Scegliere i tuoi strumenti

Con così tante aziende e siti Web che offrono strumenti orientati ad aiutare le persone a migliorare la propria sicurezza digitale, come si scelgono gli strumenti giusti per te?

Non abbiamo una lista infallibile di strumenti che possano difenderti (anche se puoi vedere alcune scelte comuni nelle nostre Guide degli strumenti ). Ma se hai una buona idea di cosa stai cercando di proteggere e di chi stai cercando di proteggerlo, questa guida può aiutarti a scegliere gli strumenti appropriati usando alcune linee guida di base.

Ricorda, la sicurezza non riguarda gli strumenti che usi o il software che scarichi.Inizia con la comprensione delle minacce uniche che affronti e su come puoi contrastare tali minacce. Consulta la nostra guida alla valutazione dei rischi per ulteriori informazioni.

Ultima recensione: 29/10/2018

La sicurezza è un processo, non un acquisto

La prima cosa da ricordare prima di cambiare il software che usi o acquistare nuovi strumenti è che nessuno strumento o software ti darà protezione assoluta dalla sorveglianza in tutte le circostanze.Pertanto, è importante pensare alle pratiche di sicurezza digitale in modo olistico. Ad esempio, se si utilizzano strumenti sicuri sul telefono, ma non inserire una password sul tuo computer, gli strumenti sul tuo telefono potrebbero non aiutarti molto. Se qualcuno vuole scoprire informazioni su di te, sceglierà il modo più semplice per ottenere tali informazioni, non il più difficile.

In secondo luogo, è impossibile proteggere da ogni tipo di trucco o aggressore, quindi è necessario concentrarsi su quali persone potrebbero desiderare i propri dati , cosa potrebbero desiderare e come potrebbero ottenerlo. Se la tua più grande minaccia è la sorveglianza fisica di un investigatore privato senza accesso agli strumenti di sorveglianza di Internet, non è necessario acquistare un costoso sistema telefonico crittografato che afferma di essere "a prova di NSA". In alternativa, se ti trovi di fronte a un governo che reclama regolarmente i dissidenti perché usano la crittografia strumenti, può avere senso usare tattiche più semplici, come organizzare una serie di codici preordinati e innocui per trasmettere messaggi, piuttosto che rischi lasciando prove che si utilizza il software di crittografia sul proprio laptop. Venire con una serie di possibili attacchi che si intende proteggere è chiamato modellazione delle minacce .

Detto questo, ecco alcune domande che puoi porre su uno strumento prima di scaricarlo, acquistarlo o usarlo.

Quanto è trasparente?

C'è una forte convinzione tra i ricercatori di sicurezza che apertura e trasparenza portano a strumenti più sicuri.

Gran parte del software che la comunità di sicurezza digitale utilizza e raccomanda è open source.Ciò significa che il codice che definisce come funziona è pubblicamente disponibile per altri da esaminare, modificare e condividere. Essendo trasparenti su come funziona il loro programma, i creatori di questi strumenti invitano altri a cercare difetti di sicurezza e aiutano a migliorare il programma.

Software open source offre l'opportunità di una migliore sicurezza, ma non lo garantisce. Il vantaggio dell'open source si basa, in parte, su una comunità di tecnologi che controlla effettivamente il codice, il che, per i piccoli progetti (e anche per quelli più diffusi e complessi), può essere difficile da raggiungere.

Quando si considera uno strumento, vedere se il suo codice sorgente è disponibile e se ha un controllo di sicurezza indipendente per confermare la qualità della sua sicurezza. Per lo meno, il software o l'hardware dovrebbero avere una spiegazione tecnica dettagliata di come funzioni per gli altri esperti da ispezionare.

Quanto sono chiari i suoi creatori riguardo ai suoi vantaggi e svantaggi?

Nessun software o hardware è completamente sicuro. Cerca strumenti con creatori o venditori che siano onesti riguardo alle limitazioni del loro prodotto.

Le affermazioni generali che dicono che il codice è "di livello militare" o "a prova di NSA" sono bandiere rosse. Queste affermazioni indicano che i creatori sono eccessivamente fiduciosi o riluttanti a considerare i possibili errori nel loro prodotto.

Poiché gli hacker tentano sempre di scoprire nuovi modi per infrangere la sicurezza degli strumenti, software e hardware devono essere aggiornati per correggere le vulnerabilità. Può essere un problema serio se i creatori non sono disposti a farlo, perché temono una cattiva pubblicità o perché non hanno costruito l'infrastruttura per farlo. Cerca i creatori che sono disposti a fare questi aggiornamenti e che sono onesti e chiari sul perché lo stanno facendo.

Un buon indicatore di come si comportano gli attrezzisti in futuro è la loro attività passata. Se il sito web dello strumento elenca problemi precedenti e collegamenti a aggiornamenti e informazioni regolari, ad esempio quanto tempo è trascorso dall'ultimo aggiornamento del software, puoi essere più sicuro che continueranno a fornire questo servizio in futuro.

Cosa succede se i creatori sono compromessi?

Quando gli strumenti di sicurezza costruiscono software e hardware, essi (proprio come te) devono avere un chiaro modello di minaccia . I migliori creatori descrivono esplicitamente quale tipo di avversari possono proteggerti nella loro documentazione.

Ma c'è un aggressore a cui molti produttori non vogliono pensare: loro stessi! Cosa succede se sono compromessi o decidono di attaccare i propri utenti? Ad esempio, un tribunale o un governo può obbligare un'azienda a consegnare i dati personali o creare una "backdoor" che rimuova tutte le protezioni offerte dal loro strumento. Quindi considera la giurisdizione (s) in cui sono basati i creatori.Se sei preoccupato di proteggerti dal governo iraniano, per esempio, una compagnia con sede negli Stati Uniti sarà in grado di resistere agli ordini del tribunale iraniano, anche se deve rispettare gli ordini degli Stati Uniti.

Anche se un creatore è in grado di resistere alla pressione del governo, un aggressore può tentare di penetrare nei sistemi propri degli attrezzisti per attaccare i suoi clienti.

Gli strumenti più resilienti sono quelli che considerano questo come un possibile attacco e sono progettati per difendersi da questo. Cerca un linguaggio che asserisca che un creatore non possa accedere ai dati privati, piuttosto che promettere che un creatore non lo farà . Cerca istituzioni con la reputazione di combattere gli ordini dei tribunali per i dati personali .

È stato CITATO o criticato online?

Le aziende che vendono prodotti e gli appassionati che pubblicizzano il loro ultimo software possono essere fuorviati, ingannare o addirittura mentire. Un prodotto che era originariamente sicuro potrebbe avere terribili difetti in futuro. Assicurati di essere sempre informato sulle ultime notizie sugli strumenti che utilizzi.

È molto lavoro per una persona tenere il passo con le ultime notizie su uno strumento. Se hai colleghi che utilizzano un particolare prodotto o servizio, collabora con loro per rimanere informato.

Quale telefono dovrei comprare? Quale computer?

Ai formatori di sicurezza viene spesso chiesto: "Devo acquistare Android o un iPhone?" O "Devo usare un PC o un Mac?" O "Quale sistema operativo dovrei usare? "Non ci sono risposte semplici a queste domande. La sicurezza relativa di software e dispositivi cambia continuamente man mano che vengono scoperti nuovi difetti e vengono risolti bug vecchi. Le aziende possono competere tra loro per garantire una maggiore sicurezza, oppure potrebbero essere tutte sotto pressione da parte dei governi per indebolire tale sicurezza.

Un consiglio generale è quasi sempre vero, comunque. Quando acquisti un dispositivo o un sistema operativo, tienilo aggiornato con gli aggiornamenti del software. Gli aggiornamenti spesso risolvono i problemi di sicurezza nel codice precedente che gli attacchi possono sfruttare. Si noti che alcuni telefoni e sistemi operativi meno recenti potrebbero non essere più supportati, anche per gli aggiornamenti di sicurezza. In particolare, Microsoft ha chiarito che le versioni di Windows Vista, XP e di seguito non riceveranno correzioni per problemi di sicurezza anche gravi. Ciò significa che se li usi, non puoi aspettarti che siano al sicuro dagli aggressori. Lo stesso vale per OS X prima del 10.11 o El Capitan.

Ora che hai considerato le minacce che affronti e sai cosa cercare in uno strumento di sicurezza digitale, puoi scegliere con maggiore sicurezza gli strumenti più appropriati per la tua situazione unica.

Prodotti citati nelL'autodifesa di sorveglianza

Cerchiamo di garantire che il software e l'hardware menzionati in SSD soddisfino i criteri sopra elencati. Abbiamo fatto uno sforzo in buona fede per elencare solo i prodotti che:

  • avere una solida base in ciò che attualmente sappiamo sulla sicurezza digitale,
  • sono generalmente trasparenti circa il loro funzionamento (e le loro carenze),
  • avere difese contro la possibilità che i creatori stessi siano compromessi, e
  • sono attualmente mantenuti, con una base di utenti ampia e tecnicamente ben informata.

Crediamo di avere, al momento della stesura, un vasto pubblico che li sta esaminando per i difetti, e solleverebbe rapidamente preoccupazioni al pubblico. Ti preghiamo di comprendere che non disponiamo delle risorse per esaminare o fornire assicurazioni indipendenti sulla loro sicurezza. Non approviamo questi prodotti e non possiamo garantire la completa sicurezza.