Under r00t – HackLab Bergamo

Una delle conseguenze che abbiamo visto con il diffondersi delle notizie sulle attivita’ di spionaggio dell’NSA, e’ che sempre piu’ persone desiderano conoscere come (o se) sia possibile difendersi dalla sorveglianza online. Da dove cominciare?

La brutta notizia e’ che se sei oggetto di attenzioni da parte di un’agenzia di intelligence come l’NSA, e’ molto, molto difficile riuscire a difenderti. La buona notizia, se cosi’ si puo dire, e’ che molto di quello che NSA sta facendo riguarda la sorveglianza di massa. Con pochi piccoli passi, puoi rendere questo tipo di sorveglianza molto piu’ difficile e costosa per NSA, a vantaggio tuo e piu’ in generale di chiunque altro.

Di seguito ci sono 10 passi che puoi seguire per rendere i tuoi strumenti informatici piu’ sicuri. Non si tratta di una lista completa, e non ti mettera’ completamente al sicuro dall’essere spiato. Ma ogni singolo passo ti consentira’ di essere un poco piu’ sicuro della media. E costringera’ i tuoi attaccanti, siano essi l’NSA o dei criminali locali, a lavorare molto piu’ duramente.

1) Utilizza la cifratura end-to-end. Sappiamo che l’NSA ha lavorato per indebolire la cifratura, ma esperti come Bruce Schneier che hanno letto i documenti dell’NSA credono che la cifratura sia ancora “vostra amica”. E i vostri migliori alleati rimangono ancora i sistemi Open Source che non condividono la vostra chiave segreta con altri, che possono essere esaminati liberamente da esperti di sicurezza, e che cifrano i dati per tutto il percorso di una conversazione dal mittente al destinatario: dal tuo computer alla persona con la quale stai conversando in chat. La via piu’ semplice per ottenere questa cifratura “end-to-end” e’ con la tecnologia “off-the-record (OTR)” , che permette ai programmi di messaggistica di impiegare la cifratura “end-to-end” (e che puoi usare con servizi esistenti, come Google Hangout e la chat di Facebook). Installalo sui tuoi computer e consiglia ai tuoi amici di fare altrettanto. Quando avrai fatto cio’, dai uno sguardo a PGP, puo’ sembrare complicato da usare, ma utilizzato bene evitera’ alle tue email di essere un libro aperto per gli spioni. (OTR non riguarda l’opzione presente nella chat di Google “Go Off The Record”, hai bisogno di programmi extra per ottenere la cifratura “end-to-end”!)

2) Cifra il piu’ possibile le comunicazioni. Anche se non puoi utilizzare la cifratura “end-to-end”, puoi comunque cifrare molto del tuo traffico internet. Se usi il plugin HTTPS Everywhere realizzato dalla EFF per Chrome o Firefox, puoi massimizzare il totale di traffico web sicuro forzando i siti a cifrare le pagine quando possibile. Usa una Rete Privata Virtuale (VPN) quando ti trovi in una rete della quale non ti fidi, come in un internet cafe.

3) Cifra il tuo disco fisso. Le ultime versioni di Windows, Macs, iOS e Android consentono tutte di cifrare il disco fisso locale. Fallo. Senza, chiunque con qualche minuto d’accesso fisico al tuo computer, tablet o smartphone puo’ copiare il contenuto, anche se non in possesso della vostra password.

4) Password robuste, tenute al sicuro. Al giorno d’oggi le password necessitano di essere particolarmente lunghe per rimanere al sicuro dai “crackers”. Password per la casella email, password per sbloccare i computer, e password per i servizi web. Se e’ sbagliato riutilizzare sempre la stessa password, ed e’ sbagliato scegliere password corte, come e’ possibile ricordarsele tutte? Usa un password manager. Anche scrivere le tue password su un foglio e tenerle nel portafoglio e’ piu’ sicuro di riutilizzare la stessa password facilmente memorizzabile, almeno puoi sapere quando il portafoglio ti viene rubato. Puoi utilizzare una password difficilmente memorizzabile con un sistema di parole casuali come quello descritto su diceware.com .

5) Usa Tor. “Tor Puzza”, come recita la slide fuoriuscita dal GCHQ. Cio’ mostra come i servizi di intelligence siano preoccupati. Tor e’ un programma Open Source che protegge il tuo anonimato online mischiando i tuoi dati attraverso una rete globale di server gestiti da volontari. Se installi e usi Tor, puoi nascondere la tua origine da grosse aziende o dalla sorveglianza di massa. Mostrerai inoltre come Tor sia usato da chiunque, non solo dai “terroristi” come il GCHQ sostiene.

6) Abilita l’autenticazione “two-factor” (o “two-step”). Google e Gmail ce l’hanno, Twitter ce l’ha, Dropbox ce l’ha. L’autenticazione “two-factor”, quella dove digiti una password e un numero di conferma che cambia regolarmente, ti protegge da attacchi sul web e sui servizi cloud. Quando disponibile, abilitala per i servizi che utilizzi. Se non e’ disponibile, di’ al gestore che la desideri.

7) Non cliccare gli allegati. La via piu’ semplice per prendere un virus sul tuo computer e’ attraverso l’email, oppure su siti compromessi. I programmi per la navigazione web migliorano continuamente per proteggerti dal peggio della rete, ma i files trasmessi via email o scaricati da internet possono comunque prendere il controllo completo del tuo computer. Richiedi ai tuoi amici di mandarti informazioni in testo semplice; quando ti inviano un file, controlla due volte che provenga veramente da loro.

8) Mantieni il software aggiornato, e usa un anti-virus. L’NSA potrebbe tentare di compromettere le aziende Internet (e siamo ancora in attesa di sapere se le aziende che producono anti-virus ignorino deliberatamente i virus governativi), ma in fondo, e’ comunque meglio avere le aziende che cercano di migliorare i tuoi programmi che avere degli attaccanti in grado di sfruttare vecchie falle nel sistema.

9) Mantieni le informazioni super segrete in maniera super sicura. Pensa ai dati che possiedi, e prendi dei passi extra per cifrare e nascondere i dati piu’ riservati. Puoi usare TrueCrypt per cifrare separatamente una chiavetta USB. Potresti anche tenere i tuoi dati piu’ riservati su un computer portatile economico, tenuto disconnesso da internet ed impiegato solo per leggere o modificare documenti.

10) Cerca di essere un alleato. Se hai compreso e ci tieni al punto da aver letto fin qui, abbiamo bisogno del tuo aiuto. Per sfidare veramente lo stato di sorveglianza, c’e’ bisogno che insegni ad altri quello che tu hai imparato, spiegando loro perche’ e’ cosi’ importante. Installa OTR, Tor e gli altri programmi per i colleghi preoccupati, e insegna agli amici come utilizzarli. Spiega loro l’impatto che hanno le rivelazioni sull’NSA. Chiedigli di firmare Stop Watching US e altre campagne contro lo spionaggio di massa. Fai girare un nodo Tor, o organizza un “crypto party”. Devono smettere di guardarci; e noi dobbiamo iniziare a rendere piu’ difficile che cio’ avvenga.

#articolo originale
https://www.eff.org/deeplinks/2013/10/ten-steps-against-surveillance