Come si scelgono gli strumenti giusti per migliorare sicurezza e privacy 

Scegliere i tuoi strumenti digitali

Con così tante aziende e siti Web che offrono strumenti orientati ad aiutare le persone a migliorare la propria sicurezza e privacy, come si scelgono gli strumenti giusti?

Non abbiamo una lista infallibile di strumenti che possano difenderti (anche se puoi vedere alcune scelte comuni nelle nostre Guide). Ma se hai una buona idea di cosa stai cercando di proteggere e di chi stai cercando di proteggerlo, questa guida può aiutarti a scegliere gli strumenti appropriati usando alcune linee guida di base.

Ricorda, la sicurezza non riguarda gli strumenti che usi o il software che utilizzi. Essa, inizia con la comprensione delle minacce uniche che affronti e su come puoi contrastarle. Più avanti in questo corso introduttivo ci sarà una lezione dedicata al tuo piano di sicurezza, ovvero alla tua valutazione dei rischi.

La sicurezza è un processo, non un acquisto

La prima cosa da ricordare prima di cambiare il software che utilizzi o acquistare di nuovi, è che nessuno strumento o software ti darà protezione assoluta da tutte le minacce, in tutte le circostanze. Pertanto, è importante pensare alle pratiche di sicurezza in modo olistico (uno più uno non è uguale a due ma a undici!).

Ad esempio, se si utilizzano strumenti sicuri sul telefono, ma non si inserisce una password sul proprio computer, gli strumenti sul tuo telefono potrebbero non aiutarti molto. Infatti, se qualcuno volesse scoprire informazioni su di te, probabilmente sceglierà il modo più semplice per ottenere tali informazioni, non il più difficile, pertanto cercherà tali informazioni sul computer.

In secondo luogo, è impossibile proteggere tutto da ogni tipo di minaccia o aggressore, quindi è necessario concentrarsi su quali persone potrebbero desiderare i propri dati, immaginare cosa potrebbero desiderare e come potrebbero ottenerlo. Se la tua più grande minaccia  è la sorveglianza fisica di un investigatore privato senza accesso agli strumenti di sorveglianza di Internet, non è necessario acquistare un costoso sistema telefonico crittografato che afferma di essere "a prova di NSA". In alternativa, se ti trovi di fronte a un governo che regolarmente considera dissidenti le persone perché utilizzano strumenti di crittografia, può avere senso usare tattiche più semplici, come organizzare una serie di codici preordinati e innocui per trasmettere messaggi, piuttosto che rischiare lasciando sull'utilizzo di software di crittografia sul proprio computer portatile. Immaginare una serie di possibili attacchi che si intende proteggere è chiamata modellazione delle minacce .

Detto questo, ecco alcune domande che ti puoi porre su uno strumento prima di scaricarlo, acquistarlo o usarlo.

Quanto è trasparente il prduttore del prodotto e/o servizio?

C'è una forte convinzione tra i ricercatori di sicurezza che apertura e trasparenza portano a strumenti più sicuri.

Gran parte del software che la comunità di sicurezza digitale utilizza e raccomanda è open source. Ciò significa che il codice che definisce come funziona lo strumento è pubblicamente disponibile e gli esperti di programmazione possono esaminarlo, modificarlo e a sua volta condividerlo. Essendo trasparente il funzionamento del programma, i creatori di questi strumenti invitano altri a cercare difetti di sicurezza per aiutare a migliorane le caratteristiche e funzionalità.

Il software open source offre l'opportunità di una migliore sicurezza, ma non la garantisce. Il vantaggio del software dell'open source si basa, in parte, su una comunità di tecnologi che controlla effettivamente il codice, il che, per i piccoli progetti (ma è vero anche per quelli più diffusi e complessi), può non essere così facile da raggiungere.

Quando si considera uno strumento, è necessario vedere se il suo codice sorgente è disponibile e se ha un controllo di sicurezza indipendente per confermare la qualità della sua sicurezza. Per lo meno, il software o l'hardware dovrebbero avere una spiegazione tecnica dettagliata di come funzioni, in modo tale che altri esperti possano ispezionarlo efficacemente.

Quanto sono chiari ai creatori del programma i suoi vantaggi e svantaggi?

Nessun software o hardware è completamente sicuro e questa è un'affermazione considerata vera da tutta la comunità dei ricercatori di sicurezza. Pertanto è opportuno cercare ed utilizzare strumenti con creatori o venditori che siano onesti riguardo alle limitazioni del loro prodotto.

Le affermazioni generali che dicono che il codice è sicuro "a livello militare" o "a prova di NSA" sono bandiere rosse. Queste affermazioni indicano che i creatori sono eccessivamente fiduciosi o riluttanti a considerare i possibili errori nel loro prodotto.

Poiché gli hacker tentano sempre di scoprire nuovi modi per compromettere la sicurezza degli strumenti software e hardware devono essere continuamente aggiornati per correggere le loro vulnerabilità. Questo può essere un problema serio se i creatori non sono disposti a farlo, perché temono una cattiva pubblicità o perché non hanno costruito l'infrastruttura per farlo. Cerca produttori che sono disposti a fare questi aggiornamenti e che siano onesti e chiari sul perché lo stanno facendo.

Un buon indicatore di come si comportano gli produttori in futuro è la loro attività passata. Se il sito web dello strumento elenca problemi precedenti e collegamenti a aggiornamenti e informazioni regolari, ad esempio quanto tempo è trascorso dall'ultimo aggiornamento del software, puoi essere più avere una ragionevole aspettativa che continueranno a fornire questo servizio anche in futuro.

Cosa succede se i creatori di un software vengono compromessi?

Quando gli strumenti di sicurezza costruiti sono software e hardware, essi devono avere un chiaro il loro modello di minaccia. I migliori produttori descrivono esplicitamente da quale tipo di avversari possono proteggerti nella loro documentazione.

Ma c'è un "aggressore" a cui molti produttori non vogliono pensare: loro stessi! Cosa succede se sono compromessi o decidono di attaccare i propri utenti? Ad esempio, un tribunale o un governo può obbligare un'azienda a consegnare i dati personali o creare una "backdoor" che rimuova tutte le protezioni offerte dal loro strumento. Quindi considera la giurisdizione (o le giurisdizioni) in cui sono basati i produttori del software o hardware. Se sei preoccupato di proteggerti dal governo iraniano, per esempio, una compagnia con sede negli Stati Uniti, presumibilmente sarà in grado di offrire opportune garanzie da eventuali ordini del tribunale iraniano, anche se deve rispettare gli ordini degli Stati Uniti.

Anche se un produttore è in grado di resistere alla pressione di un governo, un aggressore può sempre tentare di penetrare i sistemi del produttore per attaccare i suoi clienti.

Gli strumenti più resilienti sono quelli che considerano questo come un possibile attacco e sono progettati per difendersi da questa minaccia. Durante la ricerca prediligi un linguaggio che asserisca che un creatore non possa accedere ai dati privati, piuttosto che alla sua promessa che questi un non lo farà. Possibilmente cerca produttori che debbano fare riferimento a istituzioni con la reputazione di combattere gli ordini dei tribunali per l'accesso ai dati personali.

Il fornitore È stato criticato online?

Le aziende che vendono prodotti e gli appassionati che pubblicizzano il loro ultimo software possono essere fuorviati, possono ingannare o addirittura mentire. Un prodotto che era originariamente sicuro potrebbe avere terribili difetti in futuro. Assicurati di essere sempre informato sulle ultime notizie e sugli strumenti che utilizzi.

È molto lavoro per una persona tenere il passo con le ultime notizie sugli strumenti tecnologici. Se hai colleghi che utilizzano un particolare prodotto o servizio, riferisciti a loro per rimanere informato.

Quale telefono dovrei comprare? Quale computer?

Agli esperti e ai formatori di sicurezza viene spesso chiesto: "devo acquistare Android o un iPhone?" oppure "devo usare un PC o un Mac?", ancora "quale sistema operativo dovrei usare?". Non ci sono risposte semplici a queste domande. La sicurezza relativa di software e dei dispositivi cambia continuamente man mano che vengono scoperti nuovi difetti e vengono risolti vecchi bug. Le aziende possono competere tra loro per garantire una maggiore sicurezza, oppure potrebbero anche essere tutte sotto pressione da parte dei governi per indebolirla.

Comunque, è possibile dare consiglio generale, quasi sempre vero. Quando acquisti un dispositivo o un sistema operativo, tienilo aggiornato con gli aggiornamenti software del produttore. Gli aggiornamenti spesso risolvono i problemi di sicurezza che gli attaccanti possono sfruttare. Si noti ad esempio, che alcuni telefoni e sistemi operativi meno recenti potrebbero non essere più supportati, anche per quanto riguarda gli aggiornamenti di sicurezza. In particolare, Microsoft ha chiarito che le versioni di Windows Vista ed XP e seguenti non riceveranno correzioni per problemi di sicurezza anche gravi. Ciò significa che se li stai ancora usando, non puoi aspettarti che siano al sicuro dagli aggressori. Lo stesso vale per OS X prima del 10.11 o versione El Capitan.

Ora che hai considerato le minacce che affronti e sai cosa cercare in uno strumento di sicurezza digitale, puoi scegliere con maggiore cognizione di causa gli strumenti più appropriati per la tua unica situazione.

Prodotti citati in CYBER WELFARE

Per quanto possibile, cerchiamo di garantire che il software e l'hardware menzionati in nelle varie guide soddisfino i criteri sopra elencati. Abbiamo fatto uno sforzo in buona fede per elencare solo i prodotti che:

• abbiano una solida base in ciò che attualmente sappiamo sulla sicurezza digitale;

• sono generalmente trasparenti circa il loro funzionamento (e le loro carenze);

• hanno difese contro la possibilità che stessi stessi siano compromessi; e

• sono attualmente disposti a mantenere i prodotti rilasciati, con una base di utenti ampia e tecnicamente ben informata.

Ti preghiamo di comprendere che non disponiamo delle risorse per esaminare o fornire assicurazioni indipendenti sulla loro sicurezza. Non approviamo questi prodotti e non possiamo garantire la completa sicurezza.