#IJF18 WebMagazine
INTERNATIONAL JOURNALISM FESTIVAL
Perugia, Italy, 11-15 April 2018

sicurezza informatica

April 12, 2018

Guida pratica alla protezione di dati sensibili: consigli per la sicurezza del giornalista

Non si dice nulla di nuovo se si richiama l'attenzione sull'importanza vitale della segretezza delle informazioni raccolte dal giornalista durante la propria attività di inchiesta. I modi per rendere effettiva questa protezione dei dati, invece, sono meno scontati: è questo l'oggetto del Panel, tenuto da Marco Calamari, ingegnere ed esperto di privacy e Computer Forensics, nella sala dei Priori dell'Hotel Brufani.

Se, da una parte, le tecniche di violazione della privacy dei dati sono sempre più avanzate e difficili da fronteggiare, dall'altra è anche vero che esistono dei rimedi abbastanza affidabili per evitare che qualcuno riesca ad accedere indebitamente ai dati contenuti nei nostri dispositivi  al fine di trafugarne informazioni sensibili. Come muoversi, quindi, se si è alla ricerca di un sistema che impedisca, ad esempio, la tracciabilità dei propri movimenti in rete o che non conservi una memoria delle nostre azioni sul PC sul quale si è lavorato?

C'è da fare una premessa, nessun rimedio consente di sventare il rischio di violazione al cento per cento. Esistono alcuni accorgimenti: il primo, ci spiega l'ingegnere, si chiama Tails - acronimo di The Amnesic Incognito Live System - ovvero una versione live di GNU/linux pensata per preservare riservatezza e anonimato dei suoi utilizzatori. Il sistema operativo Tails è 'read only', cioè è dotato di un sistema operativo in grado di non coinvolgere l'hard disk del PC durante una qualsiasi attività svolta sul dispositivo. In poche parole, l'utente non lascia traccia del proprio operato sul computer e in rete. Per di più, non è infettabile da eventuali malware.

Come? Tails utilizza, per tutte le comunicazioni in rete, una sistema di anonimizzazione, il TOR - The Onion Router - che rende quasi impossibile tracciare l'utente. Si inserisce un CD-ROM nel PC, si lancia Tails e il gioco è fatto. L'unico limite del sistema è proprio la sua stessa forza: qualsiasi lavoro si stia portando avanti mentre si lavora su Tails, al momento dello spegnimento, è disperso. Installando il sistema operativo su una chiavetta USB si aggira il problema: si mantiene la prerogativa 'read only', ma si usufruisce di una partizione crittografata con cui poter scrivere qualcosa mentre si utilizza il computer. Non è finita qui: la protezione di Tails si estende all'autoaggiornamento e all'autoduplicazione attraverso la rete TOR, sgravando il giornalista del compito di aggiornare il software, diminuendo le possibilità di esporsi a violazioni.

Tails sembra uno strumento quasi perfetto per evitare infiltrazioni nel sistema, violazioni e fughe di dati sensibili.

Come si può garantire, invece, la sicurezza fisica del nostro computer?

"La soluzione è molto semplice, ve lo portate dietro in ogni momento della vostra vita, compreso a letto Ci dormite sopra e difficilmente riusciranno a infettarvelo. Però la cosa non è pratica se siete un giornalista che sta lavorando", risponde con ironia Calamari. Esistono invece metodi assai efficaci, che, anche non garantendo una protezione totale, minimizzano le possibilità di infezione del nostro PC. Haven, ad esempio, è un'applicazione per Android, parte del The Guardian Project, sviluppata dallo stesso Edward Snowden, con lo scopo di rendere difficile la possibilità di infettare il nostro dispositivo quando lo lasciamo incustodito, ad  esempio in una camera d' albergo. Installando Heaven su uno cellulare di recupero e lasciando l'apparecchio in una posizione tattica, che visualizzi i posti critici, l'app si attiva, utilizzando fotocamera, sensori sonori e accelerometro che registrano, attraverso un log, suoni, vibrazioni e immagini. Tutto il materiale captato dal log viene poi inviato come allarme al proprietario attraverso un sms o un messaggio in rete.

Il monitoraggio della sicurezza fisica può anche passare per un pc airgapped, letteralmente 'circondato d'aria'. Un computer completamente inviolabile via rete perché nuovo, e quindi, mai stato connesso a internet.

Ulteriore accorgimento: l'utilizzo di uno smartphone, in situazioni nelle quali sia richiesto un margine di sicurezza elevato, è assolutamente sconsigliato. Se proprio non ne potessimo fare a meno, dovrebbe essere spento o avvolto nella carta stagnola che funziona da gabbia di Faraday. Nonostante questo, alcune violazioni sono possibili anche a telefono spento.

Quando invece si è costretti a telefonare, il consiglio di Calamari è quello di usare i telefoni cellulari di vecchia generazione: "più vecchi sono meglio è". Si tratta dei cosiddetti  'dumbphone', ossia telefoni stupidi, come vengono definiti in USA. Non smartphone. C'è differenza: lo smartphone è un cellulare con un computer installato; mentre bisogna evitare il computer per non permettere l'accesso al dato di cella. Cos'è il dato di cella? Semplicemente una memoria dello smartphone che registra tutte le connessioni alle reti dalle varie antenne, durante qualsiasi nostro spostamento. Utilizzando un cellulare particolarmente datato, si riduce così il rischio di tracciabilità.

Chiaramente anche i social media devono essere assolutamente accantonati quando siamo coinvolti in operazioni che coinvolgano dati particolarmente sensibili.