CyberSec (S01 E08): La crittografia
L'importanza di oscurare i dati
Il cifrare i dati, ossia l’oscurarli per far sì che chiunque ne venga in possesso non possa riuscire a comprendere nulla del loro significato, è un espediente antico come l’uomo per proteggere le informazioni in maniera sicura.
Come è noto, le tecnologie informatiche, la potenza di calcolo, nuovi algoritmi e l’ingegno dell’uomo hanno estremamente raffinato detto sistema, facendo sì che, oggi, la crittografia sia diventata uno dei metodi più sicuri in assoluto per la protezione delle informazioni.
Cifrare i dati è un procedimento, oggi, molto semplice anche per l’utente comune. Il professionista deve utilizzare un software, o attivare un sistema di cifratura, che altro non fa che prendere i dati “in chiaro” e renderli cifrati, ossia oscurati. Chiunque cercherà di vedere quei dati, altro non percepirà che una massa informe di informazioni e non riuscirà a decifrarli, ossia a riportarli in chiaro.
Il cuore del sistema di cifratura è una password, o passphrase (una password più lunga, una vera e propria frase), che permette di decifrare quei dati, ossia di renderli di nuovo intelligibili. L’utente deve assolutamente proteggere questa password, scegliendola diversa da tutte le altre password, non annotandola, non facendola circolare e mantenendola segreta.
I sistemi operativi più moderni, sia Windows sia Mac sia GNU/Linux, e i telefoni cellulari e tablet più avanzati, permettono innanzitutto di cifrare il file system, ossia di offuscare tutti i dati all’interno del sistema (fotografie, filmati, documenti, cronologia, rubrica, posta elettronica). Di solito la cifratura si sblocca inserendo la password di accesso al computer o al telefono, riportando i dati in chiaro. Ciò è molto utile in caso di furto o perdita del telefono o del computer portatile: se i dati sono cifrati, e il soggetto che ha sottratto il dispositivo non conosce la password, non potrà in alcun modo vedere e venire a conoscenza dei dati contenuti. In tal caso la privacy del proprietario è protetta, soprattutto se ha delle informazioni critiche. Rimarrà il danno del dispositivo andato perduto, ma non ci saranno danni correlati alla diffusione di dati privati che, come è noto, possono essere ben più gravi.
Questo primo esempio rende chiara la differenza tra dato “in chiaro” e dato “cifrato”.
Il dato in chiaro è un dato presente sui dispositivi che tutti potrebbero vedere nel caso entrassero in possesso di detto dispositivo, e ciò dovrebbe essere un’eccezione. Il dato cifrato, o oscurato, o protetto, è un nostro dato che solo noi possiamo vedere una volta che lo abbiamo decifrato con informazioni (password) che solo noi conosciamo. In un’epoca in cui tutti i nostri dati sono su dispositivi sempre più piccoli (e, quindi, facile oggetto di furti o di smarrimenti), il cifrare il file system è diventato essenziale.
La cifratura dei dati può, poi, essere applicata in altri due ambiti interessanti: i supporti esterni che utilizziamo connessi al nostro computer, ad esempio chiavette USB o hard disk esterni, e all’ambito della trasmissione delle informazioni.
Nel primo caso, anche i supporti esterni che noi usiamo, ossia quelli che fisicamente non sono connessi al nostro computer, possono avere i dati cifrati. In tal caso, i supporti devono essere “preparati” con un file system “codificato” tramite un software o delle utility di sistema che, di solito, si occupano della gestione dei dischi. Se dovessimo perdere una chiavetta o un disco esterno, chiunque li ritrovasse, non conoscendo la chiave di decodifica, non avrebbe modo di vedere i dati. Potrebbe soltanto inizializzare e riutilizzare il supporto, ma la nostra privacy sarebbe protetta.
Nel secondo caso, ciò che viene cifrato è invece il flusso di comunicazioni che va dal nostro computer a, ad esempio, un sito web o un servizio di cloud. In tal caso, come è chiaro, viene protetta un’altra esigenza: che nessuno intercetti la comunicazione che stiamo trasmettendo o, meglio, anche se la intercettasse, non riuscirebbe a distinguere delle informazioni comprensibili. Intercetterebbe, in poche parole, dei caratteri apparentemente senza senso.
I protocolli di connessione e di comunicazione cifrati sono molto utili quando ci si deve collegare a siti critici, ad esempio il servizio di home banking, o quando si devono inviare e-mail o allegati importanti. In realtà, sarebbe meglio che tutte le comunicazioni e le connessioni ai siti web, quando si naviga, fossero cifrate.
La crittografia, si noti, è uno strumento di sicurezza molto forte, di derivazione militare e capace di resistere anche ad attacchi elaborati. Il lato negativo di questo aspetto è che se l’utente dimentica la password o passphrase utilizzata per cifrare dati, cartelle o interi supporti, non riuscirà più lui per primo a entrare in possesso di detti dati. Va, quindi, usata con molta cautela, ed è consigliabile iniziare a far prove di cifratura su piccoli supporti che non contengano informazioni critiche, al fine di abituarsi pian piano al sistema, per poi passare alla cifratura di tutti i dati.
La vulnerabilità di un sistema di cifratura, nell’ottica di un attaccante/criminale, può risiedere nella maggior parte dei casi in due ambiti: la password e i backup.
La password, si diceva, è l’unico strumento che permette di decifrare i dati, quindi deve essere conosciuta solo dall’utente. Se qualcuno entrasse in possesso della password di cifratura e decifratura, sarebbe in grado di attivare e disattivare senza problemi il sistema, e quindi, di vedere i dati in chiaro. Tutto il sistema crollerebbe come un castello di carte.
Il secondo punto di vulnerabilità sono i backup dei dati. Anch’essi, infatti, andrebbero cifrati, o posti su un supporto cifrato. In alcuni casi, infatti, vi sono utenti che cifrano il file system o il supporto ma poi, poco dopo, copiano i dati di backup in chiaro su altri supporti, rendendo vano tutto il sistema.
Il vantaggio enorme, infine, di un sistema di cifratura anche nella vita professionale quotidiana è quello di alzare una vera e propria cortina solida a protezione della privacy che può resistere anche ad attacchi molto violenti. Ciò permette un livello di protezione dei dati, propri, dei propri clienti e dei propri contatti, che non ha eguali nel panorama tecnologico moderno.