Proteggere documenti e file
Una delle soluzioni più indicate per difendere documenti e file personali da “occhi indiscreti” consiste nell’utilizzo di TrueCrypt, un software opensource del quale abbiamo spesso parlato che permette di crittografare il contenuto di gruppi di file, di partizioni od, addirittura, di interi dischi fissi.
L’utente può scegliere se installare TrueCrypt sul sistema in uso oppure se estrarre solamente i file necessari per il suo funzionamento: in questo modo il software diventerà un’applicazione “portabile” inseribile, ad esempio, in una comune chiavetta USB o su qualunque altra unità di memorizzazione rimovibile.
TrueCrypt è un software estremamente flessibile che assolve agli usi più disparati: grazie alla comoda interfaccia, è possibile creare una o più partizioni virtuali cifrate all’interno delle quali si potranno salvare i file personali da proteggere da accessi non autorizzati. Le partizioni sono “virtuali” perché sul disco ove sono create assumono “fisicamente” la forma di un unico “file-contenitore”: solo dopo essere “montate” sul sistema – ricorrendo all’interfaccia di TrueCrypt – verranno rappresentate in Risorse del computer e saranno accessibili come una qualsiasi partizione od unità. A ciascuna partizione virtuale creata e “montata” con TrueCrypt, Windows assegnerà una specifica lettera identificativa di unità.
Una guida all’uso di TrueCrypt, contenente alcuni esempi pratici, è disponibile facendo riferimento a questo nostro articolo.
Mentre con TrueCrypt è possibile creare unità virtuali cifrate o crittografare il contenuto di partizioni e dischi fissi, per proteggere singoli file si può ricorrere ad AxCrypt, leggerissimo programma capace di integrarsi con la shell di Windows, rendendo così ancor più semplice la generazione di versioni crittografate dei file più importanti.
Il funzionamento di AxCrypt è illustrato in questa pagina.
Gestione sicura delle password
E’ sconsigliabile scrivere le password per l’accesso a servizi online, l’utilizzo di account online banking, la gestione di blog e così via su un semplice foglio di carta. Il rischio è quello che la lista delle proprie password possa cadere nelle mani di malintenzionati. Per risolvere il problema (tante sono le credenziali di accesso che oggi siamo costretti a ricordare ed utilizzare) si può pensare di ricorrere ad un software gratuito come KeePass.
Il programma consente di creare un archivio crittografato, quindi inaccessibile a tutte le persone non autorizzate (è indispensabile conoscere una “parola chiave”, scelta dall’utente) all’interno del quale si possono salvare le proprie password.
I propri dati di autenticazione possono essere organizzati, nell’archivio di KeePass, come meglio si crede grazie alle categorie in cui è possibile suddividerli. Il software salva i database delle password crittografandoli con gli algoritmi AES (Advanced Encryption Standard) e TwoFish.
Una guida all’uso di KeePass è consultabile facendo riferimento a questo articolo.
Nell’articolo citato, abbiamo spiegato la procedura per la creazione di una password principale (“master password”), ossia la “parola chiave” che KeePass utilizza a protezione dell’archivio crittografato ed illustrato il funzionamento del programma.
Abbiamo posto particolare enfasi sull’importanza della scelta di una password principale “forte” alla quale cioè sia praticamente impossibile risalire mediante attacchi “brute force” o “dictionary attack”. Lo stesso KeePass integra una funzionalità che può essere impiegata per generare password efficaci.
Uno dei punti di forza di KeePass è che il software può essere utilizzato anche da una qualsiasi chiavetta USB, in modo da portare sempre con sé le password utilizzate più di frequente: è sufficiente scaricare la versione “portable” del programma.
KeePass non è perfetto ma, fortunatamente, così come nel caso di Mozilla Firefox, le sue funzionalità possono essere estese mediante l’installazione di appositi plugin. Tra questi, ve ne sono alcuni molti utili che, ad esempio, permettono di integrare KeePass con il browser web, di creare un backup automatico dei dati conservati nell’archivio cifrato, di migliorarne ulteriormente la sicurezza e così via.
Gestione password: funzionalità aggiuntive per KeePass
Integrazione di KeePass con Mozilla Firefox
Gli utenti di Firefox si sono probabilmente sino ad oggi sempre serviti del gestore delle password integrato nel browser.
In questa pagina abbiamo mostrato come opera il “password manager” di Firefox e quali siano le sue principali peculiarità.
Per importare rapidamente le credenziali di accesso sinora gestite con il “gestore password” del browser, è possibile ricorrere ad un plugin denominato ClockWork Firefox to KeePass Converter. Per il suo corretto funzionamento, è indispensabile che sul sistema in uso sia presente il framework .Net 2.0 di Microsoft.
Dopo aver scaricato il plugin, da questo indirizzo, è necessario estrarre il contenuto dell’archivio Zip nella cartella ove si è installato KeePass.
Nel caso in cui si utilizzi la prima versione (1.x) di KeePass (la seconda versione, al momento della stesura del presente articolo è ancora in fase di “beta testing”), è necessario scaricare anche il KeePass XML Import plugin salvando la libreria DLL contenuta nel file Zip (xmlimport.dll
) sempre nella medesima cartella ove è stato installato KeePass.
A questo punto, riavviando KeePass, si dovrà accedere al menù Strumenti, Plugins del programma quindi abilitare il plugin xmlimport.dll
facendovi clic con il tasto destro del mouse ed infine scegliendo Abilita.
Chiudendo e riavviando nuovamente KeePass, il plugin appena attivato sarà automaticamente caricato.
Dalla cartella d’installazione di KeePass si dovrà quindi avviare l’eseguibile ClockWork.KeePass.Firefox.Converter.exe
. Una volta avviato, il programma consentirà di iniziare la procedura di importazione automatica del contenuto dell’archivio delle password di Mozilla Firefox in KeePass.
La finestra principale di ClockWork Firefox to KeePass Converter consente di scegliere se importare l’elenco delle password direttamente dal browser opensource di Mozilla (directly use Firefox to gather the data) oppure se estrarre le informazioni d’interesse da un file prodotto dall’estensione Firefox Password Exporter.
Dal riquadro Firefox si può selezionare il profilo utente e specificare l’eventuale “master password” impiegata per proteggere l’accesso al gestore delle password integrato nel browser.
Infine, attraverso il box KeePass, è possibile scegliere in quale gruppo di KeePass si desiderano memorizzare le password estratte da Mozilla Firefox.
Cliccando sul pulsante Start in basso, ClockWork Firefox to KeePass Converter richiede il file con estensione .xml all’interno del quale salvare le password.
Al termine della procedura, dall’interfaccia di KeePass, ricorrendo al menù File, Importa da, Import KeePass XML e specificando – come sorgente – il file .xml prodotto utilizzando ClockWork Firefox to KeePass Converter, si potrà importare la lista delle proprie password.
Concluso questo passo, sarà bene cancellare in modo sicuro (magari avviando una procedura di “wiping”) il file .xml generato mediante l’uso di ClockWork Firefox to KeePass Converter.
La funzionalità di “auto-login” di KeePass
La combinazione di tasti CTRL+ALT+A (modificabile eventualmente a piacimento accedendo al menù Strumenti, Opzioni quindi alla scheda Avanzate e cliccando infine sul pulsante Auto-digitazione) consente di invocare la funzionalità “auto-login” di KeePass.
Requisito indispensabile per il suo utilizzo, è che il programma sia residente in memoria (l’icona di KeePass deve essere visualizzata nella traybar di Windows). In questo modo, KeePass consente di inserire rapidamente login e password, ad esempio, in form sul web, supporta il “drag&drop” e permette addirittura di specificare una serie di operazioni che debbono precedere e seguire l’inserimento dei dati. La digitazione automatica delle credenziali di accesso ad un sito web è possibile, in alternativa, selezionando la voce corrispondente dall’archivio di KeePass, facendovi clic con il tasto destro del mouse quindi selezionando Effettua auto-digitazione.
Prima di avviare la digitazione automatica con le vostre password reali, suggeriamo di prendere massima confidenza con l’uso di KeePass.
Chi utilizza Internet Explorer, può servirsi dell’estensione KeeForm, prelevabile da questa pagina, estraendo poi il contenuto nella cartella d’installazione di KeePass.
Una tastiera virtuale per KeePass
Dal momento che KeePass può essere utilizzato anche nella versione “portabile”, può essere ragionevole, in questo caso, abbinare l’utilizzo del plugin On-screen Keyboard. Si tratta di un’estensione per KeePass che permette di interagire con il programma utilizzando una tastiera “virtuale”. In questo modo eventuali keylogger (software sviluppati con lo scopo di registrare e spedire a terzi la sequenza di tasti premuti dall’utente) installati sul sistema in uso, non saranno in grado di registrare l’attività di KeePass. Alcuni keylogger più evoluti possono essere in grado di catturare una schermata ad ogni pressione del mouse: On-screen Keyboard non è quindi una soluzione “definitiva” tuttavia può rivelarsi una buona scelta allorquando si debba condividere tra più persone il medesimo personal computer.
Backup periodico
Per la creazione di una copia di backup dell’archivio delle password di KeePass è possibile ricorrere, manualmente, alla funzione integrata nel software. Per fare in modo, tuttavia, che l’operazione venga compiuta in modo del tutto automatico, ci si può orientare su un plugin come DB_Backup. Scaricabile da questa pagina, questo plugin provvede a creare un nuovo backup del contenuto dell’archivio crittografato di KeePass ogniqualvolta l’utente salvi una nuova password nel database. Ovviamente, è possibile personalizzare liberamente la cartella di destinazione per le copie di backup generate dal plugin.
Wiping: eliminare definitivamente file e cartelle
Cancellazione sicura dei dati
I file cancellati con i metodi tradizionali continuano a lasciare tracce sul disco fisso. Tutti i file presenti su di un qualsiasi supporto di memorizzazione, anche quando vengono eliminati utilizzando i comandi “tradizionali” messi a disposizione dal sistema operativo, continuano a lasciare delle tracce su disco. Molto spesso, nel caso in cui la cancellazione di file sia avvenuta di recente, è possibile ripristinarli completamente facendo uso di apposite utilità di recupero dati.
Abbiamo visto in precedenza come, ricorrendo alla crittografia, si possa impedire agli utenti non autorizzati di visionare il contenuto, ad esempio, di documenti personali. La domanda è: una volta crittografato un file (od un insieme di file) si è veramente al sicuro? Se si utilizza un algoritmo di crittografia evoluto ed una password scelta in modo corretto, sarà praticamente impossibile, per gli utenti non autorizzati, accedere agli archivi cifrati. Rimane tuttavia un problema che è bene non trascurare: le copie originali dei file (non crittografate) vengono usualmente cancellate con i metodi tradizionali per l’eliminazione file di Windows. Ciò significa che, con buona probabilità, i documenti riservati dell’utente continuano a lasciare traccia sul disco fisso e, probabilmente, possono essere recuperati – in toto od in parte – mediante l’adozione di software appositi.
Anche il Garante per la protezione dei dati personali si è recentemente espresso circa la necessità di applicare alcune indicazioni precauzionali per lo smaltimento di personal computer e di altri apparecchi informatici. Il documento del Garante segue quello pubblicato il 5 dicembre 2008 dove si affermava che aziende, privati ed enti pubblici hanno l’obbligo di provvedere alla cancellazione dei dati prima della rottamazione dei propri personal computer.
Secondo il Garante “in caso di reimpiego e riciclaggio di rifiuti di apparecchiature elettriche ed elettroniche le misure e gli accorgimenti volti a prevenire accessi non consentiti ai dati personali in esse contenuti, adottati nel rispetto delle normative di settore, devono consentire l’effettiva cancellazione dei dati o garantire la loro non intelligibilità“.
Le misure possono essere preventive come per esempio la cifratura di singoli file o gruppi di file o la memorizzazione su supporti in forma automaticamente automaticamente cifrata al momento della loro scrittura, tramite l’uso di parole-chiave riservate note al solo utente.
Per quanto riguarda invece le misure per la cancellazione sicura dei dati, lo stesso Garante indica l’utilizzo di software per il wiping. Tali programmi “provvedono, una volta che l’utente abbia eliminato dei file da un’unità disco o da analoghi supporti di memorizzazione con i normali strumenti previsti dai diversi sistemi operativi, a scrivere ripetutamente nelle aree vuote del disco (precedentemente occupate dalle informazioni eliminate) sequenze casuali di cifre “binarie” (zero e uno) in modo da ridurre al minimo le probabilità di recupero di informazioni anche tramite strumenti elettronici di analisi e recupero di dati“.
Tra i software opensource o comunque disponibili con licenze d’uso non commerciali, viene esplicitamente citato DBAN (acronimo di Darik’s Boot and Nuke). Il software, dotato di un’interfaccia testuale, consente di distruggere completamente il contenuto del disco fisso rendendo impossibile il recupero di qualunque dato in esso precedentemente memorizzato.
Il programma risulta quindi un’ottima soluzione per attenersi alle indicazioni del Garante nel caso in cui si intenda dismettere un hard disk oppure “passarlo” ad una persona terza.
DBAN deve essere eseguito avviando il sistema da un CD od un DVD di boot: il programma viene infatti distribuito sotto forma di file .ISO il cui contenuto dovrà essere masterizzato su supporto CD/DVD ricorrendo a software quali Nero, CD Burner XP o similari. Il CD od il DVD di boot così creato dovrà essere inserito all’accensione del personal computer controllando nel BIOS che sia impostata la corretta sequenza di avvio (la prima periferica impostata per il boot del sistema deve essere il lettore CD/DVD).
Una volta avviato il computer con il disco di boot di DBAN, viene presentata una schermata di scelta contenente diverse opzioni di avvio. Premendo il tasto Invio, verrà dato inizio alla procedura interattiva di cancellazione del contenuto del disco o dei dischi fissi installati sul sistema: il software mostrerà una finestra attraverso la quale l’utente potrà scegliere manualmente il disco da cancellare. Effettuata la scelta, occorrerà specificare quale metodo di cancellazione si vuole applicare. Sul sito del Garante si osserva che “per la maggior parte degli utilizzatori sarà sufficiente il cosiddetto DoD short, derivato da standard militari USA: altri metodi, teoricamente ancora più sicuri, hanno lo svantaggio di richiedere tempi di elaborazione significativamente più lunghi, soprattutto se applicati a dischi di grande capacità“.
DBAN provvederà a distruggere completamente tutti i dati presenti sul disco selezionato riducendo al minimo le possibilità di recupero ricorrendo ad utilità specifiche.
Il software DBAN è integrato anche nel CD di emergenza “Ultimate Boot CD” del quale abbiamo parlato in passato.
Altri suggerimenti per evitare che i propri dati cadano nelle mani di terzi, sono pubblicati sul sito di Microsoft e disponibili in questa pagina.
Gli utenti del sistema operativo Apple Mac OS X, che incorpora una funzione di “svuotamento del cestino in modalità sicura”, potranno trovare dettagliate informazioni sul sito del produttore www.apple.it oppure ricorrere ad utilità opensource come Permanent Eraser che consente di effettuare cancellazioni sicure con un algoritmo di wiping avanzato.
Per effettuare la cancellazione sicura dello spazio libero sul disco ossia per fare in modo che sull’hard disk non siano più presenti tracce di file personali, successivamente rimossi con gli strumenti di base del sistema operativo, è possibile orientarsi su un programma come Eraser. Il software consente anche di cancellare definitivamente qualunque file così come il contenuto dell’intero disco fisso (previa creazione del cosiddetto “Nuke Boot Disk”).
Una guida completa all’utilizzo di Eraser, è reperibile facendo riferimento a questa pagina.
Tra i software meno conosciuti che permettono di effettuare un’analoga operazione di “wiping” su singoli file, cartelle e spazio libero è DP Shredder.
Il suo principale fiore all’occhiello è la “portabilità”: DP Shredder si propone infatti come un’applicazione “stand alone” che non necessita quindi di installazione sul disco fisso.
Dopo aver scelto l’elemento o gli elementi che si desiderano eliminare senza possibilità di recupero, è sufficiente selezionare l’algoritmo di “wiping” da impiegare ed il numero di sovrascritture che devono essere poste in essere.
DP Shredder è scaricabile cliccando qui. Il file è compresso con 7-Zip: si dovrà quindi ricorrere a questo programma per decomprimere il contenuto dell’archivio.
Posta elettronica e messaggistica istantanea in sicurezza
Proteggere le comunicazioni inviate via e-mail
Quando si scambiano con colleghi e collaboratori informazioni personali o dati particolarmente delicati, è sempre bene inviare messaggi di posta elettronica cifrati.
In questo articolo abbiamo illustrato la procedura che consente di richiedere un certificato personale S/MIME utilizzabile per firmare le e-mail spedite così come per crittografarne il contenuto. Le istruzioni presentate permettono di inviare e ricevere messaggi di posta elettronica cifrati con la possibilità di decifrarne il contenuto in modo trasparente e senza difficoltà.
Gli utenti del client di posta opensource Mozilla Thunderbird, in alternativa, possono ricorrere anche all’estensione Enigmail, grazie alla quale è possibile firmare e cifrare le proprie comunicazioni. L’utilizzo del certificato S/MIME, emesso da un’autorità di certificazione (CA) riconosciuta, tuttavia, permette di fidare su un livello di sicurezza aggiuntivo, soprattutto qualora si voglia attestare con certezza la propria identità a soggetti terzi.
Proteggere i dialoghi con il client di messaggistica istantanea
Coloro che usano il client di messaggistica istantanea per dialogare con collaboratori e colleghi sanno bene quanto tale mezzo di comunicazione, di per sé, non sia sicuro. E’ infatti sempre preferibile astenersi dallo scambiare password e dati importanti attraverso messaggi istantanei.
Per chi non può rinunciare alla comodità del client di messaggistica istantanea ma desidera che le informazioni scambiate non possano essere in alcun modo “intercettate” da parte di persone non autorizzate (ved., a tal proposito, questo nostro articolo), c’è una soluzione facile da mettere in pratica.
Pidgin è un client per la messaggistica istantanea “multiprotocollo” e “multipiattaforma”. E’ un software “multipiattaforma” perché sono disponibili versioni per Windows così come per Linux e Mac OS X; è “multiprotocollo” poiché offre la possibilità di connettersi contemporaneamente a più network (ecco quelli supportati: AIM, Bonjour, Gadu-Gadu, Google Talk, Groupwise, ICQ, IRC, MSN, MySpaceIM, QQ, SILC, SIMPLE, Sametime, XMPP, Yahoo! e Zephyr). Ciò significa che è possibile colloquiare contemporaneamente con colleghi, collaboratori, amici e parenti che utilizzino uno qualunque dei network di messaggistica citati.
Dopo aver installato Pidgin sul proprio sistema (il software è scaricabile facendo riferimento a questa scheda) ed una volta che si è configurato il programma per l’accesso alle reti di messaggistica d’interesse, è possibile passare al download del plugin Pindgin-Encryption (prelevabile cliccando qui).
Dopo aver avviato l’installazione del plugin, si dovrà riavviare Pidgin in modo tale da richiederne l’abilitazione.
Pidgin Encryption è un’estensione per il client di messaggistica opensource Pidgin che si occupa di crittografare tutti i dialoghi avviati con i propri interlocutori. Il software non fa dipendere il suo funzionamento dal protocollo utilizzato e quindi dal particolare network di messaggistica scelto. Tuttavia, per poter inviare e ricevere messaggi cifrati è indispensabile che i propri interlocutori dispongano anch’essi di Pidgin e del plugin Pidgin Encryption.
Dal menù Strumenti, Plugin di Pidgin, una volta installato Pidgin Encryption, è facile abilitare l’estensione spuntando semplicemente la casella corrispondente.
Cliccando sul pulsante Configura il plugin si avrà accesso alle varie schede che permettono di regolare il funzionamento dell’estensione.
Una volta installata l’estensione, Pidgin Encryption provvede automaticamente a generare una coppia di chiavi (chiave privata e chiave pubblica) che saranno successivamente impiegate per gestire le conversazioni cifrate effettuate attraverso il client di messaggistica. La chiave pubblica dell’utente viene anch’essa automaticamente trasmessa, da parte del programma, a tutti gli interlocutori che dispongano di Pidgin e dell’estensione Pidgin Encryption installata.
Quando si avvia una conversazione con Pidgin, scambiandosi messaggi istantanei, le icone visualizzate nella barra degli strumenti e raffiguranti dei lucchetti suggeriscono cosa sta accadendo.
” a forma di lucchetto informerà dell’avvenuta ricezione di un messaggio correttamente crittografato e quindi illeggibile da parte delle persone non autorizzate.