In tempi non sospetti vi avevo promesso che vi avrei spiegato come protteggere la propria privacy dalla NSA, dopo che fonti interne (ed attendibili) all’agenzia americana avevano svelato come la NSA fosse in grado di leggere la maggiorparte conversazioni cifrate che avvengono su internet sfruttando una vulnerbilità dell’algoritmo di Diffie-Hellman e la potenza di calcolo a disposizione del governo statunitense. Il polverone creatosi attorno ad Apple dopo il caso dell’iPhone dell’attentatore di San Bernardino ha soltanto confermato la tesi che le agenzie governative (specialmente quelle a stelle e strisce), hanno la tendenza di cercare in tutti i modi di avere delle soluzioni più o meno condivisibili per poter decifrare le comunicazioni e i dati degli utenti/cittadini per poter garantire una maggiore sicurezza a tutti noi.
Detto questo, la domanda che vi sarà sorta spontanea è: esiste un modo per proteggere la propria privacy da intromissioni governative?
Premesso che i consigli che sto per darvi non sono la guida definitiva e totale che risolverà ogni vostro problema con NSA & company, che non è tutta farina del mio sacco ma dobbiamo prevalentemente ringraziare la EFF, ecco qualche dritta per mettervi al riparo da orecchie indiscrete.
Web browser
Per essere al sicuro dovete verificare quali algoritmi di cifratura (o intermini tecnici cipher suites) il vostro browser sta utilizzando. C’è uno strumento molto valido che vi consiglio di utilizzare per fare un controllo del livello di sicurezza del vostro browser, How’s My SSL?, che vi dirà quanto potete stare al sicuro quando lo state utilizzando.
L’area più importante è la sezione Given Cipher Suites, assicuratevi che non ci sia nulla che contenga neanche lontanamente la strings di testo “_DHE_”. Se doveste scorgere la variante Elliptic Curve dell’algoritmo di Diffie-Hellman, solitamente etichettata con la stringa di testo “_ECDHE_” potete stare tranquilli. Badate bene che eliminare Diffie-Hellman degli algoritmi per la cifratura usati dal vostro browser eliminerà anche il supporto per la Forward Secrecy: siate consci e consapevoli.
Firefox
(testato con la versione 40.0.3)
Aprite un nuovo tab ed inserite “about:config” nella barra degli indirizzi, cliccate “Starò attento, lo prometto” se appare un messaggio di avvertimento. Avete appena aperto la pagina delle impostazioni di sicurezza di Firefox, digitate quindi nel campo per la ricerca “.dhe_” e premete invio, il risultato saranno 2 righe della configurazione del browser: “security.ssl3.dhe_rsa_aes_128_sha” e “security.ssl3.dhe_rsa_aes_256_sha”. Fate doppio click su ciascuna di esse ed impostate il valore da true a false.
Rivisitate quindi How’s My SSL e verificate che non siano presenti cipher suites con “_DHE_” nel nome.
Chrome
A seconda del sistema operativo che state utilizzando, fate riferimento all’omonima sezione per risolvere il problema con Chrome, dopodichè effettuate il consueto controllo su How’s My SSL per verificare che i cambiamenti siano stati recepiti.
OS X
(testato con 46.0.2490.71, OSX 10.10.5)
Aprite “Automator” e quindi fate doppio click su “Esegui Script Shell”. Sostituite il comando “cat” con il seguente:
/Applications/Google\ Chrome.app/Contents/MacOS/Google\ Chrome --cipher-suite-blacklist=0x0033,0x0039,0x009E,0xcc15
Salvate il file dove preferito ed usatelo come se fosse una normalissima applicazione: quando la avvierete avrete a disposizione Chrome senza i problemi relativi all’algoritmo di Diffie-Hellman.
Linux
(testato con Chrome 46.0.2490.13, Ubuntu 14.04 LTS)
Per inibire l’uso delle cipher suites incriminate basterà avviare Chrome da linea di comando come riportato di seguito:
google-chrome --cipher-suite-blacklist=0x0033,0x0039,0x009E,0xcc15
Windows
(testato con Chrome 46.0.2490.71, Windows 7)
Cliccate con il tasto destro del mouse sul collegamento che usate per avviare Chrome, cliccate sulla voce “Proprietà” e aggiungete quante segue in coda al campo di testo “Destinazione” nella sceda “Collegamento”: “–cipher-suite-blacklist=0x0033,0x0039,0x009E,0xcc15”
Il contenuto del campo “Destinazione” dovrebbe ora essere molto simile a:
"C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --cipher-suite-blacklist=0x0033,0x0039,0x009E,0xcc15
Da adesso avviate Chrome sempre e solo usando questa icona.
SSH
Un’eccellente guida di riferimento per rendere più sicure le vostre connessioni SSH è stata ppubblicata subito dopo le rivelazioni inerenti il fatto che la NSA fosse in grado di decrittare gran parte del traffico cifrato che viaggia su internet e la trovate qui.
Se la volete riportata in “italiano” battete un colpo.
VPN
OpenVPN
La maggior parte dei software per usare una VPN supportano i file con estensione “.ovpn” usati da OpenVPN. Molti provider VPN offrono direttamente ai loro utenti dei file con estensioni “.ovpn” per connettersi usando OpenVPN. Potete verificare quali cipher suites sipporti il vostro client OpenVPN con il seguente comando:
openvpn --show-tls
La lista dovrebbe presentarvi le suite ordinate in ordine decrescente di sicurezza. Le versioni più recenti di OpenVPN hanno il supporto per “ECDHE”, ma per poterti connettere usando questa tipologia di suite anche il tuo provider VPN deve supportarle. Le suite con soltanto la stringa di testo “DHE” nel nome possono essere vulnerabile, comunque OpenVPN spesso usa i sui server VPN per generare i numeri primi da usare per la cifratura della connessione e questo riduce il rischio di un attacco di tipo dizionario come avevamo visto. Modificate i vostri file “.ovpn” con una linea contenenti le cipher suites più sicure e e verificate che il vostro provider VPN le supporti provando a connettervi correttamente:
tls-cipher [cipher-1]:[cipher-2]:[cipher-3]
Se ovviamente non riuscite a connettervi contattate il vostro provider VPN e chiedetegli di supportarle altrimenti valutate la migrazione ad un provider che le supporti.
Ora che avete qualche dritta su come mettere al sicuro (si spera) le vostre comunicazioni su internet, sta a voi valutare se procedere o meno ad aumentare il livello di protezione del contenuto di queste ultime se vi dà fastidio il fatto che qualche agente governativo possa venirne a conoscenza.
