Come Scegliere i migliori strumenti per migliorare la sicurezza digitale

La realtà dei fatti

Non abbiamo una lista infallibile di strumenti che possano difenderti (anche se puoi vedere alcune scelte comuni nelle nostre Guide degli strumenti). 

Ma se hai una buona idea di cosa stai cercando di proteggere e di chi stai cercando di proteggerlo, questa guida può aiutarti a scegliere gli strumenti appropriati usando alcune linee guida di base. 

Ricorda, la sicurezza non riguarda solamente gli strumenti o il software che usi, essa inizia con la comprensione delle minacce che affronti e su come puoi contrastarle. 

Consulta la nostra guida alla valutazione dei rischi per ulteriori informazioni.

La sicurezza è un processo, non un acquisto

La prima cosa da ricordare prima di cambiare il software che usi o acquistare nuovi strumenti è che nessuno strumento o software ti darà protezione assoluta, in tutte le circostanze dal fatto che qualcuno possa spiarti. Pertanto, è importante pensare alle pratiche di sicurezza digitale in modo olistico. Ad esempio, utilizzare strumenti sicuri sul telefono e non inserire una password sul tuo computer, potrebbe compromettere l'efficacia degli strumenti sul tuo telefono. Se qualcuno vuole scoprire informazioni su di te, sceglierà il modo più semplice per ottenere tali informazioni, non il più difficile.

In secondo luogo, è impossibile proteggersi da ogni tipo di attacco o aggressore; è quindi necessario concentrarsi principalmente su quali persone potrebbero desiderare i propri dati, su cosa potrebbero desiderare e come potrebbero ottenerlo. Se la tua più grande minaccia è la sorveglianza fisica di un investigatore privato senza accesso agli strumenti di sorveglianza di Internet, non è necessario acquistare un costoso sistema telefonico crittografato che afferma di essere "a prova di NSA". 

Se, in alternativa, ti trovi di fronte a un governo che potenzialmente può utilizzare metodi coercitivi con i dissidenti, in quanto utilizzatori di strumenti con crittografia avanzata per garantire la confidenzialità ed eventualmente la censura, può avere senso usare tattiche più semplici. Organizzare una serie di codici preordinati e innocui per trasmettere messaggi, piuttosto che rischiare lasciando prove di utilizzo di software con crittografia sul proprio laptop può essere una strategia vincente e più adeguata. 

Analizzare il contesto della minaccia e stilare una serie di possibili attacchi che si intende proteggere è chiamato modellazione delle minacce. Detto questo, ecco alcune domande che ti puoi porre in merito alla bontà di uno strumento prima di scaricarlo, acquistarlo o usarlo.

Quanto è trasparente l'informazione disponibile sul prodotto?

C'è una forte convinzione tra i ricercatori di sicurezza che apertura e trasparenza portano a strumenti più sicuri.

La comunità di sicurezza digitale utilizza e raccomanda l'utilizzo di software open source, almeno in gran parte. Ciò significa che il codice che definisce il funzionamento è pubblicamente disponibile da esaminare, modificare e condividere. Essendo trasparenti sul funzionamento del loro programma, i creatori di questi strumenti invitano altri a cercare difetti di sicurezza, aiutando nel lungo periodo a migliorare le funzionalità e la sicurezza del programma.

Il software open source offre l'opportunità di una migliore sicurezza, ma non la garantisce. Il vantaggio dell'approccio open source si basa, in parte, su una comunità di tecnologi che controlla effettivamente il codice sorgente. Questo approccio può essere difficile da mantenere e raggiungere, specialmente per i piccoli progetti ma anche per quelli più grandi e complessi.

Quando si considera uno strumento, accertarsi se il suo codice sorgente sia disponibile e se abbia un controllo di sicurezza indipendente per confermare la qualità della sua sicurezza è il primo passo per farsi un'opinione in merito. In ogni caso, la natura stessa di open source, porta il software o l'hardware ad avere una spiegazione tecnica abbastanza dettagliata delle varie funzionalità. Esperti del settore possono farsi un'idea abbastanza approfondita in merito alla bontà del programma e/o dispositivo.

Quanto sono chiari progettisti e fornitore a riguardo di vantaggi e svantaggi?

Nessun software o hardware è completamente sicuro. E' importante cercare strumenti con progettisti e venditori che siano onesti riguardo alle funzionalità e limitazioni del loro prodotto.

Le affermazioni generali che dicono che il codice è "di livello militare" o "a prova di NSA" sono degli indicatori di pericolo: una bandierina rossa. Queste affermazioni indicano che i progettisti possono essere eccessivamente fiduciosi o riluttanti a considerare i possibili errori nel loro prodotto.

Poiché gli hacker tentano sempre di scoprire nuovi modi per infrangere la sicurezza degli strumenti, software e hardware devono essere aggiornati per correggere le vulnerabilità che nel tempo si vanno paventando. Può essere un problema serio se i progettisti non sono disposti a farlo, perché temono una cattiva pubblicità o perché non hanno costruito l'infrastruttura per farlo. Cerca i progettisti che sono disposti a fare questi aggiornamenti, che sono onesti e chiari sul perché lo stanno facendo.

Un buon indicatore di come si potrebbero comportare i progettisti in futuro è la loro attività passata. Se il sito web dello strumento elenca problemi precedenti e collegamenti a aggiornamenti e informazioni regolari: ad esempio quanto tempo è trascorso dall'ultimo aggiornamento del software, puoi essere ragionevolmente più sicuro che continueranno a fornire anche questo servizio in futuro.

Cosa succede se il fornitore è stato compromesso?

Quando gli strumenti di sicurezza sono costruiti tramite software e hardware, essi (proprio come te) devono avere un chiaro modello di minaccia. I migliori progettisti descrivono esplicitamente da quale tipo di avversari possono proteggerti nella loro documentazione.

Tuttavia, esiste un aggressore a cui molti produttori non vogliono pensare: loro stessi! Cosa succede se essi stessi sono compromessi? Cosa succede se decidono di attaccare i propri utenti? Ad esempio, un tribunale o un governo può obbligare un'azienda a consegnare i dati personali o creare una "backdoor" che rimuova tutte le protezioni offerte dal loro strumento. Quindi è necessario considerare la giurisdizione a cui sono legati i loro creatori. Per esempio, se sei preoccupato di proteggerti dal governo iraniano, una compagnia con sede negli Stati Uniti sarà in grado di resistere agli ordini del tribunale iraniano, anche se deve rispettare gli ordini dei tribunali degli Stati Uniti.

Anche se un progettista è in grado di resistere alla pressione del governo, un aggressore può tentare di penetrare nei sistemi degli sviluppatori dell'azienda produttrice per poi attaccare i suoi clienti.

Gli strumenti più resilienti sono quelli che considerano questo come un possibile attacco e sono progettati per difendersi da questo. Cerca nella documentazione note, descrizioni che asseriscano che un progettista non accederà ai dati privati, piuttosto che la promessa che non lo farà. Cerca istituzioni con la reputazione di combattere gli ordini dei tribunali per i dati personali .

Il fornitore È stato citato o criticato online?

Le aziende che vendono prodotti e gli appassionati che pubblicizzano il loro prodotti possono essere fuorvianti, ingannare o addirittura mentire. Un prodotto che era originariamente sicuro potrebbe adesso avere terribili difetti. Assicurati di essere sempre informato sulle ultime notizie sugli strumenti che utilizzi.

È molto difficile per una persona tenere il passo con le ultime notizie su uno strumento, su tutti gli strumenti che si vogliono, devono utilizzare. Se hai colleghi che utilizzano un particolare prodotto o servizio, parla con loro per chiedere consigli e rimanere informato.

Quale telefono dovrei comprare? Quale computer?

Agli esperti di sicurezza o coloro che hanno un ruolo di "esperto", viene spesso chiesto: "devo acquistare un telefono Android oppure un iPhone?". "Devo usare un PC oppure un Mac?", ancora "quale sistema operativo dovrei usare?". Non ci sono risposte semplici a queste domande. La sicurezza relativa di software e dispositivi cambia continuamente man mano che vengono scoperti nuovi difetti e vengono risolti vecchi bug. Le aziende possono competere tra loro per garantire una maggiore sicurezza, oppure potrebbero essere tutte sotto pressione da parte dei governi per indebolire tale sicurezza.

Un consiglio generale e quasi sempre valido è quello che un dispositivo o un sistema operativo, deve essere costantemente aggiornato con gli aggiornamenti del software. Gli aggiornamenti spesso risolvono i problemi di sicurezza nelle versioni precedenti, che gli attacchi possono sfruttare. Tra le altre cose, si noti che alcuni telefoni e sistemi operativi meno recenti potrebbero non essere più supportati, anche per gli aggiornamenti di sicurezza. In particolare, un caso abbastanza noto ma non assolutamente isolato è quello di Microsoft, che ha chiarito che le versioni di Windows Vista, XP, scaduto una tal data non avrebbero più ricevuto correzioni per problemi di sicurezza anche gravi. Ciò significa che continuando ad utilizzare tali strumenti, non puoi aspettarti che essi siano al sicuro dagli aggressori. Lo stesso discorso vale per OS X di Apple versione prima del 10.11 o El Capitan.

Ora che hai considerato le minacce che affronti e sai cosa cercare in uno strumento di sicurezza digitale, puoi scegliere con maggiore sicurezza gli strumenti più appropriati per la tua situazione unica.

Prodotti citati nel sito per la difesa della privacy

Cerchiamo di garantire che il software e l'hardware menzionati nel sito soddisfino i criteri sopra elencati. 

In buona fede, facciamo ogni sforzo possibile, al meglio delle nostre possibilità e conoscenza per elencare solo i prodotti che:

• hanno una solida base sulla sicurezza digitale; 

• sono generalmente trasparenti circa il loro funzionamento (e le loro carenze);

• hanno difese contro la possibilità che i progettisti stessi siano compromessi;

• sono attualmente mantenuti, con una base di utenti ampia e tecnicamente ben informata.

Al momento di ogni stesura di articolo, guida, video in generale materiale, facciamo scelte valutando prodotti con la convinzione che se essi sono esposti ad un vasto pubblico che possa esaminarne i difetti, solleverebbe rapidamente preoccupazioni e commenti. 

Ti preghiamo di comprendere che non disponiamo delle risorse per esaminare o fornire assicurazioni indipendenti sulla loro sicurezza. In generale non approviamo questi prodotti e non possiamo garantire la completa sicurezza.