Anche se facciamo del nostro meglio per offrirti strumenti che proteggano efficacemente la tua privacy quando usi un computer, non c'è una soluzione magica o tantomeno perfetta a un problema così complesso. Comprendere bene i limiti di questi strumenti è un passaggio cruciale, in primo luogo per decidere se Tails fa al caso tuo, e in secondo luogo per farne buon uso.

Tails does not protect against compromised hardware

Se una persona ha avuto accesso fisico al computer e lo ha compromesso installandovi componenti hardware non fidati (come un keylogger), allora utilizzare Tails potrebbe essere pericoloso.

Tails can be compromised if installed or plugged in untrusted systems

Quando avvii il tuo computer con Tails, Tails non può venir compromesso da un virus che si trovi nel tuo sistema operativo abituale, ma:

  • Tails dovrebbe venire installato da un sistema fidato. Altrimenti potrebbe venire danneggiato durante l'installazione.

  • Inserire la tua chiavetta USB Tails in un sistema operativo compromesso potrebbe danneggiare la tua installazione Tails e disattivare le protezioni che Tails fornisce. Non utilizzare la tua chiavetta USB Tails se non per avviare Tails.

Guarda le FAQ corrispondenti.

Tails does not protect against BIOS or firmware attacks

Per Tails è inoltre impossibile offrire protezione da attacchi lanciati tramite il BIOS o altri firmware integrati nel computer. Questi componenti non sono gestiti né forniti direttamente dal sistema operativo, e nessun sistema operativo può dare protezione contro tali attacchi.

Si veda per esempio questo attacco su BIOS di LegbaCore.

Tor exit nodes can eavesdrop on communications

Tor si occupa di nascondere la tua posizione, non di cifrare le tue comunicazioni.

Invece di prendere una strada diretta dalla sorgente alla destinazione, le comunicazioni che utilizzano la rete Tor attraversano diversi ripetitori Tor seguendo un percorso casuale che ne copre le tracce. In questo modo, nessun osservatore in alcun singolo punto può stabilire da dove vengono i dati e dove stanno andando.

Una connessione via Tor attraversa di solito tre ripetitori, dei quali l'ultimo si collega alla destinazione finale

The last relay on this circuit, called the exit node, is the one that establishes the actual connection to the destination server. As Tor does not, and by design cannot, encrypt the traffic between an exit node and the destination server, any exit node is in a position to capture any traffic passing through it. See Tor FAQ: Can exit nodes eavesdrop on communications?.

Per esempio, nel 2007 un ricercatore in sicurezza informatica ha intercettato migliaia di email private, inviate da ambasciate straniere e organizzazioni umanitarie in tutto il mondo, spiando le connessioni in partenza da un nodo d'uscita da lui gestito. Vedere Wired: Nodi malevoli trasformano la rete di anonimizzazione Tor nel paradiso di uno spione (in inglese).

Per proteggerti da questo tipo di attacchi, devi usare la cifratura end-to-end.

Tails comprende molti strumenti che ti permettono di usare la cifratura forte mentre navighi, invii email o sei in chat, come illustra la nostra pagina delle informazioni sul progetto.

Tails makes it clear that you are using Tor and probably Tails

Il tuo gestore del servizio Internet (ISP) o il tuo amministratore della rete locale può vedere se sei connesso a un nodo Tor e non a un normale server web per esempio. Usando Tor-Bridges in alcune condizioni può aiutarti a nascondere il fatto che stai usando Tor.

The destination server that you are contacting through Tor can know whether your communication comes from a Tor exit node by consulting the publicly available list of exit nodes that might contact it. For example using the Tor Bulk Exit List tool from the Tor Project.

Quindi utilizzare Tails non ti fa somigliare per nulla a una persona comune che usa Internet. L'anonimato fornito da Tor e Tails funziona invece cercando di far sembrare simili tra loro tutte le persone che ne fanno uso, così che non sia possibile distinguerne una dall'altra.

Vedere anche Posso nascondere il fatto che sto utilizzando Tails?

Man-in-the-middle attacks

Un attacco man-in-the-middle (MitM), letteralmente "uomo nel mezzo", è una forma di intercettazione attiva in cui l'attaccante stabilisce con le vittime connessioni tra loro indipendenti e ritrasmette i messaggi che le vittime si scambiano, facendo loro credere di parlare direttamente l'una con l'altra su una connessione privata, mentre in realtà l'intera conversazione è controllata dall'attaccante.

Quando si usa Tor, possono comunque avvenire attacchi man-in-the-middle tra il nodo d'uscita e il server di destinazione. Il nodo d'uscita stesso può agire come un man-in-the-middle. Per un esempio di questo attacco vedere MW-Blog: Nodo d'uscita TOR compie attacchi MITM (in inglese).

Di nuovo, per proteggerti da questo tipo di attacchi, devi usare la cifratura end-to-end e nel farlo devi verificare con particolare cura l'autenticità del server.

Di solito, questa verifica è svolta automaticamente dal tuo browser, che confronta il certificato SSL del server con una lista fornita da autorità certificative riconosciute. Se ottieni un messaggio che segnala un'eccezione di sicurezza, come questo, potresti essere vittima di un attacco man-in-the-middle e non dovresti procedere oltre, salvo tu abbia un altro modo affidabile per ottenere dalle persone che gestiscono quel servizio il fingerprint del certificato, così da poterlo verificare.

Questa connessione non è affidabile

Ma, come se non bastasse, il modello Internet basato su autorità certificative è suscettibile a svariati metodi di compromissione.

Per esempio, il 15 marzo 2011 Comodo, una delle principali autorità per il rilascio di certificati SSL, ha riferito che un account utente di un'autorità registrativa associata era stato compromesso. Era stato poi usato per creare un nuovo account che aveva emesso nove richieste di certificazione per sette nomi di dominio: mail.google.com, login.live.com, www.google.com, login.yahoo.com (tre certificati), login.skype.com, addons.mozilla.org, e global trustee. Vedere Comodo: Il recente caso di compromissione di un'autorità registrativa (in inglese).

Più tardi nel 2011 DigiNotar, una società di certificazione SSL olandese, ha erroneamente rilasciato certificati a una o più persone malintenzionate. In seguito è emerso che apparentemente la società era stata compromessa mesi prima, forse addirittura nel maggio 2009, se non prima ancora. Erano stati emessi certificati malevoli per nomi di dominio come google.com, mozilla.org, torproject.org, login.yahoo.com e molti altri ancora. Vedere The Tor Project: Il Disastro DigiNotar, e ciò che dovresti fare in proposito (in inglese).

Compromissioni di questo tipo lasciano aperta la possibilità di un attacco man-in-the-middle anche quando il tuo browser sta usando una connessione HTTPS che ritiene affidabile.

Da un lato, con l'anonimato che fornisce, Tor rende più complicati gli attacchi man-in-the-middle con l'ausilio di un certificato SSL malevolo, quando il bersaglio è una specifica persona. Ma dall'altro lato, Tor rende più facile, per organizzazioni o persone che mantengono nodi d'uscita, eseguire tentativi di MitM su larga scala, oppure eseguire attacchi contro uno specifico server, e in particolare contro l'utenza che si connette a quel server via Tor.

Citato da Wikipedia: Attacco man in the middle, Wikipedia: Comodo Group#Certificate hacking e Tor Project: Detecting Certificate Authority compromises and web browser collusion.

Confirmation attacks

La struttura di Tor non è concepita per offrire protezione da un attaccante in grado di vedere o misurare contemporaneamente il traffico in entrata e in uscita dalla rete Tor. Perché se si possono confrontare i due flussi, un minimo di statistica permette di individuare delle correlazioni.

Analogamente, il confronto è fattibile se il tuo ISP (o la persona che amministra la tua rete locale) e l'ISP del server di destinazione (o il server stesso) cooperano per attaccarti.

Tor cerca di proteggere la propria utenza dall'analisi del traffico, con la quale un attaccante cerca di stabilire quali siano i nodi da indagare, ma Tor non può impedire la conferma del traffico (detta anche correlazione end-to-end), con cui un attaccante cerca di confermare un'ipotesi sorvegliando i nodi giusti e poi correlandone il traffico.

Citato da Tor Project: "One cell is enough to break Tor's anonymity".

Tails doesn't encrypt your documents by default

The documents that you might save on storage devices are not encrypted by default, except in the Persistent Storage, which is entirely encrypted. But Tails provides you with tools to encrypt your documents, such as GnuPG, or encrypt your storage devices, such as LUKS.

It is also likely that the files you might create will contain evidence that they were created using Tails.

If you need to access the local hard-disks of the computer you are using, be conscious that you might then leave traces of your activities with Tails on it.

Tails doesn't clear the metadata of your documents for you and doesn't encrypt the Subject: and other headers of your encrypted email messages

Numerosi formati di file conservano dentro i file dati nascosti, o metadati. Gli elaborati di testo o i file PDF possono contenere il nome dell'autore, la data e l'ora di creazione del file, e talvolta anche parti della cronologia delle modifiche apportate al file, a seconda del formato del file e del software usato.

Ti preghiamo inoltre di notare che quando cifri le tue email con OpenPGP, l'Oggetto: e le restanti intestazioni non vengono cifrate. Questo non per un bug di Tails o del protocollo OpenPGP, ma per motivi di retrocompatibilità con il protocollo SMTP originale. Sfortunatamente non esiste ancora uno standard RFC per la cifratura dell'intestazione Oggetto:.

I file in formato immagine, come TIFF o JPEG, probabilmente si aggiudicano il premio per la maggior quantità di dati nascosti. Questi file, creati da macchine fotografiche digitali o telefoni cellulari, contengono metadati in formato EXIF che possono includere la data, l'ora e a volte le coordinate GPS del luogo dove la foto è stata scattata, la marca e il numero di serie del dispositivo che l'ha scattata, nonché un provino dell'immagine originale. I software di elaborazione delle immagini tendono a mantenere intatti questi metadati. Internet è piena di immagini ritagliate o sfocate artificialmente il cui provino EXIF incorporato mostra ancora la foto originale.

Tails non elimina per te i metadati dei file. Non ancora. Tuttavia, aiutarti a farlo rientra nell'obiettivo di progettazione di Tails. Ad esempio Tails include già il Metadata anonymisation toolkit (toolkit di anonimizzazione dei metadati).

Tor doesn't protect you from a global adversary

Per avversario passivo globale si intende una persona o un'entità in grado di monitorare contemporaneamente il traffico fra tutti i computer di una rete. Studiando, ad esempio, la tempistica e l'andamento di volume delle differenti comunicazioni attraverso la rete, sarebbe possibile con la statistica identificare i circuiti Tor e quindi abbinare le persone che utilizzano Tor ai server di destinazione.

Fa parte del compromesso iniziale di Tor tralasciare questa minaccia, per poter creare un servizio di comunicazione a bassa latenza che sia utilizzabile per la navigazione sul web, per le chat o per le connessioni SSH.

Per informazioni più specialistiche si veda il documento di progettazione di Tor, "Tor Project: The Second-Generation Onion Router", nello specifico la parte "3. Design goals and assumptions".

Tails doesn't magically separate your different contextual identities

Di solito è sconsigliabile usare la stessa sessione di Tails per svolgere due attività o confermare due identità contestuali che desideri mantenere separate l'una dall'altra. Per esempio, controllare la tua casella di posta elettronica senza far sapere dove ti trovi e pubblicare in modo anonimo un documento.

In primo luogo, perché Tor tende a riutilizzare gli stessi circuiti, per esempio nell'ambito della stessa sessione di navigazione. Dal momento che il nodo d'uscita di un circuito conosce sia il server di destinazione (e forse il contenuto della richiesta, se non è cifrata) sia l'indirizzo del ripetitore precedente da cui ha ricevuto la richiesta, gli è più facile correlare le diverse richieste di navigazione appartenenti a uno stesso circuito, e quindi forse provenienti da una stessa persona. Se sei di fronte a un avversario globale come quello descritto sopra, allora anch'egli potrebbe essere in grado di fare questa correlazione.

In secondo luogo, nel caso di una vulnerabilità di sicurezza o di un errore nell'utilizzo di Tails o di una delle sue applicazioni, potrebbero trapelare informazioni sulla tua sessione. Questo potrebbe permettere di dimostrare che c'era un'unica persona dietro le diverse attività svolte durante la sessione.

La soluzione a entrambe le minacce è arrestare e riavviare Tails ogni volta che usi una nuova identità, se davvero vuoi separarle meglio una dall'altra.

The New Identity feature of Tor Browser is limited to the browser.

Non c'è un bottone Nuova identità per Tails nel suo insieme.

Tails doesn't make your crappy passwords stronger

Tor ti permette di essere anonima online; Tails ti permette di non lasciare traccia sul computer che stai utilizzando. Ma, di nuovo, nessuno dei due è la soluzione magica al problema della sicurezza informatica.

Se usi password deboli, attacchi di forza bruta possono ugualmente indovinarle, che tu utilizzi Tails o meno. Per sapere se le tue password sono deboli e imparare valide pratiche per creare password migliori, puoi leggere Wikipedia: Robustezza della password, nello specifico la parte "1.2 Fattori di facilità".

Tails is a work in progress

Tails, come tutto il software che contiene, è in continuo sviluppo e può contenere errori di programmazione o vulnerabilità di sicurezza.