Breve guida al processo della sicurezza digitale in 5 punti essenziali
Tu che arma usi per difenderti da spioni, avversari e concorrenti? La logica, il buonsenso o un software?
Arturo Di Corinto per Cybersecurity del 30 novembre 2016
Ogni strumento digitale dovrebbe essere sicuro, ma non è per forza così. Tutti noi ci confrontiamo oggi con uno scenario in cui la sorveglianza è generalizzata. Per molte delle attività che conduciamo con strumenti informatici potremmo voler scegliere degli strumenti sicuri e quindi cercheremo strumenti affidabili da questo punto di vista. Ma come si fa scegliere degli strumenti sicuri?
Prima di acquistare un software o scegliere un nuovo dispositivo bisogna pensare che non ci proteggerà in ogni circostanza. Usare la crittografia ci permette di sentirci abbastanza sicuri che qualcuno non possa interpretare le nostre comunicazioni o ravanare tra i nostri file.
Ma un attaccante sceglie sempre il nostro lato più debole, che potrebbe essere proprio il nostro interlocutore. Oppure il semplice fatto che si stia usando un sistema sicuro potrebbe dare l’idea all’attaccante che stiamo nascondendo o proteggendo qualcosa. Perciò bisogna avere un’idea abbastanza precisa di cosa sia questa minaccia. Ad esempio è inutile comprare un telefono criptato se poi siamo seguiti da un investigatore privato. Viceversa può essere controproducente usare un sistema cifrato in un paese dove l’uso della crittografia è vietato.
Detto questo è possibile fare delle scelte informate a partire da semplici domande.
1. L’azienda da cui compro è trasparente?
La prima cosa da chiedersi è: quanto è trasparente l’azienda che mi vende il prodotto che sto cercando? La maggior parte del software che usano gli esperti di sicurezza è free ed open source e questo vuol dire che il software è pubblicamente disponibile per essere esaminato, modificato e condiviso. In qualche modo i produttori invitano la community degli esperti a ispezionare il software per scoprirne le vulnerabilità e migliorarlo.
Il software aperto offre una maggior sicurezza ma non può garantirla visto che si basa sul contributo spesso volontario di chi ispeziona e controlla il codice
Perciò, prima di comprare qualcosa fai due cose:
- controlla che il codice sorgente sia disponibile;
- controlla se ha passato una verifica indipendente che ne abbia accertato la qualità.
La regola generale è che l’azienda dovrebbe essere trasparente al punto da documentare tutto: sia l’hardware che il software.
2. I creatori sono stati chiari su vantaggi e svantaggi del prodotto?
Non esiste un software completamente sicuro. Sviluppatori e rivenditori devono essere onesti sulle limitazioni dei loro prodotti per capire se il prodotto è adatto a te.
Diffida da dichiarazioni roboanti che dicono che il prodotto è a prova di spione: potrebbe significare solo che i creatori sono eccessivamente fiduciosi della loro creatura o che non vogliono considerare i possibili limiti del proprio prodotto.
Siccome gli attaccanti cercano sempre nuovi punti di attacco, software e hardware vanno sempre aggiornati per riparare a errori e vulnerabilità di fabbrica. Se non lo fanno, diffida. Il motivo potrebbe essere che temono una cattiva pubblicità oppure non hanno costruito l’infrastruttura necessaria per farlo.
Nessuno può predire il futuro ma un ottimo indicatore dell’affidabilità di aziende e sviluppatori è la loro storia passata. Se il website del tuo dispositivo, dell’hardware e del software che stai comprando fornisce uno storico del prodotto, offre aggiornamento e informazioni, è più facile affidarglisi e che continueranno farlo nel futuro.
3. Che succede se anche i produttori sono compromessi?
Chi costruisce strumenti per la sicurezza deve avere una chiara idea delle minacce potenziali. Questo significa che i creatori devono descrivere nella loro documentazione in maniera chiara da quale tipo di attacco potenziale possono proteggerti.
Ma c’è un tipo di attaccante che spesso non viene considerato: cosa accade se il venditore stesso è stato compromesso oppure decide di attaccare i suoi utenti?
Ad esempio, un governo può obbligare un’azienda a fornire i dati personali degli acquirenti/utenti o creare una “backdoor” in grado di rimuovere le protezioni che i loro strumenti offrono.
Leggi anche: “Cosa ci dice della nostra privacy l’FBI che cracca l’iPhone senza l’aiuto di Apple“
Potrebbe essere importante considerare quale è la legislazione della giurisdizione cui si viene obbligati nell’acquisto e nell’uso degli strumenti. Ad esempio un’azienda americana potrebbe in linea di principio rifiutarsi di adempiere agli ordini di una corte iraniana ma dovrebbe sottostare a quelli di una corte americana.
Anche se il creatore resiste alle pressioni esterne, un attaccante potrebbe ottenere gli stessi risultati irrompendo nei sistemi aziendali per attaccarne gli utenti.
I tool più resistenti sono quelli che considerano questi possibili attacchi e sono progettati per difendersi da essi.
Verifica le affermazioni che asseriscono che un creatore non possa accedere a dati privati piuttosto che credere che non vorrà farlo
Controlla la reputazione aziendale di chi lo ha fatto e di chi non lo ha fatto.
4. Hai controllato i reclami e le critiche online al tuo prodotto?
Naturalmente chi vende un prodotto lo fa attraverso una pubblicità entusiastica che può essere però fuorviante o basata su bugie vere e proprie. Ma anche un prodotto venduto come assolutamente sicuro può rivelare delle falle e delle vulnerabilità nel futuro. Assicurati di essere ben informato sulle ultime notizie relative ai prodotti che usi.
Leggi anche: “Se non hai aggiornato il tuo iPhone fallo subito, prima che ti ci entrino dentro“
5. Conosci altre persone che utilizzano il tuo stesso dispositivo?
A volte è difficile seguire tutte le news e gli update dei prodotti che si usano. Ma può essere utile avere un collega o un amico che usano un particolare prodotto o servizio per essere aiutati a farlo.
Nota: questo mio articolo è un personale adattamento della Guida di Autodifesa della Electronic Frontier Foundation