Indice

• 1 MAPPATURA DEI RISCHI
• 1.1 Soggetti interessati
• 1.2 Strumenti di attacco
• 1.2.1 Social engineering
• 1.2.2 Malware
• 1.2.3 Intercettazioni
• 2 A COSA PRESTARE ATTENZIONE
• 2.1 Social Network
• 2.2 Google
• 2.3 Cloud
• 3 STRUMENTI PER DIFENDERSI
• 3.1 Quale browser
• 3.2 Configurare il proprio browser
• 3.3 Estensioni utili del browser
• 3.4 Vari programmi utili
• 3.5 Smartphone
• 3.6 Siti web
• 3.7 OS
• 4 BUONE ABITUDINI
• 4.1 Telefono
• 4.2 Password
• 4.3 Reti pubbliche

MAPPATURA DEI RISCHI¶

L’accesso all’informazione ed il suo controllo significano potere. Vogliamo individuare chi può avere interesse ad accedere a informazioni personali e perché.

Iniziale differenziazione tra aspetti legati alla comunicazione interpersonale e protezionedi di dati persistenti. Iniziale perché,ad analisi e brainstorming avvenuto, le considerazioni fatte e le soluzioni prodotte in gran parte sono sovrapponibili.

Soggetti interessati¶

1. Forze dell’ordine.
   Motivi: prevenzione di eventuali azioni (quindi anche se non avete fatto ancora nulla); ricerca di prove per indagini; ottenere informazioni sulla struttura e i membri di gruppi politici (nel nostro caso)
2. Agenzie governative.
   Motivi: ottenere informazioni e scambio con altre agenzie a livello internazionale.
3. Antagonisti politici.
   Motivi: prevenire le mosse per sabotarle. Studiare le abitudini dei singoli per attuare agguati di stampo squadrista.
4. Datori di lavoro. {ambito personale utile a comprendere il dualismo Informazione/potere}
   Motivi: falsare contrattazioni salariali (“so che tu non puoi dire di no perché sei disoccupato e unico stipendio in famiglia per cui il prezzo lo faccio io”), mobbing in caso di opinioni discordanti in ambito politico, religioso, ecc.
5. Criminali aka Black Hat.
   Motivi: furto identità, furto dati e ricatti. In sostanza guadagnare con i dati che riescono a sottrarti.

Uno dei motivi trasversali a tutte le categorie è costituito dalla mappatura della rete sociale di modo da poter “arrivare” a persone collegate al soggetto preso di mira (intimidazioni, indagini traversali su individui prima ritenuti insospettabili, ecc.)

La valutazione della probabilità che certi avvenimenti inerenti al controllo e all’acquisizione di informazioni personali accadano in relazione anche ai soggetti autori/promotori di tali azioni. Il calcolo serve a rimanere realistici nell’affrontare e adottare contromisure. La paranoia porta a vivere (forse) sicuri ma male.
La possibilità che certe azioni vengano intraprese dipende principalmente dalle capacità economiche e tecniche dei soggetti sopra riportati. La gravità del fatto che spinge un soggetto ad agire contro una vittima (furto di una mela è meno importante del piazzamento di una bomba) o l’importanza della vittima all’interno del contesto (leader di movimento sono più “interessanti” che persone neo-arrivate o appartenenti al “giro largo”) sono, contrariamente quel che si è portati a credere, fattori relativamente marginali. Per questo motivo NESSUNO può sentirsi sicuro in virtù del solo ruolo che ricopre o della venialità dei fatti compiuti.

Strumenti di attacco¶

Social engineering¶

Si tratta di manipolare psicologicamente le persone, inducendole a fidarsi di te, al fine di farle divulgare informazioni confidenziali. Esistono diversi metodi, tra cui il Phishing, nel quale “l’attaccante” invia una mail fingendosi una banca o altro, chiedendo di verificare le informazioni al link presentato nella mail, in questo modo la vittima (se ci casca) fornirà all’attaccante tutte le informazioni a lui necessarie per rubare l’account. Il Social Engineering è stato utilizzato anche per far confessare a Bradley Manning ( en.wikipedia.org/wiki/Chelsea_Manning#Manning_and_Adrian_Lamo ) il leak di numerosi documenti dell’esercito americano finiti su WikiLeaks. Per difendersi da questo genere di attacchi basta solo prestare attenzione, l’anonimato in rete è un’arma a doppio taglio, così come tu puoi fingerti altri, anche gli altri possono fingersi tuoi amici o conoscenti, è buona norma quindi verificare se stiamo davvero comunicando con la persona che pensiamo (questo può essere fatto tramite una semplice verifica telefonica “ehy ciao zia, mi hai mandato una mail con un allegato?”), verificare se i link contenuti nella mail portino a siti sicuri, ma soprattutto una buona dose di diffidenza: non dire o fare mai una cosa che non diresti/faresti mai in pubblico. Ricorda che nei gruppi on-line, che non corrispondono a un gruppo di persone che si conosce anche al di fuori della rete, è molto più facile infiltrarsi.

Malware¶

Il caso HackingTeam ( cavallette.noblogs.org/2015/07/8859 ) ha solo confermato ciò che molti sospettavano da tempo, ossia che il governo (tramite polizia e agenzie governative) avesse a disposizione strumenti per spiare tutto ciò che viene fatto tramite telefoni e computer, arrivando addirittura a poter vedere nel dettaglio le schermate viste dal target, accendere i microfoni e le videocamere dei telefoni anche se sono spenti e così via.. Si tratta di strumenti molto costosi, e che quindi non vengono utilizzati su ogni attivista, ma probabilmente su quelli più esposti, che hanno una visione più ampia sul movimento e dai quali è possibile ottenere più informazioni. Per difendersi, se non si è ancora stati infettati, bisogna prendere alcune precauzioni, come il fatto di non aprire allegati arrivati via mail se non si è certi del mittente, crittare e mettere password per l’accesso a pc e smartphone. Se invece il device è stato sequestrato, e quindi è stato perso di vista anche solo per qualche ora, è meglio dare per scontato il fatto che si è stati infettati (addirittura basta, per i pc, inserire una chiavetta) e in questo caso nemmeno formattando si può fare nulla.

Intercettazioni¶

Grazie ad Edward Snowden siamo venuti a conoscenza che l’agenzia di spionaggio inglese GCHQ (Government Communications Headquarters) ha segretamente installato degli apparecchi per raccogliere e registrare tutte le conversazioni, email, post di facebook e telefonate da tutto il mondo (progetto Tempora, progetto Karma Police) Anche l’NSA aveva un progetto per raccogliere informazioni utilizzando il programma PRISM creato per la sorveglianza in profondità su comunicazioni dal vivo di gran parte del traffico Internet mondiale e delle informazioni memorizzate. I dati ottenibili comprendono quindi email, chat, chat vocali e videochat, video, foto, conversazioni VoIP, trasferimento di file, notifiche d’accesso e dettagli relativi a siti di reti sociali. Per ottenere ciò, PRISM si serve della collaborazione di vari fra i maggiori service provider, tra cui i principali sono Google, Facebook, Microsoft, Skype, Apple, Yahoo, AOL e altri.
Oltre ai fornitori dei più noti servizi web e social network, sono da considerare collaboratori delle “spie” ovviamente anche i provider di connettività e i gestori telefonici: questi possono dare accesso a tutto il nostro traffico anche quando ci rivolgiamo a servizi affidabili, “sicuri”. L’unica contromisura da attuare è la crittografia, tramite HTTPS, PGP etc.

A COSA PRESTARE ATTENZIONE¶

Social Network¶

Nulla è gratis, tutto ha un prezzo, e se un servizio online ci viene offerto gratuitamente dobbiamo farci delle domande. In particolare quando parliamo di social network. Infatti prendendo ad esempio Facebook, leggendo le clausole scopriamo che nulla di quello che carichiamo sul social ci appartiene più, ma diventa anzi proprietà di Facebook, che ha il diritto di utilizzarlo come crede, vendendo le nostre informazioni, foto e quant’altro. La cosa che più ci dovrebbe allarmare, in quanto attivisti, è che la polizia ha completo accesso alle informazioni ottenute da Facebook. Un’altra delle cose da tenere in conto è che nulla di ciò che cancelliamo, viene davvero cancellata, ma invece viene “oscurata” al pubblico, mentre rimane comunque accessibile a Facebook ed alle autorità (basti pensare che è possibile recuperare il proprio profilo se cambiamo idea dopo la sua cancellazione).

Google¶

Lo stesso discorso dei social network va applicato a Google, il famoso motore di ricerca, che tiene traccia di ogni ricerca fatta dagli utenti, assegnando un codice univoco ad ogni utente, riuscendo quindi ad ottenere una cronologia completa di tutte le ricerche eseguite da una persona (un esempio è il fatto che ogni volta che facciamo una ricerca le informazioni che cerchiamo, guarda caso, sono sempre nei primi 10 link, quasi come se sapesse già l’ambito delle nostre ricerche). Anche google collabora con la polizia, per “prevenire” i crimini. Una buona alternativa a Google è il motore di ricerca DuckDuckGo, che permette di fare ricerche senza essere tracciato.

Cloud¶

Il Cloud è il computer di qualcun altro. Partendo da questo presupposto possiamo facilmente capire perchè è sconsigliabile utilizzare servizi Cloud per salvare dati sensibili, soprattutto quando utilizziamo Cloud di Google, Microsoft, Apple ecc.. Anche in questo caso i dati che eliminiamo, non li cancelliamo definitivamente, infatti notiamo anche quì la possibilità di recuperarli in caso di necessità (ma se li ho cancellati, come mai riesco a recuperarli? evidentemente vengono salvati altrove..) E’ tuttavia possibile utilizzare un Cloud proprio, avendo quindi un server casalingo, con installato per esempio OwnCloud.

STRUMENTI PER DIFENDERSI¶

Ora che abbiamo visto chi e come possono ridurre a zero la nostra privacy ed il livello di sorveglianza messo in campo, passiamo a capire come invece sia possibile proteggersi, e garantirsi un po’ di privacy. Dobbiamo comunque partire presupposto che la sicurezza nell’ambito informatico non esiste, ma si può solamente ridurre il danno!

Quale browser¶

Preferiamo Firefox. È prodotto dalla fondazione omonima, non è quindi legato a interessi commerciali.
L’ecosistema delle sue estensioni è il più comprensivo per quanto riguarda la sicurezza e il blocco dei contenuti pubblicitari.
Anche Chrome è fondamentalmente Open Source – specie nella sua versione per Linux, Chromium, che elimina alcuni elementi di integrazione con Google. Tuttavia essendo prodotto da Google, tenderà a integrare alcune sue politiche commerciali: ad esempio in Chrome, specialmente su Android, è difficile bloccare la pubblicità – che è il primo business di Google. La pubblicità on-line è un tentacolo della profilazione, che preferiremmo tagliare – quando possibile.

Configurare il proprio browser¶

Lo strumento più utilizzato al giorno d’oggi su ogni computer (ma anche device mobile) è il browser, per poter accedere ad internet è indispensabile. Per utilizzare al meglio (ovvero in maniera più sicura) il proprio browser bisogna fare alcuni semplici accorgimenti, a partire dalla scelta del browser (da eliminare, e nemmeno lontanamente provare a pensare ad Explorer!), noi consigliamo Firefox e Chrome (o Chromium per Linux).

Disabilitare i Cookie di terze parti
Questi Cookie vengono utilizzati dalle pubblicità per tracciare il tuo comportamento e come navighi da sito a sito.

Firefox : Preferenze > Privacy > Accetta Cookie da terze parti > MAI
Chrome : Impostazioni > Mostra impostazioni avanzate.. > Impostazioni Contenuti > Blocca Cookie.

Pulire i cookie all’uscita
Molti Browser conservano i cookie molto più a lungo del necessario. E’ meglio configurare il proprio Browser in modo da cancellarli una volta usciti.

Firefox : Preferenze > Privacy > Mantieni fino > Chiusura di Firefox
Chrome : Impostazioni > Mostra impostazioni avanzate.. > Impostazioni Contenuti > Mantieni dati locali solo fino a chiusura.

Disabilitare Flash
Flash è il male. E’ un plug-in di Adobe che causa infiniti problemi di sicurezza, consigliamo quindi di rimuovere o disabilitare Flash.

Firefox : Estensioni > Plugin > Flash > Mai Attivo
Chrome : Impostazioni > Mostra impostazioni avanzate.. > Impostazioni Contenuti > Non avviare plugin di default.

Cambiare il motore di ricerca predefinito
Se vogliamo fare le cose per bene, sarebbe giusto anche cambiare il motore di ricerca predefinito, impostandolo su DuckDuckGo ( duckduckgo.com )

Usare la modalità privata
Le sessioni in modalità privata sono supportate dai più noti browser, se aggiornati.
Non sono la panacea ma ci evitano di lasciare cookie in giro ad esempio quando accediamo al web da un PC pubblico, senza dover installare software aggiuntivo.

Estensioni utili del browser¶

HTTPSEverywhere ( www.eff.org/https-everywhere )
Automaticamente ti indirizzerà ad una connessione sicura in tutti i siti che la supportano. Questo aiuta a difendersi contro la sorveglianza dei contenuti che stai visualizzando, non nasconde comunque i siti che stai visitando.

uBlock ( github.com/gorhill/uBlock#installation )
Previene la maggior parte delle pubblicità e dei tracking networks. Molto simile ad Adblock Plus, ma funziona meglio e più velocemente.

Privacy Badger ( www.eff.org/privacybadger )
Riesce a notare tentativi di track dei tuoi comportamenti nel browser e bloccare il contenuto di questi tracker.

Priv8 ( addons.mozilla.org/en-US/firefox/addon/priv8 )
Per ogni scheda del browser crea un “mondo” a se stesso, impedendo la condivisione di cookie ed altre informazioni.

Vari programmi utili¶

Come si diceva all’inizio, parlando delle tecniche di sorveglianza, NSA ed altre Agenzie tengono traccia di tutte le nostre comunicazioni, dalle mail alle chiamate. Leggere la nostra posta è relativamente facile perchè la posta passa in chiaro (così come leggi queste righe), e “tutti” possono leggere ciò che si scrive. E’ quindi importante crittare le proprie comunicazioni.
Rimanendo in tema di computer, ci sono diversi programmi che ci permettono di salvaguardare la nostra privacy.

Thunderbird + Enigmail (client posta e plugin per crittazione)
Thunderbird (un client di posta per gestire le proprie mail) e la sua estensione Enigmail, permettono di crittare le mail inviate.

Pidgin + OTR
Pidgin e l’estensione OTR (otr.cypherpunks.ca) permettono una chat crittata.
Raccomandato l’uso di protocollo XMPP / Jabber.
Vedi sotto i siti che forniscono account e server Jabber.

TOR ( www.torproject.org )
E’ un programma ed una rete che garantisce anonimato, impedendo di risalire all’ip utilizzato per navigare.
Attenzione! TOR senza https non è consigliabile (un nodo di uscita “disonesto” può osservare tutto il tuo traffico).

IRC
Il più vecchio protocollo di chat a stanze (canali) può essere abbastanza sicuro se

1. si usa SSL (di solito sulla porta 9999)
2. ci si connette ad un server fidato, come irc.autistici.org o irc.indivia.net (questi sono parte dello stesso network, quindi intercambiabili)

Da PC windows il client più popolare è MIRC (ma non open source), altrimenti HexChat anche per windows è free.
Da Linux si può usare XChat (grafico) o IRssi (terminale…per gli autolesionisti ;)
Da Android si può usare Atomic (lo trovi sul repo F-Droid)
Da Mac si può usare HexChat (basato su XChat) o xchataqua
{Da iOS chi lo sa?}

Mumble (www.mumble.info)
Alternativa open a Skype. Permette telefonia e conferenze in VOIP, il tutto crittato da algoritmi open source; bassa latenza e qualità audio lo rendono superiore ad alternative commerciali.
Chiunque può far girare il proprio server Mumble: si chiama Murmur ed è anch’esso open source. Per fortuna esistono comunque dei server pubblici che forniscono questo servizio gratuitamente:

• mumble.upmania.eu
• guildbit.com

Questi servizi permettono di creare un proprio server Mumble, in genere per 24 ore, al quale ci si potrà connettere semplicemente conoscendo una password condivisa.
Mumble è disponibile anche come app per iOS, mentre in Android si chiama Plumble.

OwnCloud (owncloud.org)
Per creare un cloud dove tenere i propri file

TrueCrypt (truecrypt.ch/downloads)
Per crittare l’hard disk. Inoltre permette “plausible deniability” ( en.wikipedia.org/wiki/Plausible_deniability#Use_in_cryptography ).
Purtroppo lo sviluppo è stato sospeso: l’ultima versione sottoposta ad audit è la 7.1a, pertanto molti raccomandano di usare questa.
Un fork di TrueCrypt, che promette maggiore sicurezza e risoluzione di alcuni bug, è VeraCrypt (veracrypt.codeplex.com). Questo è il fork più aggiornato ma non c’è ancora consenso in rete riguardo la sua affidabilità.

KeePassX (www.keepassx.org)
Per la gestione delle password. Crea un database crittato in cui salvare o creare le nostre password, con la funzionalità del copia ed incolla. Permette anche di creare le password.

Smartphone¶

• Per rendere più sicuro un device mobile sarebbe meglio crittarlo (si può fare tramite le impostazioni del dispositivo), ed eliminare le app di Facebook e Twitter, utilizzando i servizi tramite il browser, questo perchè raccolgono informazioni in background sul device su cui sono installate, tra cui: posizione gps, contatti, messaggi ed altre informazioni che sarebbe meglio non regalare (soprattutto visto l’utilizzo che ne viene fatto). Una cosa da tenere in conto è che WhatsApp (che comunque spedisce i messaggi in chiaro) è stato comprato da Facebook, e quindi bisogna considerare che niente di ciò che scriviamo tramite questa applicazione è privato.
  La maggior parte del traffico internet è dato dal settore mobile, ogni giorno utilizziamo applicazioni per chattare, aggiornare il nostro profilo facebook o twitter, controllare la mail ed altro, ecco alcune applicazioni da tenere in conto per avere conversazioni private.

Signal (Android / iOS) (whispersystems.org)
Permette di mandare messaggi crittati tramite internet. E’ importante essere connessi ad una rete, altrimenti i messaggi verrano inviati in chiaro!

SmsSecure (smssecure.org) (Android)
I messaggi che scriviamo sono in chiaro, e possono essere letti da “tutti”, con questa applicazione possiamo mandare sms crittati.

PanicButton (panicbutton.io) (Android)
Un’applicazione che permette di utilizzare il telefono come se fosse un pulsante d’emergenza, e manda un avviso a tre contatti scelti.

ObscuraCam (guardianproject.info/apps/obscuracam) (Android)
Questa applicazione non ha a che fare direttamente con la sicurezza, ma con una necessità di privacy che i mediattivisti conoscono bene.
Serve infatti ad oscurare le facce nelle fotografie e nei video che facciamo con lo smartphone. Risulta molto comoda soprattuto rispetto alle alternative desktop, che di solito sono plugin commerciali di grossi software di editing video – tutto molto costoso altrimenti.

KeepassDroid (scaricalo da F-droid – f-droid.org) (Android)
La versione per Android di keepass, compatibile con gli stessi file .kdb delle versioni desktop.
Purtroppo l’ultima versione vuole mettere le tue password su Dropbox: meglio di no. Per evitarlo inserisci manualmente il percorso del file .kdb, ad esempio
/storage/sdcard0/keepass/keepass.kdb

RedPhone (whispersystems.org) (Android e iOS)
Telefonate crittate.

• Anche per smartphone si trova diverso software open source. Quando abbiamo questa alternativa, è preferibile. Il più noto repository si software FOSS per Android è F-Droid f-droid.org. Vedi anche guardianproject.info/apps. Il software che troviamo qui non contiene spyware, ne pubblicità, ne aquisti in-app. Per poterlo utilizzare bisogna abilitare “Sorgenti sconosciute” nei setting di sicurezza di Android.

• Rootare o non rootare lo smartphone? È vero che un terminale rootato ci permette un controllo più approfondito, in teoria, del software in esecuzione.
  Tuttavia un terminale rootato è esposto a rischi (malware) ben più infidi e pericolosi rispetto ad uno che non lo è. Se non ne hai assoluto bisogno, o se non hai pazienza di tenere sotto controllo tutto il software in esecuzione sul tuo smartphone, è meglio che non lo rooti.

Siti web¶

• Nel web diversi collettivi forniscono servizi orientati alla privacy e all’anonimato. Tra questi servizi possiamo trovare mail, mailing list, spazio web ed altro. Quì sotto riportiamo una selezione di siti utili.

RiseUp www.riseup.net
Offre servizi di mail, mailing list, VPN, chat ed un Pad per la creazione di documenti condivisi.
Su we.riseup.net si trova invece una piattaforma di collaborazione per gruppi di attivisti.

Autistici/Inventati www.autistici.org
Forniscono servizi di mail, mailing list, VPN, chat, blog e spazio web

Indivia/Ortiche www.indivia.net
Offre spazio web, mailing list, chat IRC, streaming audio

Anonbox.net anonbox.net
Forniscono email temporanee ed anonime

Archive.org archive.org
Archiviano internet, creando una libreria no-profit di milioni di libri, musica, video e programmi gratuiti

Jitsi jitsi.org
Permette video conferenze crittate tramite browser, o scaricando il programma (per Windows, OSX e Linux).

Systemli www.systemli.org
Fornisce account e server jabber

• Alcuni altri siti che raccolgono tutorial e software per la sicurezza personale.

Surveillance Self-Defense ssd.eff.org

Security in-a-box securityinabox.org

OS¶

Alcuni sistemi operativi sono meno invasivi di altri, ad esempio se state pensando di fare l’upgrade a windows 10, beh.. ripensateci perchè di default questa nuova versione del sistema operativo ha attivate svariate funzioni che invadono la nostra privacy fornendo a microsoft ed altre aziende dati personali utili per la personalizzazione della pubblicità che ci viene mostrata, ed altro. Ci sono però sistemi operativi open source, e che quindi non regalano i tuoi dati in giro (non di default quanto meno) come Linux. Ce ne sono altri invece pensati apposta per l’anonimato e la sicurezza.

Tails ( tails.boum.org )
Sistema operativo portabile da installare su chiavetta, facile da nascondere, utilizza la rete TOR per garantire anonimato online e permette di salvare documenti ed altro su una persistenza crittata.

Freepto ( www.freepto.mx)
Un altro sistema operativo portabile su USB, dedicato agli attivisti. Fornisce già installati strumenti quali TOR, Pidgin-OTR, tastiera virtuale (se sospetti di avere un keylogger…).
Usa di default la crittazione dei dati.

Linux (is the way!)
E’ consigliabile, quando si installa Linux, crittare l’intero disco (la procedura guidata d’installazione permette di farlo in semplicità), o quantomeno crittare la cartella personale.

BUONE ABITUDINI¶

Telefono¶

1. Spegnerlo o (meglio ancora) lasciarlo a casa acceso, prima di recarsi in luoghi “sensibili”. MOLTO IMPORTANTE: ancora più delle telecamere le celle delle compagnie telefoniche sono elemento utilizzatissimo per associare persone a luoghi (gli aneddoti si sprecano) e tale pratica ha validità legale. {allenarsi a “sincronizzare gli orologi” e, soprattutto, a essere *puntuali*}
2. Proteggere l’accesso con PIN o segno.
3. Crittare il contenuto (funzionalità nativa in Android, per iOS ssd.eff.org/en/module/how-encrypt-your-iphone)
4. Spegnere il GPS (ma occhio: Google ti localizza anche con le reti WIFI)

Password¶

Password sicure dovrebbero essere completamente random: in questo caso è consigliabile usare minuscole, maiuscole, numeri e simboli.
Ovviamente queste sono difficili da ricordare perciò si consiglia di usare un software come keepassx che le archivia in un file crittato protetto da una master password.
Ci basterà quindi ricordare una master password, che sia sicura, per accedere a tutte le nostre credenziali. Tra l’altro questo software può generare automaticamente password casuali.
Una tecnica per generare password mnemoniche è invece per esempio “Diceware”. Basta avere un dado e un dizionario… leggi qua come world.std.com/~reinhold/diceware.html
Ricorda che:

1. non è bene usare la stessa password per diversi servizi online: i malintenzionati ci contano. In questo caso l’anello più debole della catena comprometterebbe tutti i nostri account.
2. una password passata in chiaro via email non è da considerarsi sicura. Se un servizio registrandoti ti manda una password via email, cambiala subito!
3. le password, e gli account, non si dovrebbero condividere. Se proprio devi farlo assicurati di scambiare la password su un canale sicuro (no email in chiaro, Skype, Whatsapp, SMS…)

Reti pubbliche¶

Quando ci connettiamo ad una rete pubblica – anche se la WIFI è protetta da password – dobbiamo considerare il nostro traffico come se fosse già intercettato. In questa situazione infatti non c’è bisogno di nessuna autorizzazione per monitorare il traffico altrui, e gli strumenti per farlo sono alla portata di tutti. Vedi ad esempio Firesheep o WhatsApp sniffer.
Controlla sempre a quali reti sei connesso. Se ti trovi su una rete di pubblico accesso, considera di essere più paranoico: dovresti usare solo protocolli cifrati. Quindi – ad esempio – non mandare email in chiaro, non usare servizi come WhatsApp, non connetterti a servizi web che non siano in HTTPS.