34c3
Nell’ultimo paio d’anni, abbiamo sentito parlare di persone fermate alla frontiera e l’ispezione dei propri dispositivi digitali. Durante il Chaos Communication Congress, Kurt Opsahl e William Budington dell’Electronic Frontier Foundation ne hanno parlato e sono emerse le seguenti riflessioni.
1. Gli agenti non si preoccupano della vostra privacy
Per uno stato le frontiere sono zone particolarmente pericolose e hanno quindi la tendenza a dimostrare maggiore potere e autorità in questi luoghi rispetto al resto del paese.
Possiamo dare per certo che gli agenti alla frontiera del paese che state per visitare seguono politiche e leggi che consentano loro di ispezionare i vostri dispositivi digitali. E possiamo anche azzardarci a dire che a loro non interessi particolarmente la vostra privacy (nei casi in cui le ispezioni non sono autorizzate Opsahl e Budington, che difendono la privacy, non sono propensi a confermare il rispetto delle regole da parte degli agenti).
Cosa succede se vi rifiutate di rivelare la vostra password per facilitare l’ispezione? Gli agenti hanno sufficienti poteri per rendervi la vita molto difficile. Ad esempio, possono:
- Non concedervi il diritto a entrare nel paese che volete visitare (non è il caso se siete cittadini o residenti);
- Farvi perdere un sacco di tempo e magari farvi perdere un altro volo o sconvolgere i vostri programmi di viaggio in generale;
- Requisire i vostri oggetti personali, dispositivi digitali compresi.
In generale, si tratta di una situazione stressante soprattutto dopo un lungo volo transatlantico, non si vede l’ora di uscire dall’aeroporto il prima possibile. Tuttavia, non vuol dire che dobbiate rinunciare immediatamente alla vostra privacy. Meglio prepararsi a ogni evenienza, ed è proprio lo scopo di questo post.
2. Le ispezioni dei dispositivi digitali non avvengono mai ai primi controlli
L’agente che vedete all’arrivo effettua un primo controllo e, se tutti sembra in ordine, vi permette di proseguire e finisce lì. Se invece viene notato qualcosa di sospetto, verrete sottoposti a un secondo controllo, ed è qui che vengono ispezionati gli oggetti di vostra appartenenza, compresi i dispositivi digitali.
Per cui, se volete evitare l’ispezione dei vostri dispositivi digitali (o perquisizioni di altro genere) sarebbe meglio evitare di passare a secondi controlli. Ovviamente non tutto dipende da voi, ma almeno potete fare in modo di non sembrare sospetti agli occhi della polizia. Alcuni motivi che portano a secondi controlli sono:
- Difficoltà nella comunicazione;
- Irregolarità nei documenti;
- Segnali o mancate corrispondenze nel database relazionate ai vostri documenti (ad esempio, una data sbagliata o un errore nel nome sul visto).
Quindi prima di mettervi in viaggio, assicuratevi che tutti i vostri documenti siano in ordine. Preparatevi all’evenienza di mostrare alla polizia di frontiera documentazione aggiuntiva che potrebbero richiedervi (biglietto di ritorno, prenotazione dell’hotel etc). Alla frontiera mostratevi sempre gentili, calmi, rilassati e disponibili nello spiegare dove volete andare e perché, quando avete intenzione di tornare a casa e così via.
3. Le ispezioni dei dispositivi digitali non avvengono molto spesso
Anche se siete sottoposti a un secondo controllo, non vuol dire necessariamente che ispezioneranno i vostri dispositivi digitali. I dati variano a seconda degli aeroporti europei; tra i più grandi, ad esempio, si passa da una probabilità del 7% dell’aeroporto di Francoforte al 48% di Charles de Gaulle a Parigi. In ogni caso, esiste la buona probabilità che il secondo controllo si limiti a un colloquio e a una revisione aggiuntiva dei documenti.
In generale, sebbene il numero delle ispezioni digitali sia in costante aumento, non è una procedura così usuale. Ad esempio, negli Stati Uniti il numero delle ispezioni dei dispositivi digitali alla frontiera è passato da 4.764 nel 2015 a 23.877 nel 2016 e si pensa che nel 2017 ce ne siano state circa 30 mila. Un numero esiguo in confronto ai 400 milioni di persone che vanno e vengono ogni anno (1 ispezione su 13 mila).
4. Non è consigliabile mentire agli agenti della forntiera e ancora meno immischiarsi nell’ispezione
Mentire durante i controlli alla frontiera è un reato nella maggior parte dei paesi, meglio non provarci. E poi, ovviamente, se mentite è molto più probabile che la polizia voglia dare un’occhiata ai vostri dispositivi. Mettiamola così, dire che non potete sbloccare il telefono perché avete dimenticato la password non è un’idea intelligente né originale.
Inoltre, interferire con l’operato degli agenti è poi la scelta meno sensata: sono ben allenati e le conseguenze potrebbero non essere piacevoli.
5. Gli agenti possono avere i loro assi nella manica
La polizia di frontiera può disporre di attrezzature per estrarre velocemente e con maggiore efficacia i dati dai dispositivi mobili. L’esempio più noto sono i dispositivi di Cellebrite che riescono a ricavare anche informazioni cancellate e, in alcuni casi, possono estrapolare dati anche da dispositivi bloccati.
Il software Cellebrite mostra anche i dati cancellati dal registro chiamate, dai contatti, SMS etc.
6. Le impronte digitali sono più deboli delle password
Le password sono protette dal loro “diritto di rimanere in silenzio” (non è il massimo, ma meglio di niente), le impronte digitali no. È più facile per la polizia di frontiera ordinarvi di sbloccare un dispositivo protetto da impronta digitale e non da una password.
Inoltre, non è necessario che vi chiedano l’impronta digitale, possono semplicemente prendere il vostro dito per sbloccare il dispositivo. Oppure (anche se è molto improbabile che lo facciano), se le vostre impronte digitali sono già presenti nel loro database, possono sbloccare i dispositivi facendo una copia.
Il modo migliore per evitare che tutto ciò accada è abilitare la cosiddetta Full Disk Encryption (FDE – cifratura completa del disco) sul vostro sistema operativo e spegnere il dispositivo prima di salire a bordo. Quando lo riaccenderete vi verrà richiesto di inserire la password, anche se normalmente usate l’impronta digitale per sbloccare lo schermo. Usare la FDE è una buona prassi, in ogni caso.
7. Le persone perquisite dovrebbero prendere nota di tutto ciò che succede (e poi cambiare le password)
Se ispezionano i vostri oggetti personali, prendete nota di ogni dettaglio: le forze dell’ordine coinvolte, i nomi degli agenti e i numeri identificativi, cosa vi hanno chiesto di fare etc. E se vi viene requisito qualche oggetto, richiedete una ricevuta.
Dopo il controllo, cambiate immediatamente le password che avete consegnato agli agenti. Un buon password manager vi può aiutare creando password robuste e dalla combinazione casuale di caratteri, immagazzinandole per voi.
8. I dati su cloud sono più protetti rispetto a quelli in locale
Al giorno d’oggi siamo abituati a violazioni costanti della nostra privacy da parte di agenzie governative che si intrufolano sul cloud, non potendo fare molto sui dati immagazzinati in locale sui vostri dispositivi. Ma quando state alla frontiera, i dati su cloud sono protetti meglio rispetto a quelli che si trovano sulla memoria del dispositivo. Almeno è quello che succede alla frontiera statunitense, la polizia può ispezionare i dispositivi e i dati che contengono, ma non hanno il potere di verificare cosa c’è sul vostro cloud.
9. I dispositivi di lavoro sono sottoposti a politiche aziendali
Parlate con il vostro capo per capire se potete portare con voi a bordo i dispositivi aziendali, soprattutto evidenziando le possibili conseguenze di un’ispezione. Specificate bene che non avrete alcuna responsabilità nel caso in cui, durante un’ispezione, si perdano o vengano filtrati dati aziendali. Ponderate se sia davvero necessario portare con voi i dispositivi aziendali o se è il caso di lasciarli a casa.
10. La miglior soluzione è evitare di portarsi dispositivi o dati
Oltre ai dispositivi di lavoro, potreste anche considerare l’idea di lasciare a casa i vostri dispositivi personali, così sicuramente non avranno nulla da ispezionare. Tuttavia, anche non portare nulla con sé potrebbe risultare sospetto per le forze dell’ordine; la soluzione ideale sarebbe portare dispositivi di uso temporaneo.
Lo stesso vale per i vostri dati, non portateli con voi a meno che non sia strettamente necessario. Potete immagazzinarli su cloud, ma fatelo prendendo le dovute misure di precauzione, ovvero utilizzando un servizio su cloud con cifratura client-side (purtroppo, la maggior parte di questi servizi non ne dispongono, ma qui potete trovare un elenco utile), oppure cifrate i dati prima di caricarli su cloud.
11. La sicurezza dei dati non è mai garantita
Effettuate il backup di tutti i vostri dati prima di partire. Impiegate password robuste per ogni servizio o app e scollegatevi da tutti i servizi prima di attraversare la frontiera. Ricordate, ovviamente, di proteggere anche i sistemi operativi dei vostri dispositivi con una password. Ciò può risultarvi utile anche nel caso in cui vi rubino i dispositivi, il che potrebbe capitare con maggiore probabilità in viaggio.
Cancellate quei dati di cui non avete bisogno e che potrebbero far sorgere domande nel luogo di arrivo (ad esempio, foto considerate innocenti nel vostro paese ma che potrebbero essere problematiche in altri). Ricordate che, quando cancellate un file, non viene davvero eliminato dal disco, per cui eliminate i dati nel modo appropriato.
È facile farlo su un portatile; ci sono vari modi, compresa la formattazione del disco (non la formattazione rapida ma quella a basso livello) o utility specifiche disponibili per tutti i sistemi operativi di computer desktop. Ad esempio, BleachBit elimina i file e “pulisce” il browser e la cronologia recente dei documenti, senza dimenticare i thumbnail (ebbene sì, l’anteprima dei file può persistere anche dopo aver eliminato il file).
L’eliminazione sicura dei dati su dispositivi mobili è un po’ più complicata, ma si può fare. Attivate la Full Disk Encryption e poi cancellate le chiavi di cifratura, in modo da rendere i dati impossibili da decifrare. Si tratta di un’opzione integrata nel ripristino delle impostazioni di fabbrica di iOS e nella funzione di ripristino di Chromebook (purtroppo, non è disponibile per Android).
Per saperne di più, potete vedere qui l’intero intervento di Kurt Opsahl e Daniel Wegemer. Ci sono dei dati e delle sfumature sia tecniche sia legali che vi potrebbero interessare.
Consigli