# Sicurezza digitale

Per progettare e fare azioni di disobbedienza civile utilizziamo piattaforme, applicazioni e dispositivi con le quali scambiamo le informazioni necessarie. È molto importante proteggere queste informazioni da occhi e orecchie indiscrete, per evitare che le azioni possano essere bloccate ancora prima di iniziare.

### Proteggere l'accesso agli account

Gli account che usiamo quotidianamente, non solo per le piattaforme XR, richiedono credenziali di accesso (nome utente e password) che solo il/la proprietaria dell'account conosce. Bisogna fare in modo che nessuno possa scoprire queste credenziali, ovvero scoprire la password. Per questo **è importante scegliere una password complessa**, che non abbia riferimenti a nostri dati o interessi che altre persone potrebbero sapere o scoprire attraverso le nostre attività online.  
Una buona password:

- è lunga **almeno 12 caratteri**;
- è composta da **più parole**, prive di significato;
- contiene lettere minuscole e maiuscole, numeri e caratteri speciali (nota: lo spazio è un carattere valido!);
- è **generata casualmente** da un applicativo;
- è **diversa** da ogni altra password che usiamo nei vari account.

Ricordare tutte le password di accesso ad account e dispositivi diventa sempre più difficile al crescere del numero di account che utilizziamo.  
Per alleviare il peso di ricordare tutte queste stringhe lunghe e prive di senso, la tecnologia ci viene in aiuto con **i gestori di password**: sono degli applicativi che funzionano da "cassaforte", nella quale è possibile salvare le nostre password e visualizzarle/copiarle, dopo aver aperto la cassaforte: ricordando un'unica "combinazione"(la password per accedere al gestore, che deve ovviamente essere molto robusta), possiamo accedere a tutte le altre senza doverle ricordare.  
Un buon gestore di password

- **è offline**: l'applicazione si installa sul telefono/PC ma non salva il database delle password su un cloud né condivide il database con altri tuoi dispositivi. L'ideale è averla sullo smartphone, così che è sempre a portata di mano;
- permette di **esportare il database**, cifrato, in modo da porterlo salvare come backup su un altro supporto/dispositivo o mandarselo per email (purché sia cifrato!). Se lo smartphone si blocca o si rompe, possiamo sempre recuperare il database di backup e importarlo tramite l'app su un nuovo dispositivo.

Un buon gestore di password che soddisfa questi requisiti è ad esempio [KeePass](https://keepass.info/).

Le regole sulle password degli account si applicano anche ai codici di accesso allo smartphone e/o al PC. Inoltre

- è sconsigliato utilizzare sblocchi biometrici come impronta digitale o riconoscimento facciale;
- sullo smartphone si può usare un pattern di sblocco (quello con i 9 o 16 pallini disposti in un quadrato), purché sia molto complesso;

Un'ulteriore barriera contro eventuali accessi non autorizzati è **l'autenticazione a due fattori** (in inglese Two Factor Authentication, 2FA). Se chi sviluppa la piattaforma su cui abbiamo l'account fornisce questo servizio è consigliabile attivarlo sempre.   
Al momento dell'accesso, inserendo le credenziali corrette, viene inviata una sequenza numerica generata casualmente su un dispositivo di nostra scelta, tramite SMS o altro mezzo. Oppure il codice viene generato dall'utente tramite apposita applicazione. Vedi ad esempio [Authy.](https://authy.com/)

### Proteggere i dati dei dispositivi in caso di sequestro

È importante fare in modo che un dispositivo che finisce in mani altrui non sia utilizzabile e i dati al suo interno non possano essere esfiltrati.  
Il modo più sicuro per farlo è cifrare il disco, in modo che senza la chiave di cifratura (collegata alla password necessaria a sbloccare il dispositivo stesso) i dati salvati al suo interno siano assolutamente illeggibili.  
La procedura per cifrare il disco dipende dal dispositivo considerato:

- Android → [*Impostazioni di sicurezza*](https://www.tomshw.it/smartphone/come-abilitare-la-crittografia-su-android-e-perche-farlo/)
- iPhone → *nativa sul dispositivo*
- MacOS → *FileVault + password del BIOS. Nativa su dispositivi più recenti*
- Linux → *LUKS (partizioni o intero disco con sblocco all’avvio)*
- Windows → [V](https://www.howtogeek.com/108501/the-how-to-geek-guide-to-getting-started-with-truecrypt/)*[eraCrypt\[EN\]](https://www.howtogeek.com/108501/the-how-to-geek-guide-to-getting-started-with-truecrypt/) (NO Bitlocker!)*

### Piattaforme e app di messaggistica

- No whatsapp e telegram per organizzare azioni o comunicare durante le azioni
- [Mattermost](https://organise.earth) e [Cloud](https://cloud.xritaly.it) per organizzare azioni
- Wire o Signal per comunicare durante l'azione
- e-mail: usare cifratura PGP. ProtonMail la implementa automaticamente (a patto che entrambi gli interlocutori utilizzino ProtonMail)

### Buone pratiche pre/durante/post azione

Durante le riunioni:

- **spegnere gli smartphone** e metterli in un'altra stanza;
- se possibile, allontanare anche i PC desktop.

In azione:

- se sei in un ruolo ad alto rischio, valuta di non portare con te il tuo smartphone
- se devi portarlo, valuta di avere un device con il minimo indispensabile all'azione (idealmente una SIM e solo Wire/Signal installato, nient'altro).

Post-azione:

- in caso di arresto: 
    - spegnere il device prima di consegnarlo (bisogna aver cifrato il disco)
    - non si dovrebbe essere obbligati a sbloccare il dispositivo. Nel caso, il codice di sblocco può essere dimenticato, specie se sotto stress. L'impronta o il riconoscimento facciale, invece, no...
    - se il dispositivo viene requisito e poi restituito, è da considerarsi compromesso. Bisogna come minimo ripristinarlo alle impostazioni di fabbrica e chiedere all'operatore telefonico di sostituire la SIM
- in caso di perquisizione domestica 
    - spegnere PC e/o smartphone prima di consegnarlo (bisogna aver cifrato i dischi)
    - come sopra, se preso e restituito il device è da considerarsi compromesso