Diventare invisibili online, si può? Consigli da hacker

Siamo davvero sicuri di essere gli unici ad avere accesso ai nostri account online? Si pensi ai messaggi di posta elettronica che viaggiano attraverso server e sono archiviati su cloud: si potrà accedere a una e-mail da qualsiasi dispositivo in qualsiasi parte del mondo, avendo solo bisogno di una connessione Internet e delle credenziali del proprio account.

Eppure, anche quando il messaggio viene cancellato, questo potrebbe rimanere in qualche server da qualche parte del mondo e venire letto da cyber criminali o comunque da terze parti più o meno legittime. Un esempio è il client di posta elettronica Gmail: copie di ogni e-mail inviata e ricevuta tramite un account vengono conservate nei vari server di Google sparsi per il mondo. Questo implica che la posta elettronica di un utente potrebbe essere letta non solo dalla società di hosting in qualsiasi momento, ma anche da hacker che potrebbero violare i server e accedere ai dati che vi sono contenuti.

Inoltre, le società di hosting possono monitorare le e-mail di un loro utente a caccia di malware da cui proteggerlo, oppure effettuare scansioni a fini pubblicitari. In tutti questi casi la privacy dell’utente viene messa a rischio, spiega l’ex hacker Kevin Mitnick, ora diventato consulente di sicurezza informatica e che ha fondato la propria società Mitnick Security Consulting LLC. In un articolo su Wired, Mitnick spiega quale è il miglior modo per diventare invisibile online e proteggere la propria privacy, utilizzando strumenti come la crittografia o i software di navigazione sicura online come Tor: ecco i suoi consigli.

Consigli da hacker: usare la crittografia

Quasi tutti i servizi di posta elettronica basati sul web utilizzano la crittografia per garantire la cifratura dell’e-mail mentre è in transito. Solitamente, le e-mail utilizzano la crittografia asimmetrica, a cui sono associate due chiavi di cifratura: una che rimane sul dispositivo e non viene condivisa con nessuno, e una chiave pubblica, in genere disponibile liberamente su Internet. Queste due chiavi sono correlate tra loro, in modo che il messaggio possa essere letto solo dal mittente e dal destinatario, ma non da altri, ad esempio mentre è ancora in viaggio.

L’ex hacker spiega che alcuni servizi trasmettono la posta elettronica attraverso server chiamati Mail Transfer Agent (MTA), che ricevono e smistano le e-mail fino al computer del destinatario. Durante questo transito tra un server e l’altro, l’e-mail potrebbe essere intercettata e letta da chiunque riesca ad accedere al server, anche se i dispositivi di mittente e destinatario non sono stati attaccati.

Per evitare che questo accada, e diventare così invisibili online, si potrà utilizzare un sistema per crittografare le proprie e-mail, in modo che i dati in transito non siano in chiaro e leggibili da tutti, ma si tratta in genere di servizi a pagamento. Ad esempio, si potrà utilizzare PGP, acronimo di Pretty Good Privacy, che è un software a pagamento di Symantec Corporation che consente di cifrare le proprie e-mail. Altrimenti, si potranno utilizzare le versioni gratuite open-source, come OpenPGP oppure GPG (GNU Privacy Guard), che offrono le stesse funzioni di base per la sicurezza online dell’utente.

Consigli da hacker: come scegliere un servizio di crittografia

crittografia dati personali

Gli algoritmi per la crittografia che vengono utilizzati oggi sono pubblici e c’è un motivo: gli esperti di sicurezza informatica possono tentare di violarli per testarne l’efficacia o individuare l’eventuale presenza di falle. Questo perché ogni qual volta che l’algoritmo viene violato, significa che è diventato debole e va aggiornato o addirittura cambiato con un nuovo algoritmo più recente e soprattutto più sicuro.

Per questo motivo le chiavi crittografiche utilizzate sono molto importanti e se vengono condivise altrove rispetto al solo dispositivo in uso, ad esempio su un sistema di archiviazione cloud, l’azienda con cui l’utente le condivide potrebbe essere obbligata a fornirle a forze dell’ordine ed enti governativi a prescindere dalla volontà dell’utente in merito. Per eliminare questa possibilità, gli utenti dovrebbero sempre utilizzare la crittografia end-to-end a partire dal proprio dispositivo, senza demandarla a servizi terzi (come il servizio in cloud dell’esempio precedente).

Questo sistema crittografico fa sì che solo mittente e destinatario del messaggio abbiano la chiave crittografica per decifrarlo, quindi nessun altro potrà leggere il contenuto delle conversazioni. La crittografia end-to-end viene utilizzata da molte app di messaggistica, come WhatsApp, Telegram e Signal, ma può essere utilizzata anche per le corrispondenze via email, spiega Mitnick. Ad esempio, si potranno usare plug-in PGP che sono disponibili per molti browser, a partire da Chrome e Firefox, come Mailvelope.

Questa estensione per browser è in grado di gestire le chiavi di crittografia pubbliche e private di PGP attraverso una passphrase, che verrà utilizzata di volta in volta per generare le necessarie chiavi pubblica e privata. In questo modo, quando si scrive una e-mail a un destinatario che ha una chiave pubblica disponibile, l’utente potrà inviare un messaggio crittografato su misura e quindi decifrabile solo ed esclusivamente dal destinatario voluto e nessun altro, rendendo effettivamente la comunicazione online indecifrabile per chiunque.

Consigli da hacker: i metadata

metadati web

Anche utilizzando una crittografia end-to-end con software come PGP, c’è comunque una piccola parte delle conversazioni via e-mail che rimane leggibile e ricca di informazioni: i cosiddetti metadati, cioè le informazioni che vengono inserite nei campi A e Da, oltre che gli indirizzi IP dei server che gestiscono l’account email sia del mittente che del destinatario. In alcuni casi, nei metadati viene incluso, in chiaro, anche l’oggetto della mail, che potrebbe così rivelarne il contenuto.

Per diventare davvero invisibile, spiega l’ex hacker ed esperto di sicurezza online, è necessario fare attenzione anche alle tracce lasciate dai metadati. Quindi, oltre a crittografare la propria posta elettronica, sarà necessario eseguire altre operazioni sui metadati allegati al messaggio:

  • rimuovere il vero indirizzo IP, che segnala il punto di origine della connessione Internet e quindi potrà mostrare dove si trova l’utente e quale sia il suo provider
  • oscurare l’hardware e il software: impedire al sito web a cui ci si sta connettendo per inviare il messaggio di visualizzare informazioni sull’hardware e il software che l’utente usa per navigare in Internet.

Per quanto riguarda l’indirizzo IP che si trova nei metadati di una e-mail, questo può rivelare il provider dei servizi Internet utilizzato (nome e localizzazione geografica) e da qui, con un adeguato incrocio di dati, l’identità della persona che paga il servizio Internet e la posizione fisica di chi si connette.

La rimozione del vero indirizzo IP dai metadati consente pertanto di proteggere la propria privacy e per mascherarlo si potrà utilizzare ad esempio un servizio remailer anonimo, il cui scopo è quello di cambiare l’indirizzo email del mittente, inserendone uno proprio e pertanto “generico”, prima di inviarlo al destinatario. L’altra possibilità offerta da Mitnick è l’utilizzo di un router onion (TOR), un programma gratuito che consente di mascherare l’indirizzo IP in modo efficace e che è disponibile per diversi sistemi operativi.

Ad esempio, chi utilizza il browser Firefox, potrà scaricare la versione modificata per Tor dal sito ufficiale torproject.com, mentre l’app gratuita per i dispositivi Android che è disponibile nel Play Store di Google si chiama Orbot. A questo proposito è molto importante fare attenzione nello scaricare sempre i software o le app Tor legittimi e da siti certificati, per evitare di incorrere in malware o virus inseriti da malintenzionati (ma a volte anche dalle stesse agenzie di sicurezza nazionali) all’interno dei programmi destinati proprio a chi vi si affida per proteggere la propria sicurezza e, a volte, anche la propria libertà.

Tor funziona non facendo transitare i dati direttamente dal client al server, ma attraverso una serie di “nodi”. Ogni nodo è costituito dal computer di un utente della rete che mette a disposizione in modo volontario parte della propria potenza di calcolo e della propria banda dati per gestire il traffico di altri utenti. In questo modo il traffico viene smistato tra circa 7.000 nodi, ognuno dei quali è come lo strato di una cipolla (da qui il nome “onion”) ed è molto più difficile da analizzare e tracciare.

Ma non impossibile. Oltre a essere molto lento, infatti, Tor non offre alcun controllo sui nodi di uscita del traffico (ovvero l’indirizzo IP da cui appare arrivare il traffico prodotto dall’utente) e pertanto anche se utilizzato correttamente, le informazioni potrebbero essere monitorate sia da forze dell’ordine che da enti governativi e cyber criminali. I nodi di ingresso e di uscita della rete Tor possono essere infatti ”sorvegliati” in modo da fare analisi sui flussi di traffico e da qui potenzialmente identificare un utente, comparando i tempi e la tipologia di dati in ingresso ed in uscita dalla rete Tor.

Inoltre, ottenendo il controllo di un nodo di uscita consentirebbe a un attaccante di deviare il traffico proveniente da quel nodo verso un server fasullo e/o semplicemente di leggerlo e copiarlo senza che gli altri nodi della rete se ne possano accorgere. Ad esempio, un cyber criminale potrebbe attivare dei propri nodi di ingresso e/o di uscita, così da intercettare un particolare utente che sta usando, tramite rete Tor, un servizio di compravendita di criptovaluta e deviare il traffico, e quindi anche la valuta, verso il proprio portafoglio.

Consigli da hacker: creare un nuovo account invisibile

nuovo account

Per poter davvero diventare invisibili online, spiega Mitnick, sarà prima di tutto necessario creare un nuovo account di posta elettronica che sia anonimo, cioè che non abbia alcuna associazione con la vera identità di chi lo utilizza. Si tratta di una procedura impegnativa, spiega l’ex hacker, ma possibile.

Per prima cosa, il consiglio è quello di utilizzare un client di posta elettronica gratuito così da non lasciare traccia di pagamenti elettronici. Questi client gratuiti però richiedono l’associazione di un numero di telefono per la verifica dell’identità, e per farlo si potrà impostare un numero di telefono Skype se il client supporta l’autenticazione vocale piuttosto che quella via SMS. Servirà comunque una e-mail esistente e una carta prepagata per convalidare il numero di Skype, che quindi rappresenterà una traccia, seppur minima, dell’utente online.

Una volta attivato l’account attraverso il numero Skype, l’utente potrà iniziare a utilizzare la posta elettronica attraverso un browser Tor per mascherare il proprio IP e crittografare i messaggi con il software PGP. Infine, non andranno mai eseguite ricerche online mentre si è connessi con l’account di posta elettronica anonimo, altrimenti, di nuovo, il rischio è quello che il servizio di posta possa rilevare tali ricerche che, incrociate con l’utente “apparente” del servizio di posta, potrebbero portare alla definizione della vera identità dell’utente, vanificando tutti gli sforzi per rimanere invisibile online: sarà sufficiente anche solo cercare informazioni sul meteo del giorno per lasciare una traccia sul luogo in cui l’utente potrebbe effettivamente trovarsi.

Insomma, essere davvero invisibili online richiede continua attenzione e notevole diligenza, ma garantisce la sicurezza di navigazione e soprattutto permette di preservare la propria privacy Internet al massimo.

Fonte Fastweb.it

Calendario Notizie

Novembre 2024
L M M G V S D
 123
45678910
11121314151617
18192021222324
252627282930