Da zero a privacy hero
Aumenta la tua privacy e sicurezza e diminuisci il rischio di furto di dati, truffe e sorveglianza con questi 5 semplici accorgimenti.
Da 13 anni ti iscrivi a ogni social, sito web, e-commerce e ogni altro account possibile usando la tua email storica e rigorosamente sempre la stessa password, che è una variazione del grande classico password123?
Ricevi centinaia di email di spam con principi nigeriani e agenti dell’agenzia delle entrate che ti chiedono di cliccare su un link verde fosforescente? Almeno una volta all’anno ti becchi qualche virus che ti costringe a portare il pc in assistenza?
O magari sei soltanto una persona che vorrebbe capire come vivere il mondo digitale senza farsi fregare, ma non hai voglia di leggere duecento guide diverse?
Ecco, allora questo è l’articolo che fa per te. Ti darò cinque consigli utili per aumentare notevolmente la tua privacy e sicurezza dei dati senza alcuno sforzo.
Si fa presto a parlare di privacy…
Internet non è fatto per garantire alcun tipo di privacy, e spesso lo stesso può dirsi per gli strumenti che usiamo ogni giorno. Molti credono che avere privacy online equivalga a mettersi un cappuccio in testa, installare una distro Linux con qualche nome esotico impossibile da usare e metterci tre ore per scrivere una e-mail.
Questo provoca uno stato d’ansia e frustrazione che spinge le persone a non fare proprio niente. Non deve essere così. Fare il primo passo è spesso lo sforzo più grande, ma ti assicuro che una volta adottati questi cinque accorgimenti avrai una privacy e sicurezza di gran lunga migliore della maggior parte delle persone.
Prima di tutto, evitiamo isterismi. No — non ci sono gruppi criminali particolarmente interessati a ciò che fai, e no — CIA, KGB e FBI non ti stanno spiando, almeno non direttamente!
Da zero a privacy hero: lo scenario
Partiamo dal presupposto che probabilmente non sei a livello zero, ma a -10. Come minimo, da qualche parte qualcuno ti avrà rubato il tuo indirizzo email storico e magari pure qualche altro tipo di dato. Magari sul tuo PC c’è anche qualche malware, perché ti piace scaricare e cliccare su qualsiasi file e link a portata di mano.
Proviamo allora a immaginare questo tipo di scenario, usando la metodologia di Threat Modeling (Operations Security), di cui ti ho già parlato qui:
Asset da proteggere: informazioni personali, dati di contatto, comunicazioni private.
Minacce e avversari: violazioni di dati, malware, furto d’identità. Gli avversari in questo caso sono gruppi criminali che sfruttano semplici vulnerabilità e attacchi massivi (es. phishing) per tentare di compromettere sistemi informativi su larga scala.
Vulnerabilità: riutilizzo di email e password (anche con la stessa combinazione), sistemi non aggiornati e/o infetti da malware, dati e comunicazioni in chiaro (non cifrati).
Rischio: è plausible che un avversario possa sfruttare una vulnerabilità e riuscire in un attacco, come un’infezione malware, con conseguenze variabili da gravità media a molto alta. Tra queste potremmo annoverare spam, furto di account social, furto di credenziali di accesso a sistemi bancari, furto d’identità, tentativi di frode.
Cosa fare per proteggersi da questo scenario
Passiamo ora ai cinque consigli per iniziare a proteggersi dallo scenario descritto, e che in pochissimo tempo ti garantiranno un ottimo livello di privacy, sicurezza e pace d’animo.
1. Protezione delle email
Il tuo indirizzo email è il tuo alias online. Ancor prima di essere uno strumento per ricevere messaggi, è un modo per creare account e autenticarsi su migliaia di servizi diversi, spesso anche molto sensibili.
Avere un indirizzo email compromesso significa aumentare di molto il rischio di subire violazioni e attacchi (phishing, tentativi di scam e virus).
Prima di tutto, verifica se la tua email è compromessa. Per farlo visita haveibeenpwned.com e inserisci nel campo di testo il tuo indirizzo email. Tranquillo, quando inserisci la tua email, questa non viene archiviata dal sistema ma trasformata in una stringa cifrata e confrontata con database noti contenenti dati rubati.
Se il risultato è una cosa del genere, potresti avere qualche problema:
Puoi fare almeno due cose per migliorare di molto la situazione:
Manda in pensione l’email compromessa. Crea un account nuovo, magari usando un provider privacy-friendly, senza tracking e profilazione, come Tutanota o ProtonMail. Informa i tuoi contatti, importa tutte le tue email (da Gmail a Protonmail puoi farlo in automatico) e predisponi un redirect per un certo periodo di tempo. Metti in conto un paio d’ore di tempo per fare tutto questo.
Per il futuro, evita di registrarti a ogni stupido sito con il tuo indirizzo email principale. Piuttosto, usa un servizio come Anonaddy o SimpleLogin, che ti permettono di creare alias da usare al posto della tua email reale, mantenendo la possibilità di ricevere comunque comunicazioni e notifiche.
Così facendo avrai immediatamente e quasi a costo zero enormi vantaggi, sia in termini di rischio (la tua email sarà meno esposta) sia in termini di privacy, dato che i tuoi messaggi non saranno tracciati e profilati da Google e amici.
2. Potenziamento delle password e doppia autenticazione
La password è l’unica cosa che separa i tuoi dati e la tua vita dal mondo intero. Scoperta quella, è game over. Vale la pena prestare attenzione, perché ti assicuro che lì fuori c’è qualche bot che in questo momento sta cercando di crackare qualche tuo account.
Input come “password123” o “p4sSwOrd123” possono essere crackati dagli strumenti moderni in circa 0.02 secondi.
Se usi una password che rientra nella zona viola o rossa della matrice, è sufficiente la tua email e davvero poco tempo affinché un attaccante entri nei tuoi account. Sarebbe quindi meglio evitare password semplici come queste e scegliere invece combinazioni che rimangano almeno nella zona gialla della matrice.
Anche in questo caso ci sono delle contromisure molto semplici e utili da prendere, che aumentano a dismisura la tua sicurezza e qualità della vita.
Usa un password manager
Possibilmente non in cloud, anche se sono comodi. Il mio preferito è KeePassXC che può essere usato anche su Android. Il password manager può creare password complesse per te in modo automatico e memorizzarle in modo sicuro, così non dovrai neanche ricordarle. Basta fare copia-incolla quando serve.
Usa un’app per l’autenticazione multi-fattore
Questa è probabilmente la misura più importante di tutte, e non usarla è da sciagurati.
L’autenticazione multi-fattore aggiunge un elemento in più di sicurezza per accedere ai tuoi account. L’autenticazione a doppio fattore può consistere in un codice temporaneo visualizzato (OTP), in un SMS o in una email. Il codice OTP tramite app è preferibile, poiché più sicuro. Questo significa che se qualcuno possiede email e password del tuo account homebanking, senza quel codice non potrà comunque accedere.
Ce ne sono tante e per tutti i gusti, come Authy o Aegis. Anche Google Authenticator va comunque bene. Eviterei però di usare app che richiedono l’identificazione e la comunicazione di dati personali per avere backup in Cloud.
Backup e cifratura delle unità di memoria
Fai un backup dei dati e delle configurazioni del tuo PC periodicamente, così da non perdere nulla in caso di problemi e ritrovarsi un PC più o meno identico a come l’avevi lasciato.
Il backup generale a livello di sistema operativo può essere gestito direttamente tramite Windows su un’unità di memoria separata oppure puoi farlo in Cloud su OneDrive.15
Idealmente, dovresti anche fare un backup periodico dei tuoi dati e cartelle più importanti, così da avere sempre una copia di sicurezza. Mi raccomando: ogni backup dovrebbe poi essere cifrato, soprattutto se decidi di conservare le copie in Cloud — che è il PC di qualcun altro.
Cifrare i dati è facilissimo, e puoi farlo anche con un semplice .zip, che permette di cifrare i file con algoritmo AES-256. Ci vuole pochissimo e non è difficile: dovrai solo scegliere una password.
Infine, non dimenticare di cifrare il tuo hard disk se viaggi spesso per svago o lavoro. Viceversa, in caso di furto sarà estremamente facile entrare in possesso di tutti i tuoi dati (sì, anche se hai un password d’accesso). Per Windows puoi utilizzare la soluzione integrata di BitLocker, mentre per Linux puoi usare LUKS, integrata anche questa.
Della crittografia dell’unità di memoria ne parlo anche qui:
Comunicazioni sicure
Le comunicazioni sono forse la parte più importante del patrimonio informativo da proteggere.
Quello che capire prima di tutto è che i servizi di messagistica integrati ai social network non sono strumenti di comunicazione sicuri. Anzi, sono strumenti direttamente monitorati dalle forze dell’ordine e dell’intelligence, come è stato dimostrato più volte anche coi Twitter Files12.
Lo stesso vale per Instagram, Facebook, TikTok, e così via. Mai diffondere informazioni sensibili attraverso questi canali. Presto saranno ancora più sorvegliati a causa di leggi come il Chatcontrol.
Per comunicare usa strumenti diversi con crittografia delle comunicazioni, come Signal o Telegram3, o Whatsapp. Ce ne sono anche altri, ancora migliori, ma hanno poca diffusione e sarai tu a valutare se e come usarli.
Minimizza la tua esposizione
Se ti piace viaggiare o sei uno di quelli a cui piace lavorare dalle poltroncine di Starbucks allora ti conviene imparare a usare una VPN, che è uno strumento molto utile per proteggere i tuoi dati di navigazione da occhi indiscreti e vulnerabilità di sicurezza tipiche delle reti pubbliche come quelle dei bar o degli hotel. Inoltre, alcune VPN hanno strumenti di ad-blocking che possono anche diminuire il rischio di beccarsi malware durante la navigazione.
Vale poi la pena considerare una VPN anche per ridurre l’esposizione dei nostri dati di traffico verso la sorveglianza di stato. Magari non lo saprai, ma molti stati (Italia inclusa) obbligano i provider di Internet e telefonia a tenere dati di navigazione a disposizione delle autorità per periodi di tempo anche molto lunghi. In Italia fino a sei anni.
Ci sei quasi
Una volta adottate queste semplici misure, il resto sarà tutto in discesa. L’importante è non sclerare e non passare da un eccesso all’altro. C’è sempre un trade-off tra sicurezza e comodità, ma non può esserci sicurezza senza comodità, perché tutti ricerchiamo costantemente ciò che ci è più semplice fare.
Ora non ti resta che continuare a leggere Privacy Chronicles e addentrarti nella tana del bianconiglio.
La crittografia end-to-end per Telegram è abilitata di default solo per le “chat segrete” 1 to 1. Di norma la crittografia è invece client-server, cioè gli admin di Telegram hanno il potere di accedere alle comunicazioni.
Vorrei fare due osservazioni:
1) Google Authenticator non è il massimo perchè non permette di fare il backup online, preferisco Authy (Backup protetto da password comunque)
2) Per potenziare l'efficacia di Defender consiglio https://github.com/AndyFul/ConfigureDefender con impostazioni HIGH; per info aggiuntive potete leggere qui https://gabriele.tips/configurare-correttamente-microsoft-defender/
Ottimo articolo, come sempre.
Mi permetto 1 consiglio:
Aegis >>> Google Authenticator