Autodifesa Digitale

Breve guida al processo della sicurezza digitale in 5 punti essenziali

Tu che arma usi per difenderti da spioni, avversari e concorrenti? La logica, il buonsenso o un software?

Ogni strumento digitale dovrebbe essere sicuro, ma non è per forza così. Tutti noi ci confrontiamo oggi con uno scenario in cui la sorveglianza è generalizzata. Per molte delle attività che conduciamo con strumenti informatici potremmo voler scegliere degli strumenti sicuri e quindi cercheremo strumenti affidabili da questo punto di vista. Ma come si fa scegliere degli strumenti sicuri?

eff_seldefense

Prima di acquistare un software o scegliere un nuovo dispositivo bisogna pensare che non ci proteggerà in ogni circostanza. Usare la crittografia ci permette di sentirci abbastanza sicuri che qualcuno non possa interpretare le nostre comunicazioni o ravanare tra i nostri file.

Ma un attaccante sceglie sempre il nostro lato più debole, che potrebbe essere proprio il nostro interlocutore. Oppure il semplice fatto che si stia usando un sistema sicuro potrebbe dare l’idea all’attaccante che stiamo nascondendo o proteggendo qualcosa. Perciò bisogna avere un’idea abbastanza precisa di cosa sia questa minaccia. Ad esempio è inutile comprare un telefono criptato se poi siamo seguiti da un investigatore privato. Viceversa può essere controproducente usare un sistema cifrato in un paese dove l’uso della crittografia è vietato.

Detto questo è possibile fare delle scelte informate a partire da semplici domande.

1. L’azienda da cui compro è trasparente?

La prima cosa da chiedersi è: quanto è trasparente l’azienda che mi vende il prodotto che sto cercando? La maggior parte del software che usano gli esperti di sicurezza è free ed open source e questo vuol dire che il software è pubblicamente disponibile per essere esaminato, modificato e condiviso. In qualche modo i produttori invitano la community degli esperti a ispezionare il software per scoprirne le vulnerabilità e migliorarlo.

Il software aperto offre una maggior sicurezza ma non può garantirla visto che si basa sul contributo spesso volontario di chi ispeziona e controlla il codice

Perciò, prima di comprare qualcosa fai due cose:

  • controlla che il codice sorgente sia disponibile;
  • controlla se ha passato una verifica indipendente che ne abbia accertato la qualità.

La regola generale è che l’azienda dovrebbe essere trasparente al punto da documentare tutto: sia l’hardware che il software.

2. I creatori sono stati chiari su vantaggi e svantaggi del prodotto?

Non esiste un software completamente sicuro. Sviluppatori e rivenditori devono essere onesti sulle limitazioni dei loro prodotti  per capire se il prodotto è adatto a te.

Diffida da dichiarazioni roboanti che dicono che il prodotto è a prova di spione: potrebbe significare solo che i creatori sono eccessivamente fiduciosi della loro creatura o che non vogliono considerare i possibili limiti del proprio prodotto.

Siccome gli attaccanti cercano sempre nuovi punti di attacco, software e hardware vanno sempre aggiornati per riparare a errori e vulnerabilità di fabbrica. Se non lo fanno, diffida. Il motivo potrebbe essere che temono una cattiva pubblicità oppure non hanno costruito l’infrastruttura necessaria per farlo.

Nessuno può predire il futuro ma un ottimo indicatore dell’affidabilità di aziende e sviluppatori è la loro storia passata. Se il website del tuo dispositivo, dell’hardware e del software che stai comprando fornisce uno storico del prodotto, offre aggiornamento e informazioni, è più facile affidarglisi e che continueranno farlo nel futuro.

3. Che succede se anche i produttori sono compromessi?

Chi costruisce strumenti per la sicurezza deve avere una chiara idea delle minacce potenziali. Questo significa che i creatori devono descrivere nella loro documentazione in maniera chiara da quale tipo di attacco potenziale possono proteggerti.

Ma c’è un tipo di attaccante che spesso non viene considerato: cosa accade se il venditore stesso è stato compromesso oppure decide di attaccare i suoi utenti?

Ad esempio, un governo può obbligare un’azienda a fornire i dati personali degli acquirenti/utenti o creare una “backdoor” in grado di rimuovere le protezioni che i loro strumenti offrono.

Leggi anche: “Cosa ci dice della nostra privacy l’FBI che cracca l’iPhone senza l’aiuto di Apple

Potrebbe essere importante considerare quale è la legislazione della giurisdizione cui si viene obbligati nell’acquisto e nell’uso degli strumenti. Ad esempio un’azienda americana potrebbe in linea di principio rifiutarsi di adempiere agli ordini di una corte iraniana ma dovrebbe sottostare a quelli di una corte americana.

Anche se il creatore resiste alle pressioni esterne, un attaccante potrebbe ottenere gli stessi risultati irrompendo nei sistemi aziendali per attaccarne gli utenti.

I tool più resistenti sono quelli che considerano questi possibili attacchi e sono progettati per difendersi da essi.

Verifica le affermazioni che asseriscono che un creatore non possa accedere a dati privati piuttosto che credere che non vorrà farlo

Controlla la reputazione aziendale di chi lo ha fatto e di chi non lo ha fatto.

4. Hai controllato i reclami e le critiche online al tuo prodotto?

Naturalmente chi vende un prodotto lo fa attraverso una pubblicità entusiastica che può essere però fuorviante o basata su bugie vere e proprie. Ma anche un prodotto venduto come assolutamente sicuro può rivelare delle falle e delle vulnerabilità nel futuro. Assicurati di essere ben informato sulle ultime notizie relative ai prodotti che usi.

Leggi anche: “Se non hai aggiornato il tuo iPhone fallo subito, prima che ti ci entrino dentro

5. Conosci altre persone che utilizzano il tuo stesso dispositivo?

A volte è difficile seguire tutte le news e gli update dei prodotti che si usano. Ma può essere utile avere un collega o un amico che usano un particolare prodotto o servizio per essere aiutati a farlo.

Nota: questo mio articolo è un personale adattamento della Guida di Autodifesa della Electronic Frontier Foundation

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Dai banchi di scuola al pitch. I finalisti del progetto “A Scuola di Startup” a DigithON 2017

Il progetto realizzato da AuLab ha coinvolto per il terzo anno consecutivo studenti delle scuole secondarie superiori. Il team vincitore sarà premiato dal Gruppo Giovani Imprenditori di Confindustria Bari e Bat. Abbiamo intervistato Davide Neve, CEO di AuLab

Imparare a guidare con la realtà virtuale e aumentata. Il progetto di Guida e Vai

Salvatore Ambrosino, cofondatore e direttore commerciale di Guida e Vai, ha ideato un nuovo sistema di insegnamento per preparare all’esame di teoria le nuove generazioni. I ragazzi potranno simulare con smartphone e visore le situazioni che potrebbero incontrare su strada

Hephaestus Venture, il fondo che porta le startup italiane in Brasile

Il fondo ha la missione di supportare le startup nei processi di internazionalizzazione verso il Brasile, un mercato emergente e in forte crescita, se si pensa che il 57.4% dei finanziamenti in America Latina si concentra in questo Paese.

Cyber-Diplomacy | Che cos’è e qual è il ruolo dell’Italia (nel G7)

Le relazioni internazionali sono chiamate ad avere un ruolo specializzato al Cyber Spazio e devono agire al suo interno per supportare il complesso di accordi e regole di carattere internazionale oggi ancora incompleto in proposito