Quando si parla di privacy e sicurezza, definire un modello di minaccia è importante perché nessuna tecnologia può essere efficace al 100%. Rimanere al sicuro richiede la comprensione delle minacce che si affrontano e dei limiti della tecnologia utilizzata.
Come Proton Drive può proteggere i tuoi dati
Proton Drive offre un elevato livello di protezione in diverse aree chiave.
Intercettazione dei dati
I servizi di Proton sono progettati per impedire ad altri di intercettare e decifrare le tue comunicazioni attraverso l’uso della crittografia end-to-end, che cripta i tuoi file sul tuo dispositivo e non li decodifica fino a quando non raggiungono la loro destinazione finale. Questo significa che se un attaccante ottiene accesso ai flussi di dati tra il tuo dispositivo e i nostri server, non sarà in grado di decifrare i tuoi file. Solo tu e le persone con cui condividi i tuoi file possono accedere alle chiavi necessarie per decifrare i dati. Proton Drive protegge tutti i file con crittografia end-to-end.
Confisca dei dati
Secondo la legge svizzera, è illegale per Proton Drive acconsentire alle richieste di dati degli utenti inviateci da paesi stranieri. Di norma, la Svizzera rifiuterà le richieste legali dai paesi stranieri con scarsi record sui diritti umani. In tutti i casi, le richieste devono essere conformi alle leggi svizzere sulla privacy, tra le più rigorose al mondo. Tuttavia, l’uso della crittografia end-to-end di Proton Drive significa che non possiamo decifrare o consegnare i tuoi file.
Abuso dei dati
A causa della crittografia che utilizziamo, non possiamo abusare della tua privacy o monitorare i dati che conservi su Proton Drive. Non abbiamo modo di leggere i tuoi dati o di usarli per creare un profilo su di te a scopi pubblicitari come fa Google. Proton Drive non ha pubblicità (anche per il nostro piano di cloud storage gratuito) e quindi nessun incentivo a monetizzare i tuoi dati.
Violazioni dei dati
Le violazioni dei dati stanno diventando sempre più comuni e colpiscono alcune delle più grandi aziende del mondo. Anche se i server di Proton Drive fossero compromessi, l’uso della crittografia end-to-end significa che i tuoi file rimarranno generalmente al sicuro. Proton Drive non possiede le chiavi di crittografia necessarie per decifrare i tuoi file, il che significa che un attaccante non può rubarle da noi.
Cosa Proton Drive non può proteggere
La sofisticata crittografia di Proton Drive proteggerà i tuoi file dalla maggior parte delle minacce, ma anche essa non può garantire la tua sicurezza in ogni situazione. È impossibile fornire un elenco esaustivo di tutti gli attacchi potenziali, ma di seguito è riportata una panoramica degli scenari di attacco più probabili, in particolare se sei di fronte a un attaccante sofisticato come un attore supportato dallo stato.
Certi attacchi man-in-the-middle
Come discusso sopra, la crittografia end-to-end di Proton Drive significa che un avversario non può decifrare i dati che invii utilizzando i servizi di Proton. Tuttavia, gli attaccanti potrebbero inviarti una versione modificata del sito o dell’applicazione di Proton per apprendere le tue credenziali. Questo è noto come attacco man-in-the-middle (MITM).
Fortunatamente, esistono diversi modi per proteggersi dagli attacchi MITM. Proton utilizza TLS per garantire la sicurezza del trasferimento del nostro software al tuo browser e impedire agli attaccanti di manomettere il nostro codice durante il trasporto. Generalmente, un attacco MITM di successo richiede la violazione di TLS, tipicamente tramite l’uso di un certificato TLS falsificato. Proton utilizza il key pinning ogni volta che è possibile per rilevare e bloccare tali attacchi.
Anche se ciò rende molto più difficile realizzare un attacco MITM con successo, non è impossibile, specialmente se il bersaglio non è particolarmente vigile. Ad esempio, supponi di essere ingannato nel scaricare una falsa applicazione Proton Drive o nel connetterti a un falso sito web Proton Drive. In tal caso, potresti fornire accidentalmente le tue credenziali a un attaccante, permettendogli di eludere la nostra crittografia end-to-end.
Come puoi minimizzare questo rischio
Molti attacchi MITM sono preceduti da attacchi di phishing che cercano di ingannarti facendoti visitare un sito falso o scaricare un programma falso. Fortunatamente, se presti molta attenzione, di solito puoi riconoscere i falsi.
Utilizza solo i client ufficiali di Proton Drive: Se ti connetti all’applicazione web di Proton Drive, assicurati che sia tramite drive.proton.me. Se in futuro scarichi un’app per Proton Drive (pubblicheremo app per tutte le principali piattaforme a breve), assicurati di ottenerla da proton.me/drive o dagli store ufficiali di app. Su Android, distribuiamo la nostra app mobile anche al di fuori del Google Play Store, e se la ottieni da un’altra fonte, assicurati che sia una fonte affidabile (come scaricare l’APK direttamente dal nostro sito web(nuova finestra)).
Compromissione del punto finale – il tuo dispositivo
La nostra crittografia end-to-end garantisce che il trasferimento di dati tra te e chiunque tu scelga di condividere i tuoi file sia privato. Né Proton né nessun altro possono leggere i dati trasferiti.
Tuttavia, se il dispositivo che utilizzi per accedere a Proton Drive è compromesso, gli attaccanti potrebbero essere in grado di accedere ai tuoi file. Tra gli altri metodi, gli attaccanti possono scegliere di registrare ogni battitura che fai sul tuo dispositivo, permettendo loro di raccogliere la tua password e usarla per accedere ai tuoi file decrittati.
Come puoi minimizzare questo rischio
Gli attaccanti hanno molti modi per compromettere il tuo dispositivo. Tuttavia, puoi prevenire ciò seguendo questi passaggi fondamentali:
- Stai all’erta: Non cliccare su link sospetti o aprire file sospetti, specialmente se provengono da persone che non conosci.
- Aggiorna i tuoi sistemi operativi: I sistemi operativi (SO) e le applicazioni vengono aggiornati dopo che sono state trovate e corrette vulnerabilità. Mantenere aggiornati il tuo SO e le app e attivare gli aggiornamenti automatici ti proteggerà contro le vulnerabilità note.
- Fai attenzione su WiFi pubblici: Le reti WiFi pubbliche sono opportunità per gli attaccanti. Assicurati che il tuo traffico sia protetto utilizzando una VPN affidabile quando accedi a WiFi pubblici. Tuttavia, ricorda che le aziende VPN variano in qualità e privacy, e molti servizi VPN sono dannosi(nuova finestra). Proton VPN(nuova finestra) è un servizio VPN disponibile gratuitamente per tutti gli utenti Proton ed è stato sottoposto a revisione indipendente per sicurezza e affidabilità.
Compromissione del punto finale – il tuo account utente
Gli account compromessi si verificano quando le tue credenziali diventano note a un attaccante. I malintenzionati possono ottenere queste informazioni da violazioni dei dati che forniscono loro le tue password o a causa di una cattiva sicurezza fisica.
Ogni anno, gli attaccanti violano database in tutto il mondo. Ciò consente loro di apprendere le credenziali di accesso degli utenti. Gli individui che riutilizzano le stesse password su più servizi sono particolarmente vulnerabili agli attacchi; se un sito web o un’app viene violato, gli attaccanti potrebbero avere accesso a tutti gli account in cui hai usato quella password.
Come puoi minimizzare questo rischio
- Password: Usa password diverse per ogni servizio che utilizzi. Se utilizzi solo una o due password, il compromesso di un singolo servizio potrebbe permettere agli attaccanti di intrufolarsi in tutti gli altri servizi digitali che utilizzi. Allo stesso tempo, non utilizzare password semplici che possono essere facilmente indovinate, come “123456789”.
- Usa l’autenticazione a due fattori: Proton Drive supporta due tipi di autenticazione a due fattori (2FA). Una richiede che tu inserisca un codice a sei cifre generato da un’app di autenticazione sul tuo smartphone ogni volta che effettui l’accesso. Questo significa che anche se un attaccante ruba la tua password, non potrà accedere al tuo account senza l’accesso al tuo telefono. Proton Drive supporta anche l’autenticazione a due fattori tramite chiavi di sicurezza per garantire una maggiore sicurezza al tuo account.
- Inserisci la tua password quando sei da solo o in un luogo privato: Questo impedirà alle persone di guardare oltre la tua spalla e registrare la tua password.
Cosa Proton Drive non fornisce
Sicurezza al 100%
Sebbene Proton Drive sia un sistema altamente sicuro e sufficiente per la maggior parte delle esigenze di sicurezza, non esiste una sicurezza al 100%. Avversari ben finanziati e determinati possono, dato abbastanza tempo, trovare sempre delle falle in un dato sistema e nel modo in cui gli utenti interagiscono con esso.
Attori statali dispongono di vari mezzi di sorveglianza digitale e fisica che possono compromettere anche sistemi sicuri come Proton Drive. Per questo motivo, se sei il bersaglio di un attore statale ben finanziato, è importante che tu adotti un approccio multilivello alla sicurezza (come crittografare i tuoi file localmente prima di caricarli su Proton Drive o collegarti a Proton Drive solo tramite la rete di anonimato Tor, che è supportata da il nuovo sito onion di Proton).
Supporto per attività illegali
Non puoi utilizzare Proton Drive per scopi che sono illegali secondo la legge svizzera. Questo è proibito dai nostri termini e condizioni e porterà alla sospensione del tuo account. Secondo la legge svizzera, le autorità svizzere possono anche avviare indagini su account che sono stati utilizzati per scopi illegali, e Proton è obbligata per legge a rispondere agli ordini del tribunale emessi dalle autorità svizzere.
Come Proton Drive mantiene i tuoi dati al sicuro
Puoi leggere il modello di sicurezza e crittografia di Proton Drive per saperne di più su come protegge i tuoi dati. Siamo fiduciosi che la crittografia di Proton Drive lo renda il servizio di cloud storage più sicuro e privato disponibile oggi.
Come parte del nostro impegno a mantenere questo standard, Proton Drive è open source, così chiunque può controllare il nostro software e confermare che funziona come pubblicizzato. Infine, tutti i servizi Proton subiscono periodicamente revisioni di sicurezza indipendenti da terze parti, e Proton Drive non fa eccezione.