Sicurezza attraverso l'oscurità: come coprire le tue tracce online

Pensare ai bit di dati che ti lasci alle spalle è un biglietto di sola andata per la paranoia. Il tuo browser? Pieno di biscotti. Il tuo telefono? Un faro che trasmette la tua posizione in ogni momento. I motori di ricerca tengono traccia di ogni tua curiosità. I servizi di posta elettronica archiviano troppo. Questi sono solo i luoghi ovvi di cui siamo a conoscenza. Chissà cosa sta succedendo all'interno di quei router?

La verità è che preoccuparsi della scia di impronte digitali e palle di polvere digitali piene del nostro DNA digitale non è solo per i paranoici deliranti. Certo, alcune fughe di notizie come le sottili variazioni di potenza consumate dai nostri computer sono sfruttabili solo da squadre di geni con grandi budget, ma molte di quelle più semplici sono già state abusate da ladri di identità, artisti ricattatori, spammer o peggio.

[Parla con te stesso in 9 popolari pratiche di sicurezza IT che semplicemente non funzionano e in 10 folli trucchi di sicurezza che funzionano. | Scopri come bloccare virus, worm e altri malware che minacciano la tua azienda, con i consigli pratici di collaboratori esperti nella guida PDF di. | Resta al passo con i principali problemi di sicurezza con la newsletter di Security Central. ]

Le notizie tristi stanno cambiando il modo in cui lavoriamo sul Web. Solo un pazzo accede al sito web della propria banca da un hub Wi-Fi di una caffetteria senza utilizzare la migliore crittografia possibile. Chiunque venda un computer su eBay pulirà il disco rigido per rimuovere tutte le informazioni personali. Ci sono dozzine di pratiche valide e preventive che stiamo imparando lentamente e molte non sono solo precauzioni intelligenti per gli individui, ma per chiunque speri di gestire un'attività a regola d'arte. Dati sensibili, segreti commerciali aziendali, comunicazioni aziendali riservate: se non ti preoccupi che questi bit sfuggano, potresti perdere il lavoro.

Imparare il modo migliore per coprire le tracce online sta rapidamente diventando un imperativo aziendale. È più che riconoscere che la crittografia del traffico intelligente significa non doversi preoccupare tanto della protezione dei router o che una crittografia significativa basata su client può creare un database traslucido che semplifica la gestione e la sicurezza del database. Buone tecniche di privacy per gli individui creano ambienti più sicuri, poiché un singolo anello debole può essere fatale. Imparare a coprire le tracce che lasciamo online è uno strumento prudente per difenderci tutti.

Ciascuna delle seguenti tecniche per proteggere le informazioni personali può aiutare a ridurre il rischio che almeno alcuni byte fluiscano su Internet. Non sono perfetti. Crepe impreviste, anche quando tutte queste tecniche vengono utilizzate insieme, si verificano sempre. Tuttavia, sono come serrature con catenaccio, allarmi per auto e altre misure di sicurezza: strumenti che forniscono una protezione sufficiente per incoraggiare i malintenzionati ad andare altrove.

Tecnica della privacy online n. 1: gestione dei cookie

I motori di ricerca e le società pubblicitarie che tracciano le nostre mosse online sostengono di avere a cuore i nostri migliori interessi. Anche se non annoiarci con gli annunci sbagliati può essere un obiettivo nobile, ciò non significa che il monitoraggio incessante delle nostre attività online non verrà utilizzato per le ragioni sbagliate da addetti ai lavori o siti Web con ideali meno stimati.

Il meccanismo standard per il monitoraggio online consiste nel memorizzare i cookie nel browser. Ogni volta che torni su un sito web, il tuo browser invia silenziosamente i cookie al server, che poi ti collega alle tue visite precedenti. Queste piccole informazioni personalizzate rimangono a lungo a meno che non programmi il browser per eliminarle.

La maggior parte dei browser dispone di strumenti adeguati per sfogliare i cookie, leggere i loro valori ed eliminare cookie specifici. Pulirli di tanto in tanto può essere utile, sebbene le società pubblicitarie siano diventate abbastanza brave a pubblicare nuovi cookie e collegare i nuovi risultati con quelli vecchi. Close 'n Forget, un'estensione per Firefox, elimina tutti i cookie quando chiudi la scheda associata a un sito.

I cookie standard sono solo l'inizio. Alcune società pubblicitarie hanno lavorato duramente per scavare più a fondo nel sistema operativo. L'estensione BetterPrivacy per Firefox, ad esempio, catturerà i "supercookies" memorizzati dal plug-in Flash. L'interfaccia del browser standard non sa che questi supercookie ci sono e puoi eliminarli solo con un'estensione come questa o lavorando direttamente con il plug-in Flash.

Esistono ancora altri trucchi per conservare le informazioni in un computer locale. Ghostery, un'altra estensione per Firefox, controlla i dati provenienti da un sito web, segnala alcune delle tecniche più comuni (come l'installazione di immagini a pixel singolo) e ti consente di invertire gli effetti.

Tecnica della privacy online n. 2: Tor

Uno dei modi più semplici per tracciare la tua macchina è attraverso il tuo indirizzo IP, il numero che Internet usa come un numero di telefono in modo che le tue richieste di dati possano trovare la strada per tornare alla tua macchina. Gli indirizzi IP possono cambiare su alcuni sistemi, ma spesso sono abbastanza statici, consentendo al malware di monitorare il tuo utilizzo.

Uno strumento ben noto per evitare questo tipo di tracciamento si chiama Tor, acronimo di "The Onion Router". Il progetto, sviluppato dall'Office of Naval Research, crea una super rete crittografata e autorigenerante su Internet. Quando la tua macchina avvia una connessione, la rete Tor traccia un percorso attraverso N diversi nodi intermedi nella sottorete Tor. Le vostre richieste di pagine Web seguono questo percorso attraverso i nodi N. Le richieste vengono crittografate N volte e ogni nodo lungo il percorso rimuove uno strato di crittografia come una cipolla ad ogni salto attraverso la rete.

L'ultima macchina nel percorso invia quindi la tua richiesta come se fosse la sua. Quando la risposta torna, l'ultima macchina che funge da proxy crittografa la pagina Web N volte e la invia indietro attraverso lo stesso percorso. Ogni macchina nella catena conosce solo il nodo prima di esso e il nodo dopo di esso. Tutto il resto è un mistero criptato. Questo mistero protegge te e la macchina dall'altra parte. Non conosci la macchina e la macchina non ti conosce, ma tutti lungo la catena si fidano solo della rete Tor.

Sebbene la macchina che funge da proxy all'altra estremità del percorso potrebbe non conoscerti, potrebbe comunque tenere traccia delle azioni dell'utente. Potrebbe non sapere chi sei, ma saprà quali dati stai inviando sul Web. Le vostre richieste di pagine Web vengono completamente decrittografate nel momento in cui raggiungono l'altra estremità del percorso perché la macchina finale della catena deve essere in grado di agire come proxy. Ciascuno degli N strati è stato rimosso finché non sono spariti tutti. Le tue richieste e le risposte che portano sono facili da leggere man mano che arrivano. Per questo motivo, potresti considerare di aggiungere più crittografia se utilizzi Tor per accedere a informazioni personali come la posta elettronica.

Ci sono molti modi per usare Tor che variano in complessità, dalla compilazione del codice al download di uno strumento. Un'opzione popolare è scaricare il Torbutton Bundle, una versione modificata di Firefox con un plug-in che rende possibile attivare o disattivare Tor durante l'utilizzo del browser; con esso, usare Tor è semplice come navigare sul Web. Se devi accedere a Internet indipendentemente da Firefox, potresti riuscire a far funzionare il proxy da solo.

Tecnica della privacy online n. 3: SSL

Uno dei meccanismi più semplici per proteggere i tuoi contenuti è la connessione SSL crittografata. Se stai interagendo con un sito web con il prefisso "https", le informazioni che stai scambiando probabilmente vengono crittografate con algoritmi sofisticati. Molti dei migliori provider di posta elettronica come Gmail ora ti incoraggeranno a utilizzare una connessione HTTPS per la tua privacy, passando il tuo browser al livello più sicuro, se possibile.

Una connessione SSL, se impostata correttamente, codifica i dati che pubblichi su un sito web e i dati che ricevi. Se stai leggendo o inviando e-mail, la connessione SSL nasconderà i tuoi bit da occhi indiscreti che si nascondono in uno qualsiasi dei computer o router tra te e il sito web. Se stai attraversando un sito Wi-Fi pubblico, ha senso utilizzare SSL per impedire al sito oa chiunque lo utilizzi di leggere i bit che stai inviando avanti e indietro.

SSL protegge solo le informazioni mentre viaggiano tra il tuo computer e il sito web distante, ma non controlla ciò che il sito web fa con esse. Se stai leggendo la posta elettronica con il browser Web, la crittografia SSL bloccherà qualsiasi router tra il computer e il sito Web di posta elettronica, ma non impedirà a chiunque abbia accesso alla posta di destinazione di leggerla dopo che è arrivata. È così che il tuo servizio di posta elettronica Web gratuito può leggere la tua posta per personalizzare gli annunci che vedrai proteggendola da chiunque altro. Il servizio di posta elettronica Web vede la tua posta in chiaro.

Esistono una serie di tecniche complicate per sovvertire le connessioni SSL, come avvelenare il processo di autenticazione del certificato, ma la maggior parte di esse va oltre l'intercettatore medio. Se stai utilizzando il Wi-Fi di un bar locale, SSL probabilmente impedirà al ragazzo nella stanza sul retro di leggere quello che stai facendo, ma potrebbe non bloccare l'attaccante più determinato.

Tecnica di privacy online n. 4: messaggi crittografati

Sebbene Tor nasconderà il tuo indirizzo IP e SSL proteggerà i tuoi bit dagli occhi indiscreti dei bot di rete, solo la posta crittografata può proteggere il tuo messaggio finché non arriva. L'algoritmo di crittografia codifica il messaggio ed è raggruppato come una stringa di quelli che sembrano caratteri casuali. Questo pacchetto viaggia direttamente al destinatario, che dovrebbe essere l'unico a disporre della password per decrittografarlo.

Il software di crittografia è più complicato da usare e molto meno semplice di SSL. Entrambi i lati devono eseguire un software compatibile ed entrambi devono essere pronti per creare le chiavi giuste e condividerle. La tecnologia non è troppo complicata, ma richiede un lavoro molto più attivo.

C'è anche una vasta gamma di qualità dei pacchetti di crittografia. Alcuni sono più semplici da usare, il che spesso crea più punti deboli, e solo i migliori possono resistere a un avversario più determinato. Sfortunatamente, la crittografia è una disciplina in rapida evoluzione che richiede una profonda conoscenza della matematica. Comprendere il dominio e prendere una decisione sulla sicurezza può richiedere un dottorato e anni di esperienza. Nonostante i problemi e le limitazioni, anche i peggiori programmi sono spesso abbastanza forti da resistere all'intercettatore medio, come qualcuno che abusa del potere dell'amministratore di sistema di leggere le email.

Tecnica della privacy online n. 5: database traslucidi

Il tipico sito Web o database è un obiettivo unico per i ladri di informazioni perché tutte le informazioni sono archiviate in chiaro. La soluzione tradizionale consiste nell'utilizzare password complesse per creare un muro o una fortezza attorno a questi dati, ma una volta che qualcuno supera il muro, è facile accedere ai dati.

Un'altra tecnica consiste nell'archiviare solo i dati crittografati e garantire che tutta la crittografia venga eseguita sul client prima che venga distribuita su Internet. Siti come questi possono spesso fornire la maggior parte degli stessi servizi dei siti web o dei database tradizionali, offrendo al contempo garanzie molto migliori contro la fuga di informazioni.

Un certo numero di tecniche per applicare questa soluzione sono descritte nel mio libro "Translucent Databases". Molti database offrono altri strumenti di crittografia che possono fornire alcuni o tutti i vantaggi ed è facile aggiungere altri strumenti di crittografia ai client Web.

Nei migliori esempi, la crittografia viene utilizzata per oscurare solo i dati sensibili, lasciando il resto in chiaro. Ciò rende possibile utilizzare le informazioni non personali per analisi statistiche e algoritmi di data mining.

Tecnica della privacy online n. 6: Steganografia

Una delle tecniche più elusive e accattivanti è la steganografia, un termine generalmente applicato al processo di nascondere un messaggio in modo che non possa essere trovato. La crittografia tradizionale blocca i dati in una cassaforte; la steganografia fa sparire la cassaforte. Per essere più precisi, maschera la cassaforte per sembrare qualcosa di innocuo, come una pianta d'appartamento o un gatto.

Le soluzioni più comuni comportano la modifica di una piccola parte del file in modo che non venga notato. Un singolo bit di un messaggio, ad esempio, può essere nascosto in un singolo pixel disponendo la parità delle componenti rossa e verde. Se sono entrambi pari o entrambi dispari, il pixel porta il messaggio di 0. Se uno è pari e uno è dispari, allora è un 1. Per essere più concreti, immagina un pixel con valori di rosso, verde e blu di 128 , 129 e 255. Il valore rosso è pari, ma il valore verde è dispari, il che significa che il pixel sta portando il messaggio di 1.

Un breve messaggio di un bit può essere nascosto prendendo un file, concordando un pixel e apportando una piccola modifica al valore rosso o verde in modo che il pixel porti il ​​messaggio giusto. Un cambiamento di un bit sarà minimo e quasi certamente non visibile all'essere umano, ma un algoritmo informatico che cerca nel posto giusto sarà in grado di trovarlo.

Paul Revere doveva inviare solo un bit, ma potrebbe essere necessario inviarne di più. Se questa tecnica viene ripetuta abbastanza a lungo, qualsiasi quantità di dati può essere nascosta. Un'immagine con 12 megapixel può memorizzare un messaggio con 12 MB o 1,5 MB, senza modificare alcun pixel di più di un'unità di rosso o verde. Un uso giudizioso della compressione può migliorarlo notevolmente. Un messaggio di grandi dimensioni come questo articolo può essere nascosto negli angoli di una foto media che galleggia su Internet.

La modifica dei pixel è solo uno dei modi in cui i messaggi possono essere inseriti in posizioni diverse. Esistono dozzine di metodi per applicare questo approccio, ad esempio sostituire le parole con sinonimi o inserire ad arte lievi errori tipografici in un articolo. È un errore di ortografia o un messaggio segreto? Tutti si basano sull'inserimento di piccole modifiche impercettibili.