Recentemente su Privacy Chronicles abbiamo parlato del concetto di comunità virtuale e di comunità cripto-anarchica, ripercorrendo il pensiero di Timothy May — cofondatore dei Cypherpunk e autore del Crypto Anarchist Manifesto e molti altri interessanti saggi.

Come visto, per costruire comunità cripto-anarchiche abbiamo bisogno di tre elementi1 essenziali. Uno di questi è il possesso di nodi (computer) privati, cioè senza la presenza di spyware. Più facile a dirsi che a farsi. Oggi infatti molti software e sistemi operativi pre-installati nei nostri dispositivi (laptop, tablet, smartphone, ecc.) possono essere considerati a tutti gli effetti degli spyware, anche se non direttamente “malevoli”.

Oltre ad essere un elemento fondamentale per la costruzione di comunità libertarie, avere un computer o smartphone privo di spyware è anche un ottimo punto di partenza per migliorare la propria privacy e sicurezza dei dati.

Mi piacerebbe quindi oggi iniziare a parlare proprio di come ottenere uno smartphone sufficientemente privato. Per farlo, ho deciso di scrivere questo articolo con l’aiuto di turtlecute.

Seguo turtlecute su diversi canali e, come me, è impegnato nella divulgazione per temi come privacy e Bitcoin. Potete seguirlo sia sul suo canale Telegram @privacyfolder che nel suo podcast “Il Priorato di Bitcoin”.

Cos’è la privacy

Per prima cosa, come già specificato più volte su queste pagine, è bene chiarire ancora cosa si intende per privacy2:

Privacy non è:

• Avere qualcosa da nascondere

• Anonimato (per capire meglio la differenza leggi questo articolo)

Privacy è:

• Il diritto di essere liberi da ingerenze di terzi nella nostra vita privata

• Una meta-libertà: una libertà che abilita e rende possibili altre libertà, come la libertà di pensiero, la libertà di espressione, o la libertà di movimento

• È anche il potere di mantenere alcune informazioni confidenziali rispetto alla collettività. Ad esempio, le nostre comunicazioni o transazioni. La privacy ha quindi a che fare con ciò che diciamo o facciamo.

Purtroppo la condizione di default oggi è invece l’opposto: siamo spesso totalmente esposti a espropriazioni forzate di dati e attività di sorveglianza, oltre che inermi contro ingerenze di terzi nella nostra vita. Possiamo però fare qualcosa per mitigare questi problemi.

La (mancanza di) privacy nel quotidiano

È una normalissima mattina, ti alzi dal letto e il tuo assistente Google ti dice che il tempo nella tua zona è sereno. Mentre aspetti il caffé leggi il feed delle notizie del giorno, tutte in sintonia con le tue opinioni e interessi.

Salendo in macchina noti subito che Google Maps ti segnala un ingorgo prima del semaforo fuori casa. Chissá come fa a sapere che proprio in quel preciso punto ci sono un numero definito di auto in fila, tanto da avvertirti e informarti anche sul ritardo previsto. Finalmente arrivi in ufficio e inizi a organizzare la tua prossima trasferta: prenoti il volo e l'hotel e in automatico il tuo smartphone aggiunge tutte le informazioni sul volo e sul pernottamento al tuo Google Calendar.

In pausa pranzo, mentre guardi un video su YouTube ti esce una pubblicitá sul cibo per cani. Tu non hai un cane, ma la tua nuova fidanzata sì. Di ritorno a casa, ricordi al tuo assistente vocale di impostare la sveglia e attivare l’app di monitoraggio del sonno.

Questo è uno spaccato di quotidianeità come quella di tante persone. La tecnologia ci assiste e supporta in ogni aspetto della nostra vita, ma uno strumento in particolare è particolarmente pericoloso: lo smartphone. Che siate dall'amante, in bagno, al lavoro o a ballare in discoteca non lo lasciate mai a casa — è parte integrante della vostra vita; un’estensione della vostra mano, nonché la maggiore miniera di estrazione dati al momento sulla faccia della terra.

Google Play Services: il peggior spyware

Possiamo dividere il mondo dei dispositivi mobili in due grandi famiglie principali: il mondo Apple con sistema operativo iOS e il mondo Google con Android.

Questi sistemi operativi non sono cosi diversi nel modo in cui tracciano gli utenti, ma hanno una grossa differenza alla base: il sistema Android è open source, totalmente visibile, modificabile e copiabile in ogni sua parte — l’iOS di Apple invece no. Se siete interessati a potenziare la vostra privacy, Android è sicuramente il miglior sistema operativo da cui partire.

Andiamo però con ordine: come fa il telefono a monitorare tutto ció che facciamo?

In ogni dispositivo Android è installata a livello di sistema un’applicazione chiamata Google Play Services. Questa ha potere di amministratore sul vostro dispositivo e serve, a detta di Google, a  far funzionare parti fondamentali delle applicazioni e del sistema operativo. Cosa può fare un applicativo come questo? Risposta veloce e semplice: tutto!

Google Play Services ha i permessi per visualizzare ogni cosa sia installata e presente sul dispositivo, leggere quello che scrivete, acquisire dati sui vostri copia-incolla, accedere alla fotocamera e attivare il microfono senza che possiate saperlo, analizzare i vostri file, monitorare i tempi e modalità d’uso del telefono. Ma può anche analizzare acquisire dati sulla vostra posizione, analizzare la rete wi-fi a cui siete collegati e aggregare questi dati con le persone geo-localizzate vicino a voi.

Ad esempio, se un altro dispositivo passa 12 ore al giorno nel vostro stesso luogo — che su Google Maps risulta essere un appartamento privato e non un azienda — gli algoritmi lo identificheranno come un coinquilino/convivente, e di conseguenza i network pubblicitari di profilazione proporranno inserzioni riguardanti anche i loro interessi e abitudini.

Le enormi capacità di acquisizione e aggregazione di questi dati da parte dei sistemi operativi permettono anche agli Stati di sviluppare tecnologie e servizi per utilizzarli come preferiscono. Ad esempio, conoscere in anticipo e bloccare manifestazioni di protesta mentre queste si stanno organizzando, o tracciare gli spostamenti di specifiche persone in modo molto semplice.

Come proteggersi? I sistemi operativi alternativi

Il primo passo per potenziare la propria privacy è sicuramente cambiare il sistema operativo con uno open source. Android ci permette ampia libertà di modificare il sistema operativo, in quanto sistema open source basato su linux android.

Sui dispositivi Android possiamo installare sistemi operativi alternativi, togliere i maledetti Google Play Services e adottare protezioni aggiuntive come Tor e VPN che, se usate in maniera corretta, possono dare un enorme supporto nel difendere privacy e dati.

Al momento il 'gold standard' dei sistemi operativi privacy-oriented è sicuramente GrapheneOS, disponibile peró solo per i dispositivi Google Pixel. Questo sistema operativo è particolarmente incentrato sulla sicurezza del dispositivo. Come saprà chi ha già letto questo articolo, la sicurezza al 100% non esiste. È molto importante quindi ridurre il più possibile la superficie di rischio adottando le misure migliori per proteggere gli asset da minacce plausibili, che è quello che fa GrapheneOS. Ad esempio, eliminando il codice non necessario e configurando in modo più sicuro alcune funzioni tipiche degli smartphone come NFC, Bluetooth, Wi-Fi e telecamera.

Per approfondire il modo in cui GrapheneOS riduce la superficie di rischio contro vulnerabilità e vettori di attacco consiglio la lettura di questa pagina sul loro sito. Oltre a GrapheneOS esistono anche altri buoni sistemi operativi alternativi, come CalyxOS, LineageOS, DivestOS e E/OS.

Descrivere in questo articolo per filo e per segno tutto il procedimento per creare un setup di privacy con ognuno di questi sistemi operativi sarebbe estremamente lungo e complesso, però oggi possiamo dare qualche consiglio.

• Utente novizio: potrebbe essere molto complicato cambiare sistema operativo del telefono. L’ideale è provare per lo meno a disinstallare tutte le app che non usate sul telefono, tenere il piú possibile wi-fi, bluetooth e le funzioni di localizzazione disattivate. Rimuovete dalle impostazioni i permessi superflui alle app e usate il piú possibile i servizi da browser (cose come paypal, facebook, twitter ecc).

• Utente interessato: oltre le cose sopra citate, potrebbe essere opportuno disattivare le app Google, grazie a software come Android Gui Debloater, e valutare di usare applicazioni come orbot o invisible pro per sfruttare Tor — proteggendo così anche i dati durante il transito.

• Utente avanzato: l’ideale sarebbe usare un dispositivo Pixel, installare GrapheneOS, seguire una guida per configurare il sistema, come questa (https://turtlecute.org/android) ed eventualmente personalizzarlo in base alle esigenze.

Per chi non avesse tempo, capacità o voglia, turtlecute offre anche servizi per la configurazione di smartphone con sistemi operativi alternativi, attraverso il canale Telegram privacyphoneita.

Share

Vantaggi e svantaggi

I vantaggi principali, per quanto riguarda il dispositivo, sono diversi. Ad esempio, telefono più veloce, senza inutili spyware, e molta più batteria disponibile durante il giorno. Sarete inoltre al sicuro da accessi nascosti ai vostri dati a livello di sistema operativo e si avrà una drastica riduzione di condivisione e trasferimento di dati verso soggetti terzi. Infine, avrete la gestione di ogni aspetto del dispositivo nelle vostre mani.

Gli svantaggi invece sono principalmente due, ma probabilmente minori rispetto ai benefici. Alcune applicazioni purtroppo necessitano di Google Play Services per funzionare. Nello specifico, tutti gli applicativi di casa Alphabet — tranne Maps e qualche altra app super spiona come Tinder. In ogni caso, la maggior parte delle app funzionano perfettamente. Occasionalmente, potrebbero arrivare notifiche in ritardo, in quanto solitamente passa tutto attraverso i servergle.

Come vare i rischi di sicurezza?

Usare un sistema operativo alternativo e open source è sicuramente utile, ma sarebbe anche utile imparare a valutare i rischi di sicurezza a cui tutti noi siamo soggetti. Quale modo migliore di farlo se non attraverso la metodologia OpSec?

Privacy Chronicles

Threat modeling, l'arte di valutare i rischi

A maggio vi ho raccontato la storia dell’Operations Security — dalle sue origini, parlando dell’inchiesta Purple Dragon della NSA (National Security Agency) durante guerra del Vietnam, fino alla National Security Decision Directive (NSDD) 298 di Reagan nel 1988…

Read more

2 years ago · 2 likes · Matte Galt