MARCO ALMERIGOGNA

Management & Technology Blog

Mini guida alla sicurezza informatica personale

Guida pratica ai 10 punti che possono garantirvi senza fatica una migliore tutela della vostra attività online   19 marzo 2020
 19 marzo 2020
porta chiusa a chiave

Abstract

La privacy online è un insieme di temi che spaziano dalla sicurezza dell'accesso ai propri account online, alla gestione dei dati sul PC o sullo smartphone, al presidio della rete di casa e alla cautela nella navigazione in rete, all'uso di chat, mail, scambio di documenti, fino all'identità digitale delle persone, e ai metadati di cui poco si sa ma tanto sono importanti. Questo articolo affronta in maniera semplice ognuno de 10 temi ed offre soluzioni pratiche con indicazioni di programmi e servizi che non costano nulla ma possono essere di grande aiuto nel tutelare gli aspetti rilevanti della nostra vita in rete.

Ci sono tante dimensioni nella sicurezza informatica personale, per esempio tenere al sicuro i nostri dati perché nessuno ce li porti via, per usarli o per chiederci un riscatto; magari dobbiamo fare anche in maniera che siano al sicuro dal fatto che il disco fisso del PC si rompa o che dopo una vacanza non ci ricordiamo più la password di accesso!

Poi dobbiamo tenere al sicuro la nostra identità online, altrimenti malintenzionati potrebbero usare un nostro profilo online, per compiere reati facendo apparire che siano stati fatti da noi.

Potremmo poi volere assicurarci che le nostre conversazioni personali, chat o mail, non siano preda di occhi rapaci.

Non c’è bisogno di fare un corso per agenti segreti, né di spendere cifre per comprare soluzioni costose, basta fare una valutazione di cosa per noi è importante e seguire i punti rilevanti di questo decalogo.

  1. password: create una password diversa, complessa e “non semantica” per ogni servizio, cioè qualcosa del tipo a23#?B64ex% e non maria1970. Ci sono programmi ottimi per salvare i nostri dati di login, con anche l’opzione di generare password adeguate e soprattutto di sincronizzare il vault cifrato su un servizio in cloud, come Dropbox, Google Drive, OneDrive, ed anche con altri nostri device, di modo da poter sempre avere disponibili le nostre password anche se perdiamo il telefono.
  2. doppia sicurezza: prima di tutto pensiamo alla sicurezza iniziale: registriamoci sui nuovi servizi usando la email e non l’account Google o Facebook, per evitare che tutte le uova stiano nello stesso paniere. Poi, quando disponibile, usiamo la 2FA, cioè l’autenticazione a due fattori: per accedere ai servizi non basteranno nome utente e password, ma ci vorrà un codice aggiuntivo, mandato per SMS ad un numero verificato, o generato da un programma come Google Authenticator, che è gratuito come anche Microsoft Authenticator. Il servizio online in genere vi proporrà di scaricare dei codici usa e getta da usare in caso di indisponibilità del telefono; questi vanno messi in luogo sicuro, e al prossimo punto vediamo come. È poi possibile l’autenticazione biometrica (impronta digitale, riconoscimento facciale) per gli smartphone che offrono queste funzionalità, e che hanno dei gradi di sicurezza diversi: è bene leggere gli articoli online di chi ha fatto prove con il vostro modello.
  3. dati sul PC: i dati sul vostro PC sono sicuri e al sicuro? Prima di tutto è importante impostare un profilo di accesso con una password, e questo è già qualcosa; ma se i dati sul PC sono “in chiaro”, cioè se non avete fatto nulla per proteggerli, basta svitare qualche vite, togliere il disco fisso ed attaccarlo ad un altro PC, et voila! Ci sono dei sistemi che permettono di crittografare l’intero disco fisso, come FileVault per il Mac, che è una soluzione molto pratica perché dopo l’impostazione iniziale fa tutto da solo. Se non avete un Mac, ci sono programmi che permettono di mettere al sicuro file, cartelle o interi dischi: tra questi va senz’altro citato VeraCrypt, in quanto programma open source e gratuito. Ci vuole un po’ di pazienza, ma il livello di sicurezza può essere molto elevato. VeraCrypt funziona su praticamente ogni piattaforma; per gli adepti del Mac segnalo MacFort, che semplifica molto la vita. Non è finita: se, dopo aver copiato i vostri dati riservati in un vault cifrato, cancellate gli originali dal PC, beh i file sono ancora lì! Vuotato il cestino? Meglio, ma benché un po’ meno visibili, i vostri file sono sempre lì: di fatto è stato cancellato il loro indirizzo, non il contenuto. Poi, magari col tempo file nuovi andranno a coprire i dati vecchi, ma se volete sicurezza da subito, usate un programma come SecureRemove o analogo, cioè un programma che passa e ripassa più volte con dati casuali nel luogo fisico del disco dove il vostro file si trovava. Infine una domanda: avete dei backup completi e parziali, ricorrenti e frequenti del vostro disco? Meglio su un disco di rete e ancor meglio su due, e con un meccanismo automatico che prescinda dalla vostra memoria e pazienza. Se sì, allora ok, altrimenti è bene provvedere al più presto e non dopo il primo danno.
  4. la rete di casa: è importante che anch’essa risponda a dei requisiti minimi di sicurezza: usate un accesso protetto con relativa password, di fatto ormai tutti i router offrono buone soluzioni. Non “aprite porte” senza sapere come e perché, se il vostro gioco online lo richiede, vedete voi, gli date le chiavi di casa. Non date la password a tutti i vostri conoscenti ed amici: se il router lo permette, create una VPN locale, una rete virtuale privata domestica per l’uso dei vostri visitatori.
  5. la rete nel mondo: quando si “apre” una pagina web, di fatto si “chiama” un indirizzo web, quello di questo sito è: https://www.almerigogna.com/; la richiesta parte verso un Domain Name Server, che è una specie di guida del telefono, e risponde con quello che si chiama un indirizzo IP, cioè di Internet Protocol, il “numero” a cui risponde il sito; la richiesta poi si instrada e rimbalza come una palla da ping pong; se volete averne un’idea, usate il comando traceroute nel terminale del Mac o tracert sul PC Windows: fa il giro del mondo, e ad ogni passaggio lascia traccia di chi ha chiesto che cosa. In genere ciò non è fondamentale, a meno di vivere in Paesi dove la libertà di informarsi non è garantita. Per proteggersi da intrusioni di questo tipo ci sono varie soluzioni, l’uso di una rete privata VPN, che è come un tunnel che vi collega passando attraverso stazioni private; in genere sono servizi a pagamento. Poi c’è il TOR, The Onion Router, un sistema dove dei server di volontari cercano di anonimizzare a “strati di cipolla” le richieste. È un po’ lento, ma se abitate in un Paese canaglia non vi spazientirete.
  6. chat: in passato il programma di messaggistica più sicuro per l’uso da parte del grande pubblico era Telegram; ormai anche WhatsApp, ben più diffuso, offre la cifratura punto a punto, cioè rimescola i vostri messaggi e fa in modo che chi li dovesse intercettare sul cammino non ne venga a capo. Poi, sul telefonino vostro e di chi riceve, il messaggio si legge. Esistono programmi come Wickr Me che aggiungono uno strato di anonimato e cancellano i messaggi dopo un tempo prefissato, però il solo fatto di avere un programma di questo tipo installato sul telefono può essere imbarazzante. La soluzione è quella antica, la prudenza.
  7. mail sicura: eh già, perché anche il contenuto di una mail può essere intercettato e letto. La soluzione è sempre la cifratura, che però può essere cosa complessa da fare. Esiste un servizio, Protonmail, nato al CERN ma diventato poi commerciale, che gestisce mail cifrate con modalità di utilizzo simili a quelle delle mail normali. Offre la possibilità di un account gratuito con cui si possono fare parecchie cose. L’account sarà @protonmail.ch; eh sì, in Svizzera: Paese che ha sempre preso seriamente il tema della privacy. Utilizza la cifratura PGP, Pretty Good Privacy, ma fa tutte le cose difficili per voi.
  8. telefonino: valgono quasi tutte le considerazioni fatte qui sopra per i PC, solo i programmi possono essere diversi, perché non tutto esiste per tutte le piattaforme. Per esempio, se volete gestire un “contenitore” di dati confidenziali, non troverete VeraCrypt, ma alterative valide come EDS, a volte gratuite a volte a pagamento.
  9. identità e sistemi integrati: per la verifica della vostra identità personale esistono sistemi per lo più utilizzati dalle pubbliche amministrazioni, come ad esempio SPID, che vengono implementati da gestori dell’identità, come Infocert, Poste Italiane, Aruba solo per citarne qualcuno. Ogni sistema userà modalità proprie per accertare la vostra identità e vi fornirà un supporto - chiavetta, app, carta con chip - per poter effettuare operazioni dove viene richiesta la verifica della vostra identità. Una menzione particolare merita Keybase, un servizio gratuito che registra l’identità digitale usando una blockchain, e dico “registra” e non “verifica”, perché diversamente da SPID non vi chiede la carta d’identità, ma vi attribuisce il profilo Twitter e Linkedin che avete associato, il vostro sito web, ecc. e registra anche il PC o il telefonino che usate. Ma fa di più, perché offre tanti servizi cifrati: una chat, un repository privato e/o condiviso, un git per il sito web, vi crea una chiave PGP da usare per cifrare documenti, crea o associa un portafoglio di Lumen di Stellar, insomma è un one stop shop della sicurezza online.
  10. metadati: ultimo tema del decalogo, ma non per importanza. Tante delle soluzioni evocate ai punti precedenti permettono di tenere al riparo i dati, ma non necessariamente i cosiddetti metadati, cioè le informazioni relative a dati stessi. Si fa prima a spiegare con degli esempi: “il 23 di marzo Antonio ha mandato una mail a Laura”, “Laura la mattina del giorno dopo ha mandato dal suo iPhone 10 messaggi chat al telefonino Android di Antonio”, “quel giorno i telefoni di Laura e Antonio, dalle 14:00 erano registrati nella stessa cellula telefonica”. Ecco, abbiamo inventato una meta-storia, magari priva di rilevanza perché non ha valenze di privacy e sicurezza. Magari, invece, sicurezza e privacy sono importanti, perché Antonio e Laura sono fratello e sorella, e stanno organizzando la festa a sorpresa per il compleanno della mamma!
PGP TOR VPN 2FA security

Torna su © 2020 Marco Almerigogna