Come proteggere i propri dati ed evitare di subire attacchi

Presentiamo alcuni suggerimenti che aiutano a proteggere i propri dati e ad evitare di esporsi ad attacchi. Quella che vi proponiamo è una raccolta di consigli facenti riferimento, in molti casi, ad articoli che abbiamo pubblicato in passato.
L’idea è quella di offrire una sorta di “decalogo” per fare il punto su quelle che oggi sono le strategie più efficaci per navigare nell’anonimato e scongiurare la sottrazione di informazioni personali da parte di malintenzionati.

1) Usare Tor Browser su PC, Orbot e Orfox su Android e Onion Browser per proteggere le proprie sessioni di navigazione online

La rete Tor, come abbiamo più volte messo in evidenza, consente di raggiungere qualunque host remoto senza che i dati scambiati possano essere in alcun modo letti durante il tragitto (quindi neppure le informazioni scambiate usando protocolli di comunicazione che non prevedono l’uso della crittografia). La cifratura a strati applicata da Tor consente di mettersi al riparo da qualunque attacco di tipo man-in-the-middle: vedere anche Come aprire siti bloccati o che impediscono l’uso di Tor.
Tor, inoltre, nasconde l’indirizzo IP reale assegnato dal provider Internet scelto dall’utente al suo modem router o comunque alla connessione in uso.

Tor Browser è il software da installare su PC per proteggere la propria sessione di navigazione mentre Orbot e Orfox consentono di navigare in totale anonimato su Android.
Analoga applicazione per i device iOS è Onion Browser scaricabile gratuitamente da qui.

Va tenuto presente che in alcuni Paesi del mondo, l’utilizzo della rete Tor e comunque di servizi VPN che applicano la cifratura dei dati è ritenuto illegale. In Italia, in Europa e negli Stati Uniti non ci sono restrizioni in tal senso. Anzi, negli USA i provider hanno addirittura titolo per vendere a terzi la cronologia di navigazione dei singoli utenti: Navigare anonimi senza che neppure il provider possa monitorare i siti visitati.

2) Riconoscere gli attacchi phishing

Sebbene tutti i principali browser integrino ormai funzionalità che permettono di bloccare automaticamente l’accesso a siti web potenzialmente dannosi, è importante riuscire a riconoscere in proprio eventuali tentativi di phishing ovvero capire quali pagine web non sono ciò che vorrebbero far credere di essere.

Nell’articolo Come riconoscere email phishing abbiamo visto come capire quali email fanno riferimento a siti web truffaldini.

Anche VirusTotal, cliccando sulla scheda URL, permette di verificare “la bontà” di qualunque pagina web.
Se si avessero dubbi sull’identità di un sito web o sul contenuto in esso presente, è possibile fare riferimento alla scheda URL di VirusTotal o al servizio urlQuery che avevamo presentato tempo fa: Verificare se un sito è infetto con urlQuery.

3) Inviare dati personali solo su siti HTTPS

Quando si registra un nuovo account è sempre bene verificare che il sito al quale si è connessi utilizzi il protocollo HTTPS e un certificato digitale valido.
A questo proposito, le ultime versioni di Firefox e Chrome indicano esplicitamente quali siti web sono considerabili come sicuri: Sito sicuro su Chrome e Firefox, che cosa significa.

L’estensione HTTPS Everywhere, se installata all’interno del browser, consente di attivare automaticamente – ove disponibile – la versione HTTPS dei siti web. Di seguito le versioni per i vari browser:

– HTTPS Everywhere per Chrome
– HTTPS Everywhere per Firefox
– HTTPS Everywhere per Opera

Usare particolare attenzione quando si scaricano e si installano nuovi programmi

Nell’articolo Come non prendere virus e malware quando si scaricano programmi abbiamo presentato in 16 punti tutte quelle attenzioni che permettono di evitare infezioni malware o l’installazione di componenti dannosi quando si prelevano nuovi software.

4) Mettere in sicurezza le informazioni salvate sul PC con BitLocker o VeraCrypt

Di norma tutti i dati che si memorizzano nel proprio PC Windows sono leggibili da parte di chiunque, per esempio, scollegasse l’hard disk o l’unità SSD e lo connettesse a un’altra macchina.

Il software libero VeraCrypt consente di cifrare tutto il contenuto delle unità di memorizzazione, compresa quella ove è installato Windows: il funzionamento dell’applicazione è illustrato nel nostro articolo Come proteggere il contenuto dell’hard disk con VeraCrypt e Bitlocker.
VeraCrypt offre anche la possibilità di creare “contenitori crittografati” all’interno dei quali conservare informazioni importanti e dati che non devono mai cadere nelle mani altrui (vedere Come proteggere file con password in Windows al paragrafo Creare un contenitore con VeraCrypt).

Tranne che nelle versioni Starter e Home di Windows, nelle altre è possibile utilizzare – come alternativa a VeraCrypt – il software Microsoft BitLocker.
Per attivare la cifratura del contenuto del disco fisso, basta digitare Gestione BitLocker nella casella di ricerca di Windows quindi fare clic su Attiva BitLocker e seguire le istruzioni.

Nell’articolo Come proteggere il contenuto dell’hard disk con VeraCrypt e Bitlocker abbiamo chiarito il funzionamento di BitLocker.

5) Verificare la sicurezza dei propri account

Sia Google che Facebook mettono a disposizione due pagine che consentono di mettere in sicurezza i rispettivi account:

– Google Security Checkup
– Facebook Security Checkup

Le operazioni da compiere sono quelle che abbiamo suggerito nell’articolo Proteggere gli account web e migliorarne la sicurezza.
In particolare, l’autenticazione a due fattori consente di scongiurare l’accesso all’account da parte di soggetti non autorizzati.

L’utilizzo di una chiavetta U2F permette di sbloccare automaticamente l’accesso ai propri account solo collegando tale strumento al PC.
Ne abbiamo parlato nell’articolo Accedere a Google, Gmail e Dropbox senza digitare password.

Un’estensione come Password Alert per Chrome visualizza immediatamente un’allerta nel momento in cui l’utente dovesse erroneamente digitare la password per l’accesso all’account Google/GMail su siti web non ufficiali.

6) Gestire le password in modo sicuro su PC e dispositivi mobili

Al giorno d’oggi è indispensabile ricordare decine e decine di credenziali d’accesso per utilizzare molteplici siti web e servizi online.
Un’ottima soluzione per salvare tutte le proprie password in sicurezza è ricorrere al software Keepass e all’app Keepass2Android per i dispositivi Android:

– Gestione password: come farlo in sicurezza
– Gestione password Android: come fare

7) Assicurarsi di aver configurato la funzionalità “Trova il mio dispositivo” di Android

Seguendo le indicazioni riportate nell’articolo Gestione dispositivi Android: si rinnova l’app per trovare i propri device assicurarsi di aver configurato il proprio smartphone in maniera tale che la sua posizione sia individuabile da remoto, che il device possa essere bloccato e che il contenuto del dispositivo sia azzerabile da remoto.

Come app per la messaggistica istantanea e l’effettuazione di chiamate vocali assolutamente sicure, l'”app principe” è Signal, disponibile sia per Android che per iOS (vedere anche Che uso fanno le app della lista dei contatti? Signal offrirà certezze: ecco come).