Proteggere i dati: la cifratura “comoda” è la via – Intervista

Sul mercato è stata recentemente lanciata una chiavetta per la cifratura dei dati personali: IndependenceKey, interamente progettata da un gruppo di esperti italiani, promette infatti di inserirsi nel computer e criptare tutte le informazioni, documenti, conversazioni telefoniche e instant messaging, mettendoci completamente al sicuro da spioni e hacker. Si tratta di un discorso attuale, che in realtà è sempre esistito, ma che è stato fortemente sdoganato dopo la scoperta che i servizi segreti dell’NSA spiavano pressocchè tutte le terre emerse.

L’agenzia che si occupa di promuovere il prodotto ha contattato la nostra Redazione, e abbiamo voluto approfittare per estendere il discorso, più in generale, all’intero argomento della cifratura dei dati. Ci hanno suggerito di parlare con Massimo Castelli, il Presidente dell’azienda Quantec, che commercializza la chiavetta:Proteggere i dati con la cifratura

Il pubblico si interessa di prodotti come il vostro, di smartphone contro le intercettazioni come il Blackphone, o fugge da Whatsapp perchè ha paura per la privacy.

Poi quando bucano la Adobe e si scoprono le password usate dagli utenti, al primo posto abbiamo 123456. Come mai questo comportamento schizofrenico?

Sicuramente lo puoi definire un atteggiamento schizofrenico, che però ha una ragione ben precisa: le soluzioni di sicurezza devono essere trasparenti, ovvero non devono allungare i tempi e le modalità di navigazione, non devono dare fastidio, altrimenti l’utente supera il concetto di sicurezza in favore della comodità. Se abbiamo la pentola che bolle sul fuoco, la sicurezza ce la dimentichiamo. Poi è anche una questione di cultura: anche solo dieci anni fa chi portava il casco in motorino era considerato un fesso, adesso è quasi il contrario, bisogna anche dare il tempo all’opinione pubblica di aggiornare il pensiero.

IndependenceKey costa 250 euro: aldilà della protezione dai servizi segreti, che interessa più o meno solo i terroristi, mi dai un vero e buon motivo per spendere una cifra del genere?

Il motivo è semplice: gli attacchi e il furto di dati nei nostri confronti è qualcosa che sta esplodendo, ed è un pericolo veramente molto, ma molto più reale di quello che la gente pensa. Tieni presente innanzitutto che i social sono degli strumenti perfetti per profilarci e per individuare delle vittime che possono essere appetibili. Non bisogna cercare le informazioni, sono lì servite su un piatto d’argento. Seconda cosa, gli strumenti per rubare i dati sono relativamente facili da usare e costano pochissimo, veramente pochissimo.  Durante il lancio del nostro prodotto, abbiamo fatto vedere come siamo stati in grado di comprare a 50 euro un tool su un forum russo, e lo abbiamo usato per intercettare una telefonata su Skype. E’ stato di una semplicità imbarazzante.

La spesa è giustificata perchè il furto di dati è un pericolo vero: ovviamente inizia a colpire prima le aziende che hanno dati proficui, poi si estende progressivamente anche ai liberi professionisti e ai consumatori.

Alcuni hacker hanno appena attaccato eBay, rubando le credenziali degli utenti. Se avessi avuto la IndependenceKey sarebbe cambiato qualcosa?

Hacker hanno rubato le credenziali di Ebay. Neanche l'IndependenceKey avrebbe potuto evitare l'attacco
Hacker hanno rubato le credenziali di Ebay. Neanche l’IndependenceKey avrebbe potuto evitare l’attacco

Devo essere sincero e dirti di no, perchè in questo caso si compila un modulo di dati che poi sono spediti ad eBay, e li gestisce questa azienda, che non lavorando nel cloud non può essere protetta dal nostro prodotto.

Immaginiamo che io utilizzi la chiavetta e cifri tutto quello che ho sul pc, sui miei account social, su Dropbox. Vado al bar e la perdo, come faccio?

Devi sapere come funziona la chiavetta: questa si inserisce nella porta USB del computer. Sopra alla chiavetta stessa c’è una ulteriore entrata USB dove si applica il cosiddetto Security Cap: si tratta di una specie di copia di backup che permette di registrare le chiavi di cifratura usate dal prodotto. Il Security Cap lo stacchi e lo metti in cassaforte, e se perdi la chiavetta ne compri un’altra, ci applichi questo strumento e decifri i documenti.

Solo ed esclusivamente nel caso in cui perdi il Security Cap, non potrai mai più decifrare i tuoi file. E nemmeno noi possiamo darti una mano perchè non abbiamo le chiavi per decifrare: è una forma di garanzia, perchè se anche un giorno fossimo attaccati dagli hacker, non potrebbero raggiungere le chiavi di decriptazione.

Aldilà del vostro prodotto, quali caratteristiche deve avere una buona soluzione per la cifratura dei documenti?

Innanzitutto ci sono due correnti di pensiero: la prima viene usata dai software e utilizza una chiave di cifratura che viene comunque registrata sulla memoria del computer. Può servire per proteggere un documento da letture indesiderate, ma rimanendo registrata sul sistema, quando arriva un vero attacco hacker la cifratura cade. La seconda corrente è quella che cifra i file appoggiandosi sull’hardware, non su un codice. Il primo consiglio quindi è: cifratura di tipo hardware.

Secondo consiglio, che riprende il discorso di prima: la cifratura non deve comportare complicazioni, procedure, azioni aggiuntive da parte dell’utente. Non ci deve essere nessun onere a carico di chi la usa, altrimenti prima o poi preferirà farne a meno. Ad esempio, se devi cifrare un file Word, l’approccio che usiamo noi è quello di far dialogare il documento di Office con il FileSystem, senza che per la persona cambi assolutamente nulla. A questo devono aggiungersi delle prestazioni di velocità nell’elaborazione dei dati e di robustezza del processo di criptazione soddisfacenti.

Il passaggio della chiave di cifratura è un momento delicato e passibile di furto
Il passaggio della chiave di cifratura è un momento delicato e passibile di furto

Infine, un momento critico è quando devo comunicare la mia chiave di cifratura al destinatario: tutte le soluzioni che prevedono la consegna dell’intera chiave sono passibili di furto, ed infatti è lì che la stragrande maggioranza dei prodotti di questa categoria cade. Scegliete approcci dove il destinatario abbia solo una parte delle istruzioni necessarie per decifrare il contenuto.

Qual’è il principale errore che gli utenti fanno, e che comporta la sconfitta di una soluzione di cifratura?

Sicuramente la scelta di soluzioni che si basano sulla password, e il fatto di non cambiare questa parole d’ordine con regolarità: bisogna sempre ricordare che a mano a mano che usiamo la stessa password per cifrare dei documenti, significa che stiamo usando sempre le stesse chiavi per farlo, e più sono i dati cifrati in un determinato modo, più la possibilità di essere intercettati aumenta. Se volete evitare di essere voi stessi la causa del fallimento di una soluzione cifratura, cambiate spesso le password.

Concludiamo con qualche Case History dove la cifratura ha evitato una perdita economica e si è rivelata veramente utile…

Un vicequestore  conosciuto tempo fa e di cui ho stima un giorno mi disse che il miglior “Servizio” è quello che non si vede. Non è possibile fornire Case History reali e verificabili per due motivi: la privacy dei nostri clienti e il fatto che in questo campo gli attacchi che si fanno notare sono quelli che purtroppo vanno a buon fine. Nel nostro caso non abbiamo avuto, ad ora, nessun attacco riuscito. Questo può essere il nostro Case History più significativo.

Tra coloro che utilizzano Independencekey abbiamo moltissimi commercialisti ed avvocati che gestiscono quotidianamente dati sensibili di proprietà dei clienti. Ci sono inoltre Assicurazioni e Uffici Brevetti. Ognuna di queste entità hanno la necessità costante di proteggere dati e di scambiarli in maniera sicura. Telecom Italia ci ha ci ha selezionati come partner per dare una soluzione ai clienti che hanno necessità di condividere con la tecnologia Cloud informazioni e dati. In tutti questi casi il “Servizio” di IndependenceKey è stato ed è efficace semplicemente garantendo le funzionalità per le quali il dispositivo è nato.