Sommario:
Martedì (7 marzo 2017 se stai leggendo dal futuro) Wikileaks ha rilasciato i file CIA di Vault 7. Questi hanno scaricato una tonnellata di informazioni insieme ad alcuni tweet su come i giornalisti avrebbero dovuto temere che la CIA avesse intercettato il telefono di tutti e che la messaggistica crittografata fosse stata violata. Ciò ha prodotto i risultati attesi, in cui le parole sono state digitate rapidamente per farti sapere come tutto è cambiato e questa è una cosa orribile nuova di cui dovresti avere paura. Wikileaks è bravo in questo; sanno come far penzolare una carota e far sì che le persone diffondano il loro messaggio indipendentemente da fatti o verità. PT Barnum approverebbe.
Ma dopo aver preso il tempo di esaminare le affermazioni e scavare oltre l'iperbole, ci sono alcune cose da imparare dai file di Vault 7. Dovrebbero farti preoccupare, ma non aver paura, quando usi il telefono per fare qualcosa che non vorresti che il resto del mondo vedesse.
Altro: che cos'è la crittografia?
La buona notizia è che, indipendentemente da ciò che viene rivendicato, i metodi di crittografia sicura sembrano essere sicuri. WhatsApp, Telegram e Signal sono popolari app di messaggistica che supportano la crittografia end-to-end e sono state richiamate da Wikileaks in relazione ai materiali trapelati. Un'ulteriore ispezione delle affermazioni mostra che la crittografia effettiva non è stata violata. Queste app non compaiono nemmeno in nessuno dei file della CIA per nome e gli strumenti e i trucchi menzionati nei documenti trapelati non dicono nulla sul "bypassare" la crittografia utilizzata da loro. In effetti, tutto supporta quanto sia forte la crittografia e dimostra che Wikileaks stava giocando in modo veloce e sciolto con le notizie mentre sono inclini a fare.
L'aspetto da asporto di Vault 7 è che i metodi di crittografia sono davvero efficaci e che dovremmo usarli.
La comprensione da Wikileaks che il tuo Android o iPhone non è sicuro è lo stesso tipo di affermazione superiore che è vera ad un certo livello, ma allungando la verità quanto basta per essere sensazionale. Esistono numerosi strumenti validi per sfruttare i problemi di sicurezza noti per Android e iOS dettagliati nelle perdite. Il problema più grande è che nessuno di loro è nuovo: sono le stesse minacce e vulnerabilità di cui vedi persone come me quando diciamo che devi prendere un po 'più sul serio la tua privacy. Alcuni sono stati patchati, altri non hanno mai funzionato come pubblicizzato e la maggior parte coinvolge qualcuno che ha il telefono in mano collegato a un computer. Dovremmo essere tutti preoccupati per queste cose ed è per questo che affermiamo che le patch di sicurezza sono così importanti. Ma nulla trapelato dovrebbe farti più paura di usare il telefono di quanto non fossi la settimana scorsa.
La cattiva notizia dai file della CIA è come il panorama della sicurezza è cambiato. Laddove la sorveglianza era solita lanciare una vasta rete e quindi filtrare i risultati particolari per uno sguardo più attento, le persone che vogliono sapere cosa c'è sul tuo telefono ora stanno usando metodi mirati individualmente per provare ad entrarci. Indipendentemente da come definisci i bravi ragazzi rispetto ai cattivi, sapere che le persone intelligenti hanno il compito di trovare modi per accedere al tuo telefono è uno scenario molto diverso rispetto a un gruppo di truffatori che cercano numeri di carte Visa su Yahoo! server di posta.
Questo è un problema di sicurezza del dispositivo. Fai la tua parte e chiedi alle persone che hanno fatto il tuo telefono di fare lo stesso.
Qualcuno che ha bisogno di aggirare la protezione offerta da un'app come Signal deve trovare un modo per dire all'app che è autorizzato a farlo. Hanno bisogno di entrare nel tuo telefono e guardare, proprio come se ti guardassero alle spalle mentre lo leggevi. Ciò significa che persone come quelle che sono state in grado di accedere a un iPhone crittografato senza assistenza da parte di Apple stanno ora lavorando su modi per rompere in ogni telefono. Incluso il tuo. Mentre potresti essere d'accordo con la consapevolezza che le forze dell'ordine possono entrare nel telefono di un criminale, sappi che questi metodi diventeranno diffusi. Due o più persone non possono mantenere un segreto e questi file trapelati dalla CIA mostrano.
Cosa dovremmo fare?
Questa è la cosa, no? Dubito che chiunque legga questo sia un obiettivo di interesse per qualsiasi agenzia governativa di tre lettere. Ma hai ancora il diritto alla privacy.
Per fortuna, i consigli che abbiamo già ascoltato sono ancora il modo migliore per farlo. Cose di buon senso come non aprire gli allegati da persone che non conosci, non installare mai un file da qualcuno che non dovrebbe distribuirlo e non fare clic su collegamenti casuali tramite abbreviazioni di URL a meno che tu non sappia chi te lo sta dando. Fai queste cose, ma alza le cose e in realtà le fai. Se è necessario intensificare ulteriormente le operazioni, utilizzare i servizi di messaggistica sicura per SMS ed e-mail.
Usa queste app per veri messaggi privati
C'è ancora un'altra cosa che tutti dobbiamo fare: acquistare solo telefoni realizzati da aziende che si preoccupano della sicurezza. Se il tuo telefono non riceve patch regolari per mitigare questi exploit, non comprare quel marchio la prossima volta. I produttori di telefoni si preoccupano solo dei profitti, quindi per far sì che prestino attenzione devi ammaccare quei profitti.
Non c'era nessuno strumento di hacker magico estratto dai file di Vault 7 e non è necessario essere paranoici. Ma c'è un posto tra non preoccuparsi e indossare un cappello di stagnola, ed è lì che dovremmo essere.
Rimanga sicuro.
