[cose di lavoro]
Il mini-corso in tre puntate su autodifesa digitale e privacy è stato organizzato dalle associazioni Marina Cafè Noir e Luna Scarlatta. Trovate i post singoli su lunascarlatta.it

1. Se fosse un hashtag potrebbe essere #panico, o più ragionevolmente #consapevolezza.

Il corretto uso del digitale passa infatti per la sua conoscenza, dagli aspetti più interessanti, utili o anche soltanto ludici a quelli più oscuri e sotterranei, ai quali magari non pensiamo nemmeno, soprattutto- paradossalmente- se siamo nativi digitali o se frequentiamo normalmente il Web.
“Contro la retorica del digitale” è il titolo del primo incontro del seminario di studio gratuito del Marina Cafè Noir sull’autodifesa digitale, organizzato in collaborazione con Luna Scarlatta e Festival Pazza Idea 2016- CaЯatteЯe Speciale a Cagliari martedi 27 settembre.

I tre relatori- Giulio De Petra, esperto di innovazione tecnologica e dirigente nelle pubbliche amministrazioni, Francesco Paolo Micozzi, avvocato specializzato in diritto dell’informatica e delle nuove tecnologie, privacy e diritto d’autore, e Giovanni Battista Gallus, avvocato e docente al Corso di Perfezionamento in Digital Forensics, Privacy, Cloud e Cyber Warfare e presidente del Circolo dei Giuristi Telematici- hanno introdotto i temi dell’ “Internet delle cose”, delle sfumature di una privacy ormai quasi  irraggiungibile, dei meccanismi della Rete in termini di partecipazione vera e di accettazione spesso passiva delle sue dinamiche. Non sempre e non comunque “buone” a prescindere: “…l’insopportabile retorica della intrinseca bontà del digitale è smentita dai fatti e dal suo ‘lato oscuro’, per cui è importante creare “la resistenza agli usi cattivi della Rete”, così Giulio De Petra in apertura.
La straordinaria opportunità di Internet, che agli inizi sembrava appunto una “sconfinata utopia”, ha, come peraltro è normale in tutte le rivoluzioni tecnologiche epocali, mostrato presto le sue criticità: il saldo negativo tra distruzione e creazione di posti di lavoro nel digitale, la precarizzazione accentuata dai fenomeni pure interessanti come le piattaforme di condivisione o sharing economy come  Uber. Per quanto riguarda la partecipazione democratica, invece, l’uso del digitale in politica rivela spesso una comunicazione non “orizzontale” ma unidirezionale, alla vecchia maniera  insomma, un po’ come è quella della televisione. I tre esempi più attuali sono certamente il blog di Beppe Grillo, l’uso peculiare che il premier Matteo Renzi fa di Twitter, e i video di propaganda dell’ISIS. Cosa si può fare? Innanzitutto “non lasciare la materia soltanto agli addetti ai lavori, fare formazione e ‘scuola critica’, non solo con la teoria ma anche con strumenti operativi”, così De Petra.
Giovanni Battista Gallus, nel raccontare la narrazione generale di questo “futurismo digitale”, fatto anche di affermazioni affascinanti e discutibili quali “tutto deve essere conosciuto” e “la privacy è un furto”, ha sottolineato la perdita di generatività della Rete, dovuta al moltiplicarsi di circuiti chiusi che ne limitano, appunto, gli sviluppi possibili (e liberi). Il pensiero va subito all’enorme potere di accentramento in un solo motore di ricerca, oppure a Facebook, che è per definizione una piattaforma chiusa. O ancora, l’importante problema del monopolio dell’informazione.

La Rete, insomma, viene usata come una enorme macchina per profilare gli utenti ma non era questo il suo scopo originario. E quello che si può fare è proprio “tornare alle origini” del Web, in cui le persone abbiano la consapevolezza della sorveglianza e della profilazione, anche nelle attività quotidiane che vanno dall’uso del GPS (o di altre app) sullo smartphone all’ipotesi attuale dei veicoli totalmente autonomi o alla domotica.  Riprendere la Rete come spazio di libertà, perché il suo controllo sulla nostra vita non è ineludibile.
Per quanto riguarda l’ Internet delle cose (IoT), Francesco Paolo Micozzi ha efficacemente ricordato che siamo già a 22 miliardi di devices collegati alla Rete, e siamo avviati a raddoppiarli entro il 2020.
I rischi degli smart “cosi”, di tutte le molteplici forme di utilizzo pratico del digitale (da Arduino alle Tv di ultima generazione che in qualche caso hanno un microfono e una telecamera incorporati e letteralmente ci ascoltano), sono legati innanzitutto a una bassa sicurezza dei dispositivi, che magari contengono la password, o sono sensibili ai malware e ai sistemi di intrusione.  “Siamo arrivati a questo: anche una Tv che ti ascolta è diventata ‘smart!”, così Gallus.  E che dire dei dispositivi medici, ad esempio per l’insulina o i pacemaker, che possono essere controllati online?
Gli esempi sono molteplici, e altri due incontri già in calendario a ottobre potranno offrire degli strumenti pratici di grande utilità, anche “for dummies” o semplicemente per chi finora non ci aveva mai pensato, alla necessità di proteggersi. Perchè è necessario “…difenderci dal digitale, pur amandolo. Avendo cioè più consapevolezza degli strumenti per poi poterli eventualmente disabilitare” (Micozzi).

Giovanbattista Gallus

Diritto d’autore, diritto penale, tutela della privacy e diritto dell’informatica e delle nuove tecnologie sono le sue principali materie di competenza. Dopo la laurea cum laude in giurisprudenza in Italia si trasferisce in Gran Bretagna per il Master of Laws in Maritime Law e Information Technology Law alla University College London – UCL.. In seguito consegue il titolo di dottore di ricerca. Nel 2009 ottiene lo European Certificate on Cybercrime and Electronic Evidence (ECCE). È ISO 27001:2005 Certified Lead Auditor (Information Security Management System).Iscritto all’Albo degli Avvocati dal 1996, Cassazionista dal 2009, collabora con la cattedra di Informatica Giuridica dell’Università di Milano ed è docente al Corso di Perfezionamento in Digital Forensics, Privacy, Cloud e Cyber Warfare. Fellow del Nexa Center on Internet e Society e del Hermes Center for Transparency and Digital Human Rights. Autore di diverse pubblicazioni sui temi citati e relatore nei principali convegni nazionali e internazionali, affianca alla professione attività di formazione, in particolare nel campo del diritto d’autore, del Free software – Open Source, della tutela della privacy, della sicurezza informatica e della digital forensics. Past Presidente del Circolo dei Giuristi Telematici, fondato nel 1998, primo esempio italiano di associazione giuridica telematica. È inoltre membro del Consiglio Direttivo di ANORC, Associazione Nazionale per Operatori e Responsabili della Conservazione Digitale, e di ABIRT, Advisory Board Italiano dei Responsabili del Trattamento dei dati personali.

Francesco Paolo Micozzi
avvocato specializzato in diritto dell’informatica e delle nuove tecnologie, privacy e diritto d’autore. Scrive per LeggiOggi e cura il blog Quid Novi. Collabora con le cattedre di Informatica Giuridica e Informatica Giuridica Avanzata dell’Università di Milano, ed è fellow del Centro Hermes per la Trasparenza e i Diritti Umani Digitali.

 

Giulio De Petra
Esperto di innovazione tecnologica nelle pubbliche amministrazioni, ha maturato una pluriennale esperienza ricoprendo ruoli di direzione nell’Amministrazione centrale dello Stato e nelle Amministrazioni pubbliche regionali e locali.
E’ attualmente Fellow del centro di ricerche Nexa del Politecnico di Torino e coordinatore del gruppo di ricerca della Fondazione Astrid per la Agenda Digitale.

2. I nostri dati in Rete: come una cartolina leggibile da tutti!

Le password sono come le mutande, dice saggiamente un detto popolare e anche qualche esperto: bisognerebbe cambiarle spesso, non dovresti condividerle con nessuno e non dovresti tenerle in mostra. Una immagine plastica, questa, dei piccoli errori di distrazione e scarsa consapevolezza che spesso paghiamo care in termini di gestione e tutela della nostra vita digitale (che spesso si incrocia praticamente con quella fisica).
Il secondo appuntamento del ciclo di seminari sull’autodifesa digitale, organizzato a Cagliari da Marina Cafè Noir in collaborazione con Luna Scarlatta e curato dagli avvocati Francesco Paolo Micozzi e Giovanni Battista Gallus, si è focalizzato sugli aspetti più tecnici della sicurezza e tutela della privacy in Rete.
Durante l’intervento di Micozzi è stata evidenziata la necessità di gestire la sicurezza in base a tre fattori: hardware, software e wetware (il fattore umano), con una particolare attenzione alle password e specifici accorgimenti. Come ad esempio crearne di “robuste”, non usare la stessa per più servizi, utilizzare eventualmente un password manager, se possibile scegliere la 2-factor-authentication (autenticazione a due vie).
Anche utilizzare le prime parole che ci vengono in mente, come il nome dei figli o del nostro gatto o la sequenza numerica 12345, non è una grande idea: cercare per credere le apposite classifiche degli orrori disponibili in Rete.

E i nostri dati sul nostro computer, come possiamo proteggerli dagli eventi nefasti più comuni, cioè il furto, il disastro o la perdita? Stando ovviamente attenti, non lasciando mai i devices incustoditi e ricordandoci sempre di fare il backup (sì, quella copia che rimandiamo sempre, salvo poi piangere lacrime amare in quantità direttamente proporzionale all’importanza dei dati perduti). Tra i disastri più comuni, i trojan e il ransomware, cioè i software che cifrano il sistema, si impadroniscono dei dati e ti chiedono il riscatto, che si trovano agevolmente anche nel “black market” della Rete in versione già pronta all’uso. Ricordiamo che esistono anche software gratuiti o a pagamento per cifrare e decifrare documenti, in una ottica di grande prudenza che comprende anche la cifratura delle email, le chat cifrate, le comunicazioni VOIP sicure, la comunicazione o messa a disposizione di files cifrati o formati digitalmente.
Attenzione anche al Wi-Fi: il modo più sicuro per utilizzarlo, quando siamo lontani dal nostro, è…non utilizzarlo proprio, perché non ne esistono di pubblici e sicuri. Possiamo difenderci soltanto introducendo restrizioni o installando “Wireless Intrusion Prevention System”. E su tutti i dispositivi IoT, controllare la vulnerabilità prima dell’acquisto, cambiare la password di default, disabilitare i devices quando non li usiamo e disattivare il wi-fi automatico, preferire il tethering alla connessione pubblica aperta.
E attenzioen al “social engineering”, cioè al lato debole del fattore umano, che spesso è la curiosità, o la fretta.
Perchè, semplicemente, “The best way to recover from unexpected data loss is to be properly prepared”.
Giovanni Battista Gallus ha utilizzato l’esempio efficace della nostra corrispondenza ai tempi dell’analogico, quando scrivevamo le lettere o le cartoline, evidentemente con un diverso scopo e soprattutto un diverso grado di riservatezza o pubblicità: le une chiuse, le altre esposte allo sguardo di tutti. “Non si vede perché oggi i nostri dati digitali dovrebbero esser come le cartoline, leggibili da tutti”.
Ecco quindi che le chat cifrate, ad esempio, impediscono al provider di profilarci e di bombardarci di pubblicità indesiderate, anche perchè non tutti sanno che la stragrande maggioranza delle mail pubblicitarie contiene immagini che raccolgono dati, fanno cioè “tracking” (tracciano, letteralmente). Le contromisure si chiamano “Pixel Block” o “Ugly Email”, e il sito “Have I been pwned” ci dirà se la nostra mail è stata compromessa.
Ma senza arrivare alla cifratura, ci sono anche le “cure minime” per i nostri sistemi: quanti di noi hanno dato un’occhiata ai settaggi e alle impostazioni di Windows? Ad esempio le localizzazioni, che vengono automaticamente trasmesse se non cambiamo le impostazioni.
E ancora sul Wi-fi, la tentazione a cui tutti cediamo quando siamo fuori casa e magari ne troviamo una “free”: possiamo creare una VPN, un Virtual Private Network (ce ne sono di gratuite e a pagamento), che creano una rete “nostra” che ci permette di navigare con maggiore sicurezza, così come potremmo fare anche installando il sistema TOR, che crea un altro IP al posto del nostro, permettendoci di essere, in quel momento, molto più sicuri e anonimi in Rete.
Così anche le “macchine virtuali” (virtual box), ovvero i sistemi che creano macchine (con Linux, Windows ecc), praticamente un nuovo computer con dentro il nostro.
Ancora, programmi come HTTPS Everywhere, che forzano alla cifratura dei dati tutti i siti a cui ci colleghiamo, o Script Safe, che blocca gli script malevoli, o semplicemente pubblicitari. E attenzione a Flash Player, uno dei programmi più vulnerabili in assoluto, non a caso sempre meno presente nei siti.
Last but not least, alcuni siti consigliati dagli esperti:
Krebson Security https://krebsonsecurity.com/
Online Survivor Kit
Security in a box (il sito dell’esperto mondiale Bruce Schneier, con newsletter mensile). https://securityinabox.org/
Il prossimo appuntamento sarà dedicato alla sicurezza da mobile. Pronti a settare -e se necessario resettare- l’adorato smartphone?

3. Forse è meglio tornare ai bigliettini

La terza e ultima “puntata” del corso sull’autodifesa digitale curato dagli avvocati Giovanni Battista Gallus e Francesco Paolo Micozzi per Marina Cafè Noir e Luna Scarlatta si è incentrato sulla parte “mobile” del digitale, ovvero lo smartphone. Un oggetto che è croce, delizia e cassaforte di tutta la nostra vita: immagini, testi, conversazioni, numeri di telefono, applicazioni per ogni uso e sfizio possibile.

Un dispositivo prezioso tanto da essere considerato in una sentenza della Corte Suprema degli USA, con un tocco ironico e paradossale ma non troppo, come una “importante caratteristica dell’anatomia umana”. Questo “chiarisce quanto affidiamo della nostra vita allo smartphone”, chiarisce G.B. Gallus, ed è vero.
Quasi una appendice del nostro corpo, dunque, che però utilizziamo con molta disinvoltura, e quindi mediamente poca sicurezza.

Per esempio, per “bucare” (cioè violare e impadronirsi di) WhatsApp o Telegram bastano circa 3.20 minuti, come spiegato da Francesco Micozzi con un efficace video esemplificativo. Su Google Play si possono acquistare programmi per inviare “silent sms”, che permettono di verificare se il telefono “vittima” è spento, condizione indispensabile per far scattare la segreteria telefonica. L’attaccante richiede poi sul sito di WhatApp o Telegram il codice di attivazione del telefono vittima, simulando di averlo perso, e poiché la chiamata verrà registrata, appunto, sulla segreteria, è da lì che poi si potrà recuperarlo.

L’idea che qualcuno possa leggere online le nostre conversazioni private è abbastanza spaventosa e fa venire voglia di resettare il telefono o magari passare all’Iphone, che rispetto agli altri ha il blocco dopo dieci tentativi di accesso (ma è sempre un’arma a doppio taglio).
Meglio, nel dubbio, cominciare dalle basi, per esempio evitando di autenticare il nostro accesso in maniera palese e visibile quando siamo in pubblico (perché tutti abbiamo una password e un PIN di accesso, VERO?).

Il sistema più sicuro rimane comunque…il bigliettino, il caro vecchio “pizzino” che all’occorrenza si può distruggere. La sicurezza informatica “totale” è ovviamente un’utopia, perché i confini si spostano continuamente in avanti e con essi ogni tipo di virus o uso malevolo dei dispositivi. Un esempio concreto è dato dal sabotaggio della stampa 3D, che in un mercato in costante crescita è sempre più appetibile e con la quale si possono produrre (“stampare” appunto) anche le armi.

Per quanto riguarda l’Internet delle cose, ci sono alcuni accorgimenti che si possono adottare subito per rendere i nostri dispositivi e le nostre case più sicure: controllare sempre i settings della privacy del telefonino, comprese la geolocalizzazione e i cookies, i contatti, il bluetooth, il microfono, e impostare il tutto in modo che ogni applicazione ci chieda sempre cosa vuoi fare prima di avviarla. Perchè “…il problema non è se saremo attaccati, ma semplicemente quando”.

Mentre aspettiamo che accada, almeno facciamo il backup dei nostri dati e magari applichiamo qualche cura minima per il nostro telefono, come indicato da Giovanni Battista Gallus.
Buone pratiche che valgono soprattutto per Android, che ormai costituisce circa l’80% degli smartphone, e che vanno dalla scelta delle app fino alla decisione radicale di F-Droid, il software libero. Tutto nell’ottica di una maggiore libertà personale e privacy, della possibilità di non essere continuamente individuati, profilati, geolocalizzati e chi più ne ha più ne metta.
I primi mesi del 2016 hanno visto un vertiginoso aumento degli attacchi “ransomware”, la nuova frontiera della rapina non fisica ma basata, appunto, sul meccanismo del “riscatto”.
Ecco allora a cosa stare attenti per rendere il nostro sistema molto più sicuro:
– Password
– Crittografia
– Aggiornamento del sistema
-User Account
-Impostazioni Google
– Controllo delle App
-Remote tracking e wiping
– Backup
– Antivirus

Le app consigliate sono, per le chat, Signal (libera e gratuita), per i browser Orfox e Orbot (un Tor per telefonino), e DuckduckGo (un motore di ricerca e browser che ci dà i risultati di Google ma non ci profila). Poi, Open Vpn connect per collegarsi in sicurezza alle reti pubbliche, e Obscura Cam per pixelare i volti nelle foto, fino alla scelta radicale di F-Droid, sofware libero e gratuito con un catalogo di App non invasive e non profilanti.

Vale la pena di provarci, sempre in un’ottica di consapevolezza, anche un po’ di paranoia. Che quando si tratta di Web, appare sempre più come una virtù.

 

 

 

Inoltre vi consiglio di leggere...

Rispondi