Controspionaggio

The Big Brother Is Watching YouTutti ci spiano. Prima era uno sospetto, adesso una certezza.

Giornali, opinionisti, blog, social network… Tutti dicono che qualcuno ci spia, ma in pochi dicono come ci si può difendere.

Va da sé che se un’entità governativa o militare decide di mettere una singola persona sotto sorveglianza, le probabilità di eludere la medesima sono veramente basse. Ma i casi presentati sono di raccolta di informazioni a strascico contro le quali qualcosa si può fare.

La teoria da Stato totalitario secondo cui quelli che hanno la coscienza pulita non hanno nulla da temere non solo è contro ogni logica di libertà individuale, ma è confutabile con svariati esempi di “falsi positivi” in cui ci sono andati di mezzo proprio delle persone innocenti. Avere una vita privata senza interferenze è un diritto non negoziabile.

La EFF ha pubblicato un decalogo per difendersi dalla sorveglianza a strascico su Internet che riassumo brevemente di seguito.

  1. La cifratura dei dati è ancora utile. Nonostante ci siano prove che la NSA abbia tentato (e forse sia riuscita) di indebolire gli standard, i dati crittografati sono ancora amici delle persone. Ovviamente è preferibile utilizzare programmi di cifratura open source perché quelli commerciali o di cui non è possibile verificare i sorgenti possono contenere debolezze deliberate oppure backdoor. Per le comunicazioni punto-punto tipo instant message un buon programma è Off-the-record di cui esiste un buon tutorial in inglese. In seguito si può anche affrontare GPG, che è un pochino più ostico per i non addetti ai lavori.
  2. Utilizzare quanto più possibile i “protocolli S” (HTTPS, IMAPS, SMTPS, POP3S) e in genere le connessioni SSL/TLS. Chi dispone di un proprio server o firewall, può installare un servizio VPN con cifratura da utilizzare quando si collega a Internet da reti poco sicure.
  3. Abilitare la crittografia del proprio disco rigido o storage, specialmente quello del portatile o del telefono. L’azione potrebbe non essere indolore e bisogna comprendere bene le implicazioni.
  4. Utilizzare password lunghe, non facili da indovinare e diverse per ogni servizio. Questo è il punto più dolente: per molti memorizzare le password è un’impresa. Si possono sempre scrivere su un foglio da riporre in un posto sicuro (non certo in un documento PASSWORD.DOC salvato sul desktop). Ci sono molti metodi per utilizzare password diverse o memorizzare le password.
  5. Utilizzare Tor. I servizi segreti inglesi hanno palesato il loro disgusto per Tor, segno che a qualcosa serve. Anonimizzare la propria connessione non è un’ammissione di colpa, ma un diritto.
  6. Abilitare l’autenticazione a due fattori nei servizi che lo permettono. Google, Twitter e Dropbox sono tra i servizi che dispongono di questa opzione. Attenzione che anche questa tecnologia ha dei punti deboli.
  7. Non aprire ogni dannato allegato, non cliccare su ogni dannato banner e non rispondere bovinamente “Sì” ad ogni finestra che salta su. Molti spyware arrivano come allegati mascherati: no, nessuno vi manda le fatture compresse con la password, specialmente i fornitori da cui non avete mai comperato nulla.
  8. Mantenere software e antivirus sempre aggiornati. È dimostrato con i fatti che i rischi che si corrono aggiornando un software sono di gran lunga inferiori di quelli che si corrono se non lo si aggiorna. Fate gli aggiornamenti. Tutti. E non inventatevi procedure o regole per non aggiornare i software.
  9. I dati veramente importanti meritano un’attenzione importante. Ci sono dei dati importanti che non devono essere divulgati. Questi possono essere registrati su memorie di massa protette con il sistema di cifratura del sistema operativo, o con prodotti analoghi, oppure semplicemente scritti a mano su carta. Si potrebbe utilizzare anche un vecchio computer non connesso a Internet, ma c’è il rischio che, essendo vecchio, possa guastarsi facilmente e i ricambi potrebbero non essere disponibili; meglio non affidarsi a tecnologie obsolete.
  10. Darsi da fare. Se si padroneggia una delle tecnologie per aumentare la sicurezza e la riservatezza potrebbe essere una buona idea spiegarle agli altri. Chi ha una buona connettività può attivare un nodo Tor. In caso di elezioni valutare anche la competenza informatica dei candidati.

Articolo modificato dopo la pubblicazione iniziale per rimuovere il riferimento a TrueCrypt e sostituirlo con tecnologie analoghe.

Autore: Luigi Rosa

Consulente IT, sviluppatore, SysAdmin, cazzaro, e, ovviamente, geek.

3 pensieri riguardo “Controspionaggio”

  1. Mi sfugge il punto 10, quando dice di valutare la competenza informatica dei candidati. Non e` la competenza informatica da valutare, ma cosa ne pensano della liberta` o dell’imposizione di un regime totalitario. La competenza informatica e` uno strumento a mezzo del quale si puo` riuscire nel proprio scopo di smettere di controllare la gente, oppure nel proprio scopo di aumentare il controllo sulla gente.

    1. Kurgan, hai ragione. Pero’ il candidato senza competenza informatica si lascia infinocchiare piu` facilmente da chi gli dice che certe scelte tecnologiche non hanno impatti sulla liberta` delle persone.

      Oddio, a ben pensarci si lascia infinocchiare anche tanta gente che in teoria di informatica dovrebbe saperne… ok, mi hai convinto 😉

    2. I concetti di liberta’ individuale e di totalitarsimo, a parte le loro versioni estreme, sono spesso frutto di interpretazione personale. Mi sono accorto che il mio concetto di liberismo (piu’ simile a quello britannico) non e’ condiviso da molti conpatrioti. Ecco perche’ non ho incluso quelle voci.

      La competenza informatica, invece, e’ qualcosa di piu’ “scientifico”, verificabile e meno soggetto a bias personali (del tutto legittimi, eh!)

Spazio per un commento