La sicurezza dei miei dati non è mai sufficiente

Ovvero di come avviarsi sulla via della paranoia sfruttando al meglio gli strumenti di sicurezza.

“La sicurezza dei miei dati non è mai sufficiente”.

Partendo da questa affermazione, forse leggermente paranoica ma niente affatto scontata, vorrei condividere alcune riflessioni sulla sicurezza dei nostri dati e su quanto spesso la trascuriamo. Prendiamo a riferimento tre esempi di vita reale.

Primo caso – Trasmissione via email. Talvolta, superficialmente, crediamo che un messaggio email ed i suoi preziosi allegati siano leggibili solo al legittimo destinatario. In realtà il protocollo di trasmissione della posta elettronica è IN CHIARO, quindi tecnicamente chiunque sia in ascolto durante il tragitto o nei server gateway o nei server di posta potrebbe leggere il contenuto dei messaggi (e degli attachment). Come si può ridurre questo rischio?

Secondo caso – Utilizzo di servizi “cloud”. Si sta sempre più diffondendo l’utilizzo di servizi che offrono uno spazio storage “cloud”, ossia un certo quantitativo di spazio disco collocato chissà dove nel quale possiamo memorizzare i nostri file preziosi ed averli a portata di mano da qualsiasi postazione connessa in Internet. Ma siamo realmente sicuri che nessuno ci possa buttare un occhio in questo spazio? Siamo sicuri che li avremo sempre a disposizione? L’esempio è fornito dal recente oscuramento del sito Mega-Upload: non entro nel merito di questa situazione, è però opportuno notare come gli utenti PAGANTI che avevano memorizzato i propri dati legittimi siano di punto in bianco tagliati fuori dall’accesso e dal controllo dei propri dati. Ci sarebbe stato un metodo per stare almeno più tranquilli sul fatto che nessuno sia in grado di accedere a quei dati?

Terzo caso – La chiavetta USB. Uno dei gadget più diffusi, è un tool utile per memorizzare i nostri dati più preziosi e trasferirli da un posto all’altro facilmente. Ma ha anche un grande difetto: si può perdere facilmente. E certamente chi la ritroverà ci guarderà dentro, anche solo animato da buone intenzioni per restituirla al legittimo proprietario. Se usiamo la chiave USB come repository per dati preziosi, possiamo in qualche modo proteggerla?

In un mio precedente post ho parlato di un programma che crea un archivio cifrato delle nostre password. L’utilizzo di questo strumento, oltre al ricordare le password al nostro posto, ci è utile perché protegge le medesime da occhi indiscreti. Anche se qualcuno entrasse in possesso dell’archivio, non sarebbe in grado di aprirlo se non conosce la sua chiave (Master Password e/o file chiave).

Lo stesso concetto di protezione può essere applicato ai file e rispondere efficacemente alle tre domande che mi sono posto poco sopra. Per questo obiettivo ci viene in aiuto il programma gratuito, open-source e multipiattaforma Truecrypt: esso consente di creare e gestire volumi cifrati nei quali possiamo memorizzare sicuramente i nostri file e dati più preziosi. Nonostante le molteplici funzionalità, anche avanzate, questo programma è molto semplice e lavora in modalità pressochè trasparente per l’utente.

La prima operazione da compiere è quella di creare un volume cifrato. Per far questo basterà scegliere la relativa voce dal menu o premere il bottone “Create volume”. Sarà mostrato il wizard che ci porrà subito una prima domanda: il volume cifrato deve essere contenuto in un file (scelta di default) o in una partizione di un disco o in tutto il disco? La risposta è strettamente legata alle necessità di ciascun utente: se vogliamo creare un archivio cifrato per inviare attachment via email o mantenere sicuri i nostri dati nel “cloud” (casi 1 e 2) allora ci sarà utile creare un file, mentre se vogliamo essere sicuri che la chiave USB non sia leggibile a nessun altro che non siamo noi (caso 3) allora sceglieremo la seconda opzione. La seconda domanda riguarda il tipo di volume che vogliamo creare: Standard o Nascosto. (Ed ecco che davanti ai nostri occhi si dischiude il sentiero della paranoia mentre un canto di sirene ci trascina negli abissi dell’insicurezza. Per chi volesse percorrere questo sentiero, consiglio la lettura dell’ottima spiegazione sul sito ufficiale). Scegliamo “Standard” e andiamo avanti alla terza domanda: Dove vogliamo posizionare il file che contiene il volume cifrato? E’ opportuno riflettere su un aspetto: se indichiamo il nome di un file già esistente, non otterremo la cifratura di quel file ma la sua definitiva e irrecuperabile cancellazione e sovrascrittura con un nuovo file che conterrà il volume cifrato Truecrypt. La successiva domanda riguarda il tipo di algoritmo di cifratura che vogliamo applicare al nostro volume (il canto delle sirene aumenta d’intensità e la via della paranoia è sempre più vicina…). Scegliamo secondo il nostro gusto, tenendo a mente che AES-256 è abbastanza sicuro…. A meno di non voler seguire le sirene, lasciamo il default per l’hashing e procediamo. Ci verrà quindi richiesto di determinare la dimensione del nostro volume cifrato e, nella schermata successiva, di specificare la password del volume cifrato: possiamo mettere fino a 64 caratteri e, come recita l’aiuto in linea, sarebbe opportuno utilizzare una combinazione di maiuscole, minuscole numeri e caratteri speciali. Infine ci sarà chiesto che tipo di formattazione vogliamo applicare al nostro volume cifrato.

Una volta creato il volume cifrato non dovremo fare altro che “agganciarlo” al nostro sistema (mount in gergo tecnico): con questa operazione, dopo aver immesso la password, il nostro sistema operativo ci renderà disponibile un nuovo drive, identificato da una lettera seguita da “:” sui sistemi Windows o da un mount point sui sistemi Linux. Siamo ora in grado di copiare i nostri preziosi file su questo drive con i metodi tradizionali: copia-incolla, drag&drop, linea di comando, etc.. Al termine delle operazioni sarà sufficiente “sganciare” (umount in gergo tecnico) il drive per essere certi che i nostri più preziosi dati siano chiusi al sicuro nel volume cifrato.

Possiamo quindi riprendere in esame i nostri tre casi di esempio e vedere come Truecrypt risolve i nostri quesiti.

Primo caso – Trasmissione via email. Possiamo creare un volume Truecrypt grande a sufficienza per contenere il testo riservato (che scriveremo in un documento) e gli allegati. Invieremo il volume cifrato Truecrypt via posta elettronica al nostro destinatario e, con un metodo diverso (per esempio, via telefono) gli comunicheremo la password con cui sarà in grado di aprire il volume cifrato.

Secondo caso – Utilizzo di servizi “cloud”. Possiamo creare un volume Truecrypt abbastanza capiente per memorizzarci dentro i nostri file più riservati e preziosi e anche, perché no, il nostro file delle password di Keepass. A questo punto disponiamo di una maggiore sicurezza dei nostri dati e li potremo memorizzare nel “cloud” con meno timori e con un grado di confidenza più alto.

Terzo caso – La chiavetta USB. Per i dispositivi USB possiamo utilizzare Truecrypt per cifrare interamente il dispositivo solo quando siamo sicuri che sui computer che utilizzeremo per leggere la chiavetta sia disponibile Truecrypt. Altrimenti possiamo formattare solo una partizione della chiavetta e memorizzare sul restante spazio in chiaro la versione “portabile” di Truecrypt (ossia una versione che non richiede l’installazione – Solo per Windows).

Per chi volesse approfondire (e anche per chi è intenzionato a seguire il sentiero della paranoia) il sito ufficiale del prodotto mette a disposizione una nutrita e ben fatta documentazione.

 

Leave a Comment

Filed under Spunti di riflessione

Rispondi