovi problemi. Senza threat modeling è facile al governo.
sentirsi schiacciati dalla quantità di strumenti Il vostro provider potrebbe non aver registrato
in circolazione. Il threat modeling per la sor- le telefonate, il contenuto è ancora privato.
veglianza è simile al threat modeling per gli Ma a questo punto non serve, anche con i soli
attacchi hacker ma, ovviamente, ci sono sfu- metadati sarebbe semplice farsi un’idea plausi-

20
VERSIONE 1.1 AGGIORNATO AL 15.05.2018

bile del contenuto delle conversazioni. con gli altri redattori.

Iniziate a pensare a cosa è aperto ed esposto, Queste sono tutte ottime funzionalità, e sono
e a quello che potete proteggere. A volte do- alcune delle ragioni per cui consigliamo Signal
vrete accettare che c’è ben poco da fare riguar- tra le tante altre app di messaggistica end-to-
do a un determinato canale di comunicazione. end. Anche iMessage e WhatsApp lo sono,
Se la situazione è drammatica non resta che ma hanno entrambe lati negativi.
tentare di aggirarla.
Sconsigliamo WhatsApp perchè è di proprietà
Signal di Facebook e condivide le informazioni
Signal è un servizio di messaggistica criptato dell’utente con l’azienda madre. Anche se si
per smartphone e computer desktop. È per mol- tratta solo di metadati, è in definitiva una pro-
ti — ma non per tutti — un buon modo di evi- messa che Facebook aveva fatto quando ha ac-
tare la sorveglianza. Visto che il governo ha la quistato WhatsApp ma che non ha mantenuto.
possibilità di intercettare i messaggi elettronici Pensiamo che questo la dica lunga sull’atten-
mentre vengono trasmessi, il vostro obiettivo dibilità dell’azienda al giorno d’oggi. Al mo-
è quello di utilizzare un sistema di crittografia mento Facebook sta discutendo e provvedendo
end-to-end per più comunicazioni possibili. a limitare o cessare del tutto la condivisione
di dati tra le due piattaforme.
Utilizzare Signal è semplice. Potete trovar-
lo e installarlo dallo store del vostro telefono Che Apple codifichi i messaggi end-to-end
(sull’App Store di iOS e sul Play Store di è una cosa molto positiva. Ma iMessage,
Google si chiama Signal Private Messenger di default, effettua un backup dei messaggi
ed è sviluppato da Open Whisper Systems). su iCloud, grazie al quale potete inviarli tra-
mite tutti i vostri dispositivi Apple. Questa è
Se avete il numero di telefono dell’altra perso- una funzione comoda e piacevole ma, se siete
na nella vostra lista dei contatti potrete vederli preoccupati dalla sorveglianza governativa,
su Signal e inviare loro messaggi o chiamarli. ricordate che Apple adempie alle richieste
Se anche l’altra persona ha Signal i messaggi legali del governo sui dati presenti nel vostro
verranno automaticamente criptati e tutto risul- iCloud: “Per tua comodità facciamo un backup
terà invisibile. su iCloud dei tuoi iMessage e SMS”, recita la
pagina riguardante la privacy sul sito di Apple.
Esiste anche un’applicazione desktop, quindi Puoi disattivare questa funzione, ma in teoria
potete utilizzarlo allo stesso modo in cui gli Apple potrebbe essere costretta ad accedere
utenti iOS/Mac OS utilizzano iMessage sul agli iMessage che avete mandato alle persone
loro telefono o sul loro computer. Andate sul che hanno ancora questa funzione abilitata.
sito Signal.org e scaricate l’app per il sistema
operativo che preferite. Basta seguire le istru- Signal trattiene davvero poche informazioni.
zioni, è molto semplice e intuitivo. Lo sappiamo perché Open Whisper Systems
è stato citato in giudizio dal governo lo scorso
Signal vi permette di impostare un timer per anno ed è stato costretto a cedere informazio-
i messaggi in modo che si cancellino tutti auto- ni. Le informazioni che avevano erano, però,
maticamente. L’intervallo di tempo può variare volutamente minime. Signal memorizza il nu-
ed essere anche molto breve. Questa è una fun- mero di telefono, la data di creazione dell’ac-
zione molto utile per i giornalisti che vogliono count e l’ora dell’ultima connessione ai server
proteggere le loro fonti o le loro conversazioni di Signal. Sì, è comunque qualcosa, ma non

21
VERSIONE 1.1
poi molto.
Ci sono applicazioni che sono meno sicure
anche di iMessage e WhatsApp. Ad esempio,
dovreste assolutamente evitare di utilizzare Te-
legram per comunicazioni sensibili. E Google
può leggere i vostri Hangout a meno che non
prendiate ulteriori provvedimenti per attivare
una codifica end-to-end. Ci sono molti altri
prodotti sul mercato che costituiscono una va-
lida alternativa (Wire, ad esempio) ma, come
WhatsApp e iMessage, sono creati e sovven-
zionati da aziende a scopo di lucro e non si
può mai sapere come decideranno di monetiz-
zare in futuro. Signal è un progetto no-profit
e open source. Ha i suoi difetti (ad esempio
non è pratico quanto iMessage e non ha il
lusso di avere un vasto team di sicurezza alle
spalle) quindi si potrebbe pensare di donare
qualcosa una volta che si decide di scaricarlo.
Una cosa che vale la pena menzionare è che
Signal richiede di associare il dispositivo a un
numero di telefono. Questo significa che dove-
te fidarvi a lasciare il vostro numero di telefo-
no alle persone con cui messaggiate (oppure
dovrete fare i salti mortali per usare Signal
con un numero di telefono fasullo); ci sono
molte ragioni per le quali potreste voler scrive-
re a persone senza dar loro il vostro numero
e questo è uno dei potenziali svantaggi di
Signal. Se per voi questo è un problema, pren-
dete in considerazione un’altra opzione.
Un’altra cosa da tenere a mente è che anche
se una comunicazione è codificata end-to-end
non significa che il governo non possa vederla.
Significa solamente che i suoi contenuti sono
criptati nel percorso da un’estremità all’altra.
Voi potete vedere il messaggio, il vostro de-
stinatario può vedere il messaggio. Se viene
intercettato durante il trasferimento è comple-
tamente alterato e il suo contenuto è protetto
dagli occhi di una spia.
Ma se una “estremità” è compromessa —
AGGIORNATO AL 15.05.2018
in altre parole se il vostro telefono viene
hackerato o fisicamente confiscato dal gover-
no, o se la persona a cui scrivete fa uno screen-
shot della vostra conversazione — il gioco
è finito.
La crittografia non impedisce al governo
di curiosare, lo rende solo più difficile.
Il punto è che introdurre incognite nell’equa-
zione aiuta ad aumentare il livello di privacy.
Social Media
Se postate pubblicamente sui social, tenete
presente che la polizia locale (e non solo) tiene
sotto controllo gli attivisti online. Ad esempio
Facebook, Instagram e Twitter hanno tutti for-
nito dati a prodotti di monitoraggio sui social
che i dipartimenti di polizia hanno usato per
rintracciare gli attivisti di Black Lives Matter.
Anche se modificate le impostazioni per blinda-
re la vostra privacy, le aziende di social media
sono soggette a citazioni in giudizio, ordini
della corte e richieste di dati per ottenere in-
formazioni. E spesso smollano le informazioni
senza nemmeno notificare l’utente. Per quanto
riguarda i social media, dovete pensare che
tutto quello che postate è pubblico. Questo non
significa che dovete smettere di utilizzarli, si-
gnifica soltanto che dovete essere consapevoli.
Se siete attivisti, prendete in considerazione
l’idea di usare uno pseudonimo. Se non postate
mai niente in rete, prendete comunque qualche
altra misura di sicurezza.
Chi taggate nei vostri post? Aggiungete infor-
mazioni sulla posizione? Chi fotografate e per-
ché? Prestate particolare attenzione alle foto o
ai post sulle proteste, le manifestazioni o gli in-
contri. La tecnologia di riconoscimento facciale
è ormai piuttosto sofisticata quindi, anche se
non taggate nessuno, teoricamente un algoritmo
potrebbe esaminare ed identificare gli attivisti
nella fotografia di una manifestazione. Questa
22
VERSIONE 1.1 AGGIORNATO AL 15.05.2018

funzionalità è già in atto nei suggerimenti di tag confronti del governo, altrimenti avrebbero
su Facebook.Quando scattate la foto di qualcu- pubblicato il filmato. (Ismayilova è uscita allo
no durante una protesta assicuratevi che loro scoperto e il video è stato postato in rete).
diano il consenso e conoscano le implicazioni Nel 2015 il governo azero l’ha condannata
di avere una loro foto in rete. a sette anni e mezzo di reclusione per evasione
fiscale. Attualmente è stata rilasciata in regime
Le Telecamere e i Microfoni di libertà vigilata.
Vivete attorno a delle telecamere? Se in casa
vostra utilizzate telecamere di sicurezza con- I governi hanno utilizzato l’arma sessuale
nesse alla rete o avete una webcam, adottate per ricattare i dissidenti fuori e dentro i confini
alcune misure di sicurezza. Controllate di aver del loro stato. Siatene consapevoli e proteggete
cambiato ogni password di default che era sta- la vostra privacy.
ta impostata quando vi sono state spedite
e copritele quando non le utilizzate. Bloccate lo schermo
Mettete una password o un codice di sicurezza
Se avete un laptop o uno smartphone usate uno sul vostro telefono e sul vostro computer.
sticker per coprire la telecamera frontale. Non Non fate affidamento solo sull’impronta digi-
dovete smettere di usare Facetime o di farvi tale. È più probabile che la polizia possa ob-
selfie, basta oscurare la visuale così che nessu- bligarvi legalmente a utilizzare l’impronta per
no possa vedere quando voi non lo desiderate. sbloccare il vostro telefono. Potreste avere più
La Electronic Frontier Foundation vende ade- possibilità di esercitare il vostro diritto di non
sivi oscuranti removibili per laptop (5 a 5 dol- rivelare la password.
lari) che non lasciano alcun segno sulla vostra
telecamera in modo che possiate applicarli e Usate OTR per chattare (se doveta)
toglietrli ogni volta. Prendete in considerazio- La scelta migliore per chattare con le persone
ne l’idea di comprarne un po’ e magari anche tramite computer desktop è Signal. Ma esiste
di regalarne qualcuno ai vostri amici. un’altra valida opzione che risulta particolar-
mente utile per i giornalisti.
Infine, non esiste un modo per essere comple-
tamente certi che il vostro microfono non stia Per chattare, chiudete la vostra finestra Gmail
registrando. Se vi preoccupa essere intercettati, e utilizzate OTR (Off The Record). Tenete
valutate l’idea di spegnere il vostro telefono e a mente che potete usare OTR solamente
di metterlo nel microonde (temporaneamente, se anche l’altra persona lo fa. Gli utenti Mac
a microonde spento) o di lasciarlo in un’altra possono installare Adium, chi ha il PC
stanza. Spegnere semplicemente il telefono (o Linux) dovrà installare Pidgin e il plugin
non vi assicura di essere fuori pericolo. di OTR.
E prendete in considerazione l’idea di lasciare
tutti i vostri dispositivi fuori dalla camera da Potete usare il vostro account Gmail come ID
letto quando avete un rapporto sessuale con della chat. In questo modo starete conversando
il vostro partner. tramite Hangouts, ma con un ulteriore livello
di codifica. Aprite una finestra della chat
Nel 2012 Khadija Ismayilova, una giornalista e cliccate sull’icona del lucchetto per far parti-
azera, è stata ricattata con un video hard filma- re la procedura di criptaggio. E assicuratevi
to di nascosto. L’estorsore chiese a Ismayilova di aver modificato le impostazioni in modo
di smetterla di pubblicare articoli di critica nei tale da non conservare il registro delle conver-

23
VERSIONE 1.1
sazioni quando vi scambiate messaggi codifi-
cati.Anche in questo caso la procedura end-to-
end funziona solo in quello spazio limitato. Se
l’altra persona registra le vostre conversazioni,
tutti questi sforzi potrebbero risultare inutili.
Se questo vi preoccupa, chiedete ai vostri ami-
ci di non farlo.
Il Browser TOR
Tor — che prende il suo nome dall’acronimo
di “The Onion Router” — codifica il vostro
traffico in rete smistandolo attraverso una serie
di strati di server. In questo modo, se accede-
te a un sito web, risulta impossibile capire da
dove vi state connettendo. Il modo più sempli-
ce per utilizzarlo è quello di installare il brow-
ser Tor. È come Firefox o Chrome ma molto
più lento, visto la privacy che assicura.
Usando Tor si incrementa di gran lunga la
propria privacy, ma risulterebbe alquanto sco-
modo. Non sperate, ad esempio, di guardare
Netflix su Tor.
Fate una valutazione di ciò di cui avete biso-
gno e cercate di capire quanto potete servirvi
di Tor. Ricordatevi sempre che, quando non
lo utilizzate, il vostro indirizzo IP (che può ri-
velare dove siete e dunque chi potreste essere)
è sempre alla luce del sole.
Ci sono quattro ragioni che possono spingervi
a usarlo:
• State cercando di nascondere
la vostra identità.
•Utilizzate spesso reti Wi-Fi pubbliche.
•State cercando di eludere
la censura governativa.
•Volete proteggere altre persone
che usano Tor.
AGGIORNATO AL 15.05.2018
Se siete attivisti che cercano di nascondere
la propria identità, avrete bisogno di Tor per
mascherare il vostro indirizzo IP. Questo è uno
dei casi per i quali non lo si utilizza molto.
Sarebbe controproducente se io aprissi Tor,
accedessi al mio profilo Twitter pubblico e
tweettassi, “Salve a tutti, sto twittando dagli
uffici di Vice di New York.” È come se rivelas-
si tutte le informazioni che Tor sta mascheran-
do per me.
Se vi collegate spesso a reti Wi-Fi pubbliche,
invece, (pensate a Starbucks, a un hotel o agli
aeroporti) dovreste utilizzare Tor. Fornisce be-
nefici simili a quelli delle VPN, ma senza mol-
ti dei loro svantaggi (questo argomento verrà
affrontato meglio nella prossima sezione).
Se gli Stati Uniti iniziassero a censurare alcune
aree del web come fanno molti altri governi,
Tor potrebbe aiutarvi ad aggirare questa impo-
sizione. Senz’altro Tor aiuta le persone a con-
nettersi da paesi che praticano censure in rete.
Infine, il bello di Tor è che più persone
lo usano, meno tracciabili sono anche tutti gli
altri. Quando molte persone sparse per il mon-
do cominciano a utilizzarlo autonomamente,
la protezione aumenta sempre di più.
Se vi prendeste un po’ di tempo per utilizzare
Tor ogni giorno, aiutereste le persone che ne
hanno davvero bisogno.
Ma facciamo qualche precisazione: Tor non
è inattaccabile. È risaputo che il governo ha
hackerato gruppi di utenti su Tor, come è noto
che abbia hackerato in modo massiccio utenti
che utilizzavano delle VPN. Tor, di per sé,
non elimina le possibilità di essere attaccati.
È utile per la privacy, non per la sicurezza.
Ed è progettato per rendere più difficile la vita
a chi vuole registrare il vostro traffico, ma non
per impedirlo, quindi c’è sempre un rischio.
I server che formano la rete Tor — quelli sui
quali rimbalza il vostro traffico — sono ge-
24
VERSIONE 1.1
stiti da volontari, istituzioni e organizzazioni
provenienti da tutto il mondo, alcuni dei quali
rischiano di imbattersi in problemi legali per
questo. Non sono obbligati a registrare il traffi-
co che passa attraverso di loro ma, visto che è
una rete di volontari, alcuni potrebbero esserlo.
Il rischio è mitigato dal fatto che ogni snodo
vede solo una parte del traffico che lo attra-
versa e nessuno ha accesso allo stesso tempo
all’IP dell’utente e al loro traffico codificato.
Un malintenzionato dovrebbe gestire un vasto
numero di snodi Tor per iniziare a registrare
una quantità significativa di traffico — sforzo
già di per sé complicato — ma il progetto Tor
monitora costantemente alla ricerca di qualcu-
no che potrebbe tentare di farlo.
Per difendersi della sorveglianza governativa,
Tor è meglio di una VPN e una VPN è meglio
di niente.
Non è chiaro se Tor continuerà ad esistere, in
futuro. Tor funziona parzialmente grazie a sus-
sidi governativi (come molte altre tecnologie
all’avanguardia, Tor è stato inizialmente svi-
luppato dall’esercito degli Stati Uniti). È pos-
sibile che molto presto perda la maggior parte
della sua dotazione finanziaria. Valutate l’idea
di fare una donazione al Tor Project.
Le Virtual Private Network
Quando si parla di sorveglianza governativa,
le VPN non aiutano molto. Una VPN oscura il
vostro indirizzo IP, ma se entra in gioco lo sta-
to, le VPN possono venir citate in giudizio ed
essere obbligate a fornire informazioni sull’u-
tente che potrebbero poi aiutare a identificarvi.
Ad esempio, molte compagnie VPN tengono
traccia degli indirizzi IP che si connettono,
quando e a quali siti si è effettuato l’accesso
— tutte cose che alla fine possono portare a
individuarvi, specialmente se avete usato la
vostra carta di credito per pagare l’iscrizione
alla VPN.
AGGIORNATO AL 15.05.2018
Alcune compagnie VPN sostengono di non
registrare le informazioni dell’utente. Dovete
valutare quanto vi fidate e prendere da soli
questa decisione. Se quello che vi preoccupa è
la sorveglianza dello stato, il nostro consiglio è
quello di utilizzare Tor.
PGP (probabilmente non ne vale la pena)
L’unico modo affidabile per criptare la vostra
email è PGP — noto anche come Pretty Good
Privacy. Tuttavia PGP è molto scomodo da uti-
lizzare. Lo stesso creatore, Phil Zimmermann,
ha smesso di usarlo, visto che non riesce a
farlo funzionare sul suo telefono. Il problema è
che non siete soltanto voi a dover capire come
usarlo, ma anche tutti quelli con cui parlate.
Dire a qualcuno di scaricare Signal è molto
più semplice rispetto a spiegargli nel dettaglio
come funziona la crittografia asimmetrica.
Ecco dove può tornare utile il vostro threat
modeling, per aiutarvi a capire se vale la pena
utilizzare PGP.
Server di Posta Elettronica Privati
(non lo fate)
Se il 2016 ha avuto un merito, è stato quello di
convincere tutti a non utilizzare server di posta
elettronica privati. È vero che Google e altre
aziende devono rispettare gli ordini delle corti
di giustizia riguardo alle vostre informazioni,
incluse le vostre email, ma d’altra parte Goo-
gle sa come gestire i server di posta elettronica
molto meglio di voi. I server delle email sono
complessi, provate a chiederlo a Hillary Clin-
ton.
Se state criptando l’email, Google può mettere
le mani soltanto sui metadati (mittente, desti-
natario e oggetto del messaggio). Dato che
criptare l’email è molto complicato, cercate
di tenere i dati sensibili al di fuori della posta
elettronica e di utilizzare al suo posto i canali
criptati end-to-end. Non abbandonate i vostri
account email di terze parti, ma siate consape-
voli che il governo può averne accesso.
25
VERSIONE 1.1
Criptate il vostro Hard Disk
Buona notizia: non è più così difficile come
lo era un tempo. La codifica dell’intero disco
comporta che una volta che il tuo dispositivo è
bloccato (quando è spento o quando è acceso
con lo schermo bloccato), i contenuti del vo-
stro disco rigido non sono accessibili senza la
vostra password/chiave.
Molti smartphone nascono già con la completa
codifica del disco. Se possedete un iPhone con
un sistema operativo recentemente aggiornato
(in realtà negli ultimi tre anni), metteteci sopra
un codice di sicurezza e siete a posto.
Se avete un telefono Android, potrebbe già
essere criptato di default (Google Pixel lo è).
Ma è probabile che non lo sia. Non esiste una
guida aggiornata su come attivare la codifica
per tutti i dispositivi Android, quindi, dovrete
andare a curiosare in giro voi stessi oppure
chiedere a un amico. E se avete un Windows
phone, che Dio vi aiuti, perché noi non possia-
mo.
Per quanto riguarda i computer, di nuovo,
le cose sono diventate molto più semplici di
quanto lo fossero in precedenza. Basta utilizza-
re l’opzione per la crittografia dell’intero disco
del vostro sistema operativo. Per i MacBook
che hanno installato Lion o un sistema più
recente, attivate FileVault.
Per Windows, invece, risulta tutto più com-
plicato. Innanzitutto, alcuni utenti hanno atti-
vato un sistema di crittografia di default. Altri
possono attivarlo, ma è abbastanza difficile. E
se invece avete Microsoft Bitlocker, dovrete
trafficare con ulteriori impostazioni per ren-
derlo più sicuro. La Apple non ha il potere di
sbloccare i vostri dispositivi. Com’è noto, se il
governo si rivolge alla Apple, la Apple non può
prendere e decodificare il vostro telefono per i
federali, se non elaborando un bug che colpi-
AGGIORNATO AL 15.05.2018
rebbe tutti gli iPhone in circolazione. Micro-
soft non fa la stessa cosa — in alcuni casi usa
la pratica nota come “key escrow”, che per-
mette di decodificare il vostro dispositivo —
dunque dovete prendere ulteriori precauzioni
(specificate in questo articolo) per raggiungere
lo stesso livello di protezione.
Potreste aver bisogno di far ricorso a Vera-
Crypt. Molte guide più datate vi diranno di
utilizzare TrueCrypt, a prescindere dal sistema
operativo. È un consiglio che adesso non è più
valido. VeraCrypt era TrueCrypt e la storia
del perché non lo è più è una contorta crit-
to-soap-opera con dei buchi nella trama della
grandezza di Marte, e francamente al di fuori
dell’ambito di questa guida. Per farla breve,
a quanto dicono gli esperti non c’è niente che
non vada in VeraCrypt ma, se ne avete la possi-
bilità, utilizzate la crittografia completa del di-
sco che vi fornisce il vostro sistema operativo.
Se usate Linux, il vostro disco ha sicuramente
un sistema di crittografia già preconfigurato.
Seguite le istruzioni mentre lo installate.
Carte di Credito
Sappiate che le compagnie delle carte di credi-
to non scendono mai in campo contro il gover-
no. Se pagate qualcosa utilizzando la vostra
carta di credito, siate consapevoli che il gover-
no può arrivare ad avere quell’informazione
piuttosto facilmente. E ricordate che, una volta
che la vostra identità tocca qualcosa, si crea
una pista che il governo può risalire fino ad
arrivarne a capo.
Ad esempio, se acquistate una gift card Visa
prepagata usando la vostra carta di credito
personale e con quella pagate una compagnia
VPN, il governo può semplicemente seguire
la pista a ritroso, trovare prima la vostra carta
e poi voi. Se pagate una compagnia VPN in
Bitcoin, ma avete comprato i Bitcoin con la
vostra carta di credito personale, sarete ugual-
26
VERSIONE 1.1
mente rintracciabili.
Questo è applicabile a qualsiasi altra cosa per
la quale utilizziate del denaro, come comprare
un dominio o un telefono economico prepa-
gato, conosciuto anche come burner. In prati-
ca, non è che si possa fare molto. Questo è il
motivo per cui consigliamo Tor invece che un
servizio VPN.
Questa è anche una delle ragioni per le quali è
così difficile procurarsi un burner che sia vera-
mente un burner (Come pagherete per prolun-
gare i servizi telefonici senza collegare a quel
telefono il vostro nome?). Non c’è una risposta
scontata. Non fingeremo di essere in grado di
dare un buon consiglio in questa circostanza.
Se vi trovate in una situazione nella quale la
vostra vita dipende dal rimanere nell’anoni-
mato, vi servirà molto di più di una qualsiasi
guida in rete.
Un ultima cosa: per adesso, ci sono organiz-
zazioni non governative che hanno il diritto
costituzionale di astenersi dal rivelare il nome
dei donatori. Ma la vostra carta di credito o
PayPal potrebbero tradirvi ugualmente. Que-
sto non significa che non dovreste fare dona-
zioni alle organizzazioni che si oppongono
agli abusi e che lottano per i diritti e le libertà
civili. Piuttosto è ancora più importante che
lo facciate. Più persone comuni lo fanno, più
i singoli donatori sono protetti dallo sguardo
indagatore e dal sospetto.
Note Speciali per i Giornalisti
Volete proteggere le vostre fonti?
I vostri appunti, le vostre chat su Slack, i vostri
Hangouts, il vostro Google Drive, Dropbox,
le interviste che avete registrato, le trascrizio-
ni e i vostri messaggi potrebbero tutti finire
in tribunale. A seconda del caso giudiziario,
potrebbe non importare se questi siano criptati
o meno.
AGGIORNATO AL 15.05.2018
Non aspettate l’imminenza di una causa per
cancellare tutte le vostre cose. Potrebbero
essere illegali e potreste rischiare di finire in
prigione. Ogni situazione è diversa: i vostri ap-
punti potrebbero risultare necessari per scagio-
narvi. Quindi se siete dei tipi che accumulano
gli appunti in modo compulsivo, informatevi
sui rischi, parlate con un avvocato e comporta-
tevi responsabilmente.
Il Futuro (?)
Questo ci porta al nostro prossimo punto: non
sappiamo cosa ha in serbo il futuro. Questa
guida è stata scritta tenendo a mente le attuali
potenzialità tecniche e legali del governo degli
Stati Uniti. Ma tutto questo in futuro potrebbe
cambiare. Una crittografia solida potrebbe di-
ventare illegale. I paesi in cui viviamo potreb-
bero iniziare a mettere in pratica una censura
in rete allo stesso modo della Cina e di altre
nazioni. Il governo potrebbe istituire una poli-
tica sui codici di identificazione per connetter-
si alla rete, rendendo praticamente impossibile
postare nell’anonimato.
Queste cose sono più difficili da attuare e
rendere effettive, quindi è improbabile che si
verifichino nel breve termine. Non è impossi-
bile che il governo faccia pressione sugli app
store per togliere Signal e altre applicazioni di
crittografia end-to-end. Questa guida potrebbe
essere valida solo fino ad allora. Ecco un mo-
tivo in più per agire immediatamente contro la
sorveglianza e per continuare ad adattarsi alle
circostanze che si verranno a creare.
Disconnettetevi
In molti luoghi pubblici ci sono telecamere,
alcuni posti sono pieni di microfoni. E c’è
sempre la possibilità che possiate essere presi
di mira per essere sorvegliati. Ma, in ultima
analisi, è molto più difficile sorvegliare qual-
cuno di specifico dal vivo piuttosto che racco-
gliere le comunicazioni elettroniche di molte
27
VERSIONE 1.1
persone allo stesso tempo.
Prendetevi una pausa dal mondo in rete e in-
contrate gli altri di persona. Se rimanete fuori
dalla portata dell’orecchio non verrete spiati
e le vostre parole svaniranno nell’aria, senza
essere sorvegliate o registrate.
Oltretutto, se state leggendo questa guida, è
probabile che a questo punto abbiate proprio
bisogno di un abbraccio.
Quindi incontratevi con gli amici, verificate
le vostre chiavi di Signal e scambiatevi un
bell’abbraccio. Perché probabilmente sarete
entrambi spaventati e avrete bisogno l’uno
dell’altro, più di quanto possiate aver bisogno
di queste tecnologie.
Andate e siate prudenti
Per adesso è tutto. Di nuovo, questa voleva
essere una semplice guida per utenti di me-
dio livello. Quindi se siete attivisti per i diritti
AGGIORNATO AL 15.05.2018
umani che lavorano in una nazione ad alto
rischio o in una zona di conflitto o un’organiz-
zazione che costruisce infrastrutture informa-
tiche in tempi ristretti, tutto questo non sarà
certo abbastanza e dovrete prendere ulteriori
precauzioni.
Ma questi sono suggerimenti base che seguono
il buonsenso e che tutti dovrebbero conoscere.
Ovviamente alcuni lettori non esiteranno a
far notare tutto quello che questa guida si è
dimenticata di dire, ma noi saremmo conten-
ti di avere il vostro feedback. La sicurezza
è un mondo in costante evoluzione e quello
che oggi è un buon consiglio potrebbe non
esserlo più domani, quindi il nostro obiettivo
è quello di aggiornare questa guida piuttosto
regolarmente e dunque, per favore, non esitate
a contattarci se pensate che manchi qualcosa o
che ci sia qualche errore.
E ricordate, prestate sempre attenzione!
28
VERSIONE 1.1 AGGIORNATO AL 15.05.2018

E ricordate,
prestate
sempre
attenzione!
Per ora è tutto. Di nuovo, questa è una guida
basilare pensata per l’utente medio. Quindi se
siete attivisti che lavorano in zone pericolose
o di guerra, o lavorate per un’organizzazione
che costruisce infrastrutture IT, questi consigli
non sono abbastanza.

Ovviamente, alcuni lettori noteranno la man-

canza di qualcosa, e ci piacerebbe che ce lo
segnalassero. Il mondo della sicurezza è in
costante cambiamento, e dei buoni consigli
validi oggi potrebbero non esserlo domani.
Il nostro obiettivo, comunque, è aggiornare
questa guida periodicamente. Quindi se ave-
te dei suggerimenti contattateci all’indirizzo
itmotherboard@vice.com.

E ricordate: state sempre attenti!

29
VERSIONE 1.1 AGGIORNATO AL 15.05.2018

Glossario
di Hacking
e Cyber-
Parole

30
VERSIONE 1.1 AGGIORNATO AL 15.05.2018

Attribuzione: È il processo per stabilire chi Cracking: Un termine generale che indica l’at-
è l’autore di un hack. Spesso, l’attribuzione to di entrare in un sistema di sicurezza, spesso
è la parte più difficile dell’indagine perché gli per fini malvagi. Secondo il New Hacker’s
hacker con una certa esperienza si nascondono Dictionary pubblicato da MIT Press, le parole
dietro strati di servizi che mascherano la loro “hacking” e “hacker” sono abbreviazioni delle
collocazione e la loro identità. Molti incidenti parole “cracking” e “crack”. Ma gli hacker
potrebbero non avere mai un’attribuzione. non sono per forza cattivi, i cracker sì. Inoltre,
la parola cracking si usa anche per indicare
Backdoor: Entrare in un sistema protetto una violazione del copyright e in molti altri
usando una password è come sfondare la porta contesti senza necessariamente una connota-
principale. Alcune aziende potrebbero co- zione negativa.
struire delle “backdoor” nei loro sistemi per
permettere agli sviluppatori di saltare l’auten- Crypto: Abbreviazione di crittografia, la scien-
ticazione e entrarci direttamente. Le backdoor, za della comunicazione segreta o l’insieme
di solito, sono segrete ma potrebbero essere delle procedure per nascondere i dati e i mes-
violate dagli hacker se vengono scoperte. saggi attraverso la criptazione (vedi voce).
Black hat: Un hacker che mira al proprio Certificato Digitale: È un passaporto digitale
tornaconto personale o che si dedica ad attivi- o un timbro di approvazione che attesta l’iden-
tà illecite. Contrariamente al white hat (vedi tità di una persona, un sito o un servizio
voce), che di solito lavora per mettere in guar- su internet. In termini più tecnici, un certificato
dia le aziende e migliorare i servizi, il black digitale prova che qualcuno è in possesso di
hat vende le vulnerabilità che scopre agli altri una certa chiave crittografica che, tradizional-
hacker per permettere loro di utilizzarle. mente, non può essere contraffatta. I certificati
Botnet: Il tuo computer fa parte di una botnet? digitali più comuni sono quelli dei siti a con-
Forse sì, ma non lo sai. Le botnet, o armate nessione criptata che sul browser appaiono
zombie, sono network di computer controllati come un lucchetto verde.
da qualcuno. Il controllo su centinaia o miglia-
ia di computer permette di mettere in atto al- Criptazione: Il processo di codificare dati
cuni tipi di cyberattacchi, come i DDoS (vedi o messaggi rendendoli illeggibili e segreti.
voce). Comprare migliaia di computer non sa- L’opposto è decrittazione, il decodificare il
rebbe economico, quindi gli hacker utilizzano messaggio. Sia la crittazione che la decritta-
i malware per infettare dei computer random zione sono funzioni della crittografia. La crit-
connessi alla rete. Se il tuo computer è infetta- tazione è usata da individui, aziende e nella
to, potrebbe seguire i comandi dell’hacker in sicurezza digitale come prodotto di consumo.
background. Criptazione End-to-end: Un particolare tipo
Bug: Probabilmente ne hai sentito parlare. di criptazione dove un messaggio o dei dati
Un bug è un’imperfezione o un errore in un vengono criptati da una parte, per esempio
software. Alcuni sono innocui o semplicemen- il computer o il telefono, e decrittati dall’altra,
te fastidiosi, ma altri possono essere sfruttati per esempio in un altro computer. I dati vengo-
dagli hacker. Ecco perché molte aziende hanno no criptati in modo che, almeno in teoria, solo
iniziato a pagare chi segnala i bug prima che chi invia e chi riceve — e nessun altro — può
siano le persone sbagliate a trovarli. leggerli.

31
VERSIONE 1.1 AGGIORNATO AL 15.05.2018

Dark web: È un insieme di siti non indicizzati re la serratura rotte. Entrambe le cose sono pe-
da Google e accessibili soltanto da browser ricolose, ma solo una può far entrare un ladro.
come Tor (vedi voce). Spesso, il dark web è Il modo in cui i criminali forzano il lucchetto
usato da operatori che vogliono restare anoni- è un exploit.
mi. Tutto il dark web è sul deep web, ma non
tutto il deep web è sul dark web. Firma: Un’altra funzione del PGP, oltre quella
di criptare i messaggi, è l’abilità di firmare i
DDoS: Un tipo di cyberattacco diventato po- messaggi con una chiave di crittazione segreta.
polare negli ultimi anni perché è relativamente Visto che questa chiave è conosciuta soltanto
facile da eseguire e ha effetti immediati. DDoS da una persona ed è nel suo computer e da nes-
sta per attacco Distributed Denial of Service, sun’altra parte, le firme crittografiche dovreb-
che vuol dire che chi attacca sta usando bero garantire che stai parlando effettivamente
un certo numero di computer per inondare con quella persona. Questo è un buon modo
il target con dati o richieste di dati. In questo per provare sulla rete che sei davvero tu.
modo il target, che spesso è un sito, rallenta
o si blocca. Chi attacca potrebbe usare anche
il semplice Denial of Service, che è lanciato Hacker: Questo termine è diventato, erronea-
da un computer solo. mente, sinonimo di qualcuno che si introduce
illegalmente dentro un sistema. In origine, gli
Deep web: Questo termine è usato spesso hacker erano semplicemente delle persone
come sinonimo di “dark web” o “dark net”, che “esplorano i sistemi programmabili nel
ma non è corretto. Il deep web è la parte dettaglio per capire come metterli alla prova”,
dell’internet che non è indicizzata dai motori come scritto nel MIT New Hacker’s Dictio-
di ricerca. Include pagine protette da pas- nary. In realtà il termine “hacker” può essere
sword, siti con paywall, network criptati, usato sia per i buoni, anche conosciuti come
e database — cose molto noiose. “white hat”, che per cybercriminali, anche
detti “hacker black hat” o “cracker”.
DEF CON: Una delle più famose conferenze
di hacker negli USA e nel mondo. Iniziata nel Hacktivista: Qualcuno che usa le sue capacità
1992, ha luogo ogni estate a Las Vegas. di hackerare per scopi politici. Un hacktivista
può compiere piccole azioni come mettere
Evil maid attack: Come suggerito dal nome offline il sito di un ente pubblico o del gover-
in inglese, un attacco evil maid è un hack che no, ma anche rubare informazioni importanti e
richiede accesso fisico a un computer — il tipo consegnarle ai cittadini. Un esempio di gruppo
di accesso che una domestica mal intenzionata di hacktivisti molto conosciuto è Anonymous.
potrebbe avere mentre mette a posto l’ufficio
del suo capo, per esempio. Avendo accesso Hashing: Fai finta di avere un pezzo di testo
fisico, un hacker può installare un software per che dovrebbe rimanere segreto, tipo una pas-
tracciare quello che fai e potenzialmente acce- sword. Dovresti mettere il testo in una cartella
dere anche alle informazione criptate. segreta sul tuo computer, ma se qualcuno vi
accede sei comunque in pericolo. Per tenere
Exploit: È un processo per trarre vantaggio una password segreta, dovresti anche “hashar-
dalla vulnerabilità di un bug in un computer la” con un programma che esegue una fun-
o in un’applicazione. Non tutti i bug portano zione che camuffa il testo dell’informazione
a degli exploit. Pensala così: se la tua porta è originale. Questa rappresentazione astratta
rotta, può cigolare quando la apri, oppure ave- è chiamata hash. Le aziende potrebbero archi-

32
VERSIONE 1.1 AGGIORNATO AL 15.05.2018

viare password o dati relativi al riconoscimen- somware, spyware, adware e molti altri sono
to facciale con degli hash per incrementare malware.
la sicurezza.
Man-in-the-middle: Anche in forma MitM
HTTPS/SSL/TLS: Sta per Hypertext Transfer è un attacco piuttosto comune in cui qualcuno
Protocol, dove la “S” sta per “sicuro”. HTTP si intromette tra due parti, impersonandole.
è infatti l’impalcatura basilare che controlla il Ciò permette a chi attacca di intercettare e po-
modo in cui i dati vengono trasferiti sul web, tenzialmente alterare la comunicazione.
mentre HTTPS aggiunge uno strato di cripta- Con questo tipo di attacco, si può semplice-
zione che protegge la tua connessione sui siti mente ascoltare, trasmettere dati o anche alte-
principali — la tua banca, il tuo provider e i rare e manipolare il flusso di dati.
social network. HTTPS usa i protocolli SSL e
TLS non solo per proteggere la tua connessio- Metadati: I metadati sono semplicemente dati
ne ma anche per provare l’identità del sito di sui dati. Quando invii un’email, ad esempio,
modo che quando vedi https://gmail.com sei il testo rappresenta il contenuto del messaggio,
davvero sicuro che ti stai connettendo a Goo- ma l’indirizzo da cui invii il testo, l’indirizzo
gle e non a un sito falso. a cui lo invii e il momento in cui è partita sono
i metadati. Può sembrare una cosa da poco,
Infosec: Abbreviazione di “information securi- ma disponendo di una quantità sufficiente di
ty”. È il termine colloquiale per indicare quella metadati, ad esempio, la geolocalizzazione di
che è comunemente nota come cybersecurity. una foto postata sui social, può diventare sem-
plicissimo risalire all’identità o alla posizione
Jailbreak: Eludere la sicurezza di un device, di un utente.
come un iPhone o una PlayStation per rimuo-
vere le restrizioni di fabbrica, generalmente OpSec: OpSec è un acronimo di ”operational
con l’obiettivo di installarci software non security,” ovvero la sicurezza operativa, ovve-
ufficiali. ro, il processo per mantenere segrete le infor-
mazioni, online e offline. Originariamente un
Chiavi: La crittografia utilizza “chiavi” digita- termine militare, OpSec è una pratica e, in un
li. Nel caso della criptazione PGP, una chiave certo senso, una filosofia che ha come punto
pubblica viene usata per criptare i messaggi, di inizio l’identificazione di quali informazioni
mentre una segreta è usata per decriptarli. mantenere segrete e da chi si cerca di nascon-
In altri sistemi, potrebbe esserci soltanto derle. L’OpSec “buono” prende le mosse da
una chiave segreta condivisa da tutte le parti. questi principi che possono coinvolgere qualsi-
In altri casi, se chi attacca prende il controllo asi aspetto, dal trasmettere messaggi attraverso
della chiave di decriptazione, potrebbero es- i post-It al posto di usare le mail, all’utilizzo
serci buone possibilità di accedere al sistema. della crittografia digitale.
Lulz: Una variazione slang di “lol” usata rego- OTR: Cosa fai se vuoi avere una conversazio-
larmente dagli hacker black hat, di solito per ne criptata, ma in tempi rapidi? La risposta
indicare un hack o un leak fatto a spese di altri, è OTR, o Off-the-Record, un protocollo per
“for teh lulz” criptare i messaggi istantanei end-to-end.
Malware: Sta per “software maligno”. Sempli- A differenza del PGP, che è usato generalmen-
cemente si riferisce a ogni tipo di programma te per le email e fornisce a ogni persona coin-
o software progettato per danneggiare o hacke- volta una chiave pubblica e una privata,
rare una vittima. Virus, worm, trojan, ran- il protocollo OTR usa una sola chiave tempo-

33
VERSIONE 1.1 AGGIORNATO AL 15.05.2018

ranea per ogni conversazione, che le rende più Phishing: Il phishing è più una forma di in-
sicure in caso qualcuno hackeri il tuo compu- gegneria sociale che di hacking o cracking
ter e metta le mani sulle chiavi. Inoltre, l’OTR in senso proprio. In un’operazione di questo
è spesso più facile da usare del PGP. tipo, in genere un hacker contatta la vittima
per estrarre specifiche informazioni che pos-
Password manager: Usare la stessa password sono essere usate in un attacco successivo.
per tutti i login — dall’account bancario a Se- Ad esempio, può fingere di essere il servizio
amless, passando per Tinder — è una pessima clienti di Google o Facebook, o l’operatore
idea. A un hacker basta infilarsi con successo telefonico della vittima, e chiederle di cliccare
in un solo account per poter accedere a tutti gli su un link maligno o di inviare informazioni
altri. Ma memorizzare una stringa di caratteri — tipo la propria password — in una email.
unica per ogni piattaforma è un incubo. Ecco Gli hacker eseguono migliaia di tentativi di
a cosa serve un password manager: si tratta phishing alla volta, ma possono anche compie-
di un software che conserva tutte le password re attacchi più specifici, noti come spearphi-
al tuo posto, e può anche generare automati- shing.
camente password lunghe e complicate. Devi
solo ricordarti la password per il tuo password Plaintext: Esattamente quello che pensi —
manager, fare login e accedere a tutti gli altri un testo non criptato. Questa definizione stes-
login. sa è plaintext. Puoi sentire parlare di plaintext
in riferimento a “cleartext” ovvero testo “in
Penetration testing o pentesting: Se installi chiaro”. Le aziende con poca sicurezza potreb-
un sistema di sicurezza in casa, in ufficio bero avere le password in plaintext, anche se
o nella tua azienda, vuoi sicuramente che sia la cartella in cui le tengono è criptata, in attesa
al sicuro da qualsiasi malintenzionato, giusto? che un hacker le rubi.
Un buon modo per testare la sicurezza di un si-
stema è assumere una persona — un pentester Pwned: È gergo tecnico da nerd per il verbo
— perché esegua attacchi di proposito, così “own”, appropriarsi. Nel mondo dei videogio-
da capire eventuali punti deboli. Il pentesting chi, un giocatore che ne batte un altro può dire
è legato ai red team, benché possa essere fatto “I pwned you”. Tra gli hacker, il termine ha un
anche in modo più strutturato e meno aggres- significato simile, solo che riguarda l’accesso
sivo. a un altro computer. Esiste un sito “Have I
Been Pwned”, che ti dirà se i tuoi account
PGP: “Pretty Good Privacy” è un modo di sono mai stati compromessi.
criptare i dati, di solito email, così se qualcu-
no li intercetta vedrà un testo alterato. Mette RAT: Sta per “Remote Access Tool” o “Remo-
in atto un sistema di crittografia asimmetrica, te Access Trojan”. Un RAT può essere molto
quindi la persona che manda il messaggio usa dannoso se usato come malware. Se qualcuno
una chiave di criptazione “pubblica” mentre installa un RAT sul tuo computer può prender-
chi lo riceve usa una chiave “privata” per de- ne il controllo completo. C’è anche un busi-
codificarlo. Anche se ha più di vent’anni, ness di RAT per chi vuole accedere da casa
è ancora un formidabile metodo di criptazione, alla propria postazione di lavoro. Il lato negati-
anche se è notoriamente un po’ difficile da usa- vo? Molti di quelli maligni sono disponibili
re anche per gli utenti con più esperienza. su internet, anche gratis, e possono essere usati
da chi non ha grosse conoscenze nel campo.

34
VERSIONE 1.1 AGGIORNATO AL 15.05.2018

Ransomware: È un tipo di malware che blocca Shodan puoi trovare webcam non protette,
il tuo computer e non ti fa accedere ai file. stampanti, dispositivi medici, pompe del gas e
Ti mostra un messaggio che ti dice quanto persino turbine eoliche. Anche se suona terrifi-
devi pagare e dove mandare i soldi, solitamen- cante, il suo valore è proprio quello di aiutare
te in bitcoin, per avere indietro i tuoi file. i ricercatori a trovare questi device e ad avver-
Si tratta di un buon racket per gli hacker, tire i loro proprietari per metterli al sicuro.
e molti lo considerano un’epidemia perché
spesso le persone tendono a pagare qualche Side channel: L’hardware del tuo computer
centinaio di euro pur di riavere il loro compu- emette continuamente dei segnali elettrici va-
ter. All’inizio del 2016 una clinica medica di gamente percepibili. Un attacco side channel
Hollywood ha pagato 17.000 dollari per riave- mira a identificare i pattern di questo segnale
re indietro per capire che tipo di operazioni sta facendo
i computer. la macchina. Per esempio, un hacker che
“ascolta” il tuo hard drive mentre sta generan-
Red team: Per testare la sicurezza dei loro do una password di crittazione potrebbe effet-
computer, e per trovare eventuali vulnerabilità, tivamente essere in grado di ricostruirla,
le aziende possono assumere degli hacker per e rubarla senza che tu lo sappia.
organizzarli in un “red team” che attacchi il si-
stema e tenti di metterlo sotto sopra. In questi Sniffing: È un modo di intercettare i dati invia-
casi, essere hackerati è un bene, perché si pos- ti attraverso un network senza essere scoperti,
sono mettere a posto le vulnerabilità prima che usando dei particolari software che “sniffano”.
lo faccia qualcun altro. È un concetto generale, Una volta raccolti i dati, un hacker può utiliz-
usato anche nella strategia militare. zarli per ottenere informazioni utili, come le
password. È considerato particolarmente peri-
Root: Nella maggior parte dei computer, coloso perché è difficile da individuare e può
“root” è il nome più comune dato ai livelli agire sia dentro che fuori dal network.
d’accesso al sistema più importanti, oppure
è il nome dell’account che ha questi privile- Ingegneria sociale: Non tutti gli hack vengo-
gi. Il che significa che il “root” può installare no compiuti guardando uno schermo nero
applicazioni, cancellare e creare file. Se gli con caratteri in verde come nel film Matrix.
hacker vi accedono possono fare quello che A volte, ottenere l’ingresso a un sistema sicuro
vogliono con il computer o con il sistema che è facile tanto quanto telefonare o mandare una
hanno compromesso. Questo è il sacro graal mail spacciandosi per qualcun altro — tipo per
dell’hacking. qualcuno che ha normalmente accesso a una
password ma l’ha dimenticata proprio quel
Rootkit: È un particolare tipo di malware col- giorno. Anche il phishing include degli aspetti
locato in profondità nel sistema e attivato ogni di ingegneria sociale, perché includono l’atto
volta che lo accendi, anche prima del sistema di convincere qualcuno della legittimità del
operativo. Questo rende il rootkit difficile da mittente di un’email.
intercettare, persistente, e in grado di catturare
praticamente tutti i dati del computer infettato. Spoofing: Gli hacker possono attuare un at-
tacco phishing creando un indirizzo email, per
Shodan: È soprannominato “il Google degli esempio, di modo che assomigli a quello che
hacker” o “motore di ricerca terrificante”. una persona conosce. Questo è spoofing.
Pensatelo come un Google per i dispositivi
connessi piuttosto che per i siti web. Usando

35
VERSIONE 1.1 AGGIORNATO AL 15.05.2018

Può essere usato per gli scam telefonici gere il ruolo, ad esempio, di un ulteriore livello
o per creare un indirizzo fake per un sito. di sicurezza in aggiunta alla password. L’idea
alla sua base è che anche nell’eventualità in
Spyware: È un particolare tipo di malware cui una password o una chiave di decrittazione
fatto per spiare, monitorare e potenzialmente venissero rubata, l’hacker avrebbe bisogno di
rubare dei dati. un vero e proprio token fisico per sfruttarle.
State actor: Sono hacker o gruppi di hacker Tor: Tor è l’abbreviazione di The Onion Rou-
pagati da un governo. Potenzialmente, sono ter. Originariamente sviluppato dal Naval
formidabili perché possono avere risorse finan- Research Laboratory degli Stati Uniti, viene
ziarie illimitate. Pensate, per esempio, ora utilizzato sia dai cattivi (hacker, pedofili)
all’NSA. A volte, comunque, gli state actor che dai buoni (attivisti, giornalisti) per rende-
possono essere anche un gruppo di hacker che re anonime le loro attività online. L’idea alle
ricevono supporto tacito, come per esempio base è che una rete di computer sparsa in tutto
la Syrian Electronic Army. il mondo — alcuni gestiti da università, alcuni
Tails: Tails è l’acronimo per The Amnesic da utenti comuni, altri dal governo — instradi
Incognito Live System. Se avete veramente il vostro traffico in modo estremamente tortuo-
a cuore la vostra digital security, sappiate che so per mascherare la vostra reale posizione.
è il sistema operativo approvato da Edward Il Tor network è questa rete di computer gesti-
Snowden. Tails è un sistema che fa sì che ta da volontari. Il Tor Project è l’organizzazio-
il vostro computer non ricordi nulla, è come ne no-profit che si occupa della manutenzione
una macchina nuova ogni volta che si avvia. del software Tor. Il Tor browser è invece il
Il software è libero e open source. Sebbene software gratuito che permette di utilizzare
l’opinione in proposito sia generalmente posi- Tor.
tiva, sono stati riscontrati dei difetti nella sua Verifica (dump): Processo attraverso il quale
sicurezza. reporter e ricercatori di sicurezza esaminano
Threat model: Immagina un gioco di scacchi, i dati hackerati. Questo processo è importante
è il tuo turno e stai pensando a tutte le mosse per assicurarsi che i dati siano autentici e le
possibili del tuo sfidante. Hai lasciato la regina affermazioni di hacker anonimi in merito siano
scoperta? Il tuo re è messo all’angolo? Questo vere e non solo un tentativo di ottenere noto-
è quello che fanno i ricercatori nel campo della rietà o fare soldi truffando le persone sul dark
sicurezza quando progettano un treat model. web.
È un termine acchiappatutto usato per descri- Virus: È un tipo di malware tipicamente na-
vere le capacità del nemico da cui ti devi tute- scosto dentro un programma o un file. Diver-
lare e le tue vulnerabilità. Sei un attivista alle samente dal worm (vedi voce), ha bisogno
prese con un team di hacker dello stato? Il tuo dell’azione umana per diffondersi: ci vuole
threat model deve essere bello robusto. Vuoi un essere umano per creare un allegato infetto,
verificare la sicurezza di una connessione nel e un altro per scaricarlo. I virus possono infet-
mezzo del nulla? Forse non è il caso di preoc- tare i computer e rubare dati, cancellarli
cuparsi troppo. o criptarli o incasinarli in qualsiasi altro modo.
Token: Piccolo dispositivo fisico che permette VPN: VPN è l’acronimo di Virtual Private
al suo proprietario di accedere o autenticarsi a Network. Le VPN utilizzano la crittografia
un determinato servizio. I token possono svol- per creare un canale privato e sicuro per con-

36
VERSIONE 1.1 AGGIORNATO AL 15.05.2018

nettersi a Internet quando si usa una rete non

affidabile (ad esempio una rete di Starbucks
o il WiFi di un Airbnb). Pensate a una VPN
come a un tunnel che parte da voi diretto verso
la vostra destinazione, scavato sotto il normale
internet. Le VPN consentono ai dipendenti
di connettersi alla rete del loro datore di lavoro
in modalità remota e aiutano anche gli utenti
comuni a proteggere la propria connessione.
Le VPN consentono inoltre agli utenti di rim-
balzare sui server di altre parti del mondo, per-
mettendo loro di apparire come se si stessero
connettendo da lì. Questo dà loro la possibilità
di aggirare la censura, come il Great Firewall
in Cina, o di visualizzare le offerte di Netflix
negli Stati Uniti mentre si trovano in Canada.
Esistono infinite VPN ed è quasi impossibile
decidere quali sono le migliori.
White hat: Un hacker con l’obiettivo di met-
tere a posto e proteggere i sistemi. Contraria-
mente ai black hat (vedi voce), non guadagna-
no dagli hack o dai bug che trovano per fare
soldi illegalmente bensì mettono in guardia le
eventuali aziende per aiutarle a mettere a posto
il problema.
Worm: Un particolare tipo di malware che
si autoreplin particolare tipo di malware che
si autoreplica in automatico, diffondendosi
da un computer all’altro. La storia di internet
è fitta di worm, dal Morris worm, il primo
in assoluto, al worm di MySpace che ha infet-
tato milioni di persone.
Zero-day: Anche detto “0day” è un bug che
il fornitore del software non ha ancora indivi-
duato o che non ha ancora una patch. Il nome
deriva dal concetto che si trae vantaggio dal
fatto che sono passati zero giorni tra la scoper-
ta del bug e il primo attacco. Sono i bug più
preziosi per gli hacker perché devono ancora
trovare soluzione, quindi è praticamente certo
che funzionino.

37