(In)Sicurezza: 4 modi per mantenere una buona sicurezza on-line in un mondo perennemente sotto attacco

(In)Sicurezza: 4 modi per mantenere una buona sicurezza on-line in un mondo perennemente sotto attacco

Marco Bena Marco Bena

Marco Bena

Titolare

Data pubblicazione: 22 set 2016
+ Segui
Il 73% delle società ed il 93% delle banche sono state colpite da una qualche forma di attacco informatico, mentre l’89% delle organizzazioni sanitarie hanno sperimentato falle di sicurezza.


Il sito che conserva i vostri file privati e professionali è stato attaccato. Il vostro account Playstation è stato attaccato. Il mercatino digitale in cui andate a cercare un affare è stato attaccato. E, nonostante gli ultimi aggiornamenti e correzioni di falle, sia il vostro iPhone che lo smartphone Android sono disperatamente vulnerabili a possibili attacchi.

Voi sapete che nessuno dei vostri account è sicuro, avete letto gli ultimi annunci e ne siete impauriti. Leggiamo di attacchi hacker ogni giorno; nulla è sicuro, nonostante le preoccupazioni e l’attenzione che si possono riservare.

Però esiste una terza opzione per i gestori di attività on-line: essere pragmatici, tenersi informati e fare sempre un passo alla volta. A meno che non siate degli eremiti e completamente isolati dal mondo, siete anche voi potenziali obbiettivi di un cyber-attacco. Non ignorate la minaccia solo perché non siete in quel 73% di aziende colpite. Certo, le statistiche potrebbero non essere corrette, ma scommetto che comunque non mettereste in discussione il senso di questi numeri, tanto siamo bombardati da notizie su questo tema.

Ecco allora alcuni rapidi suggerimenti per rendere la vostra vita (digitale) un po’ più sicura.

Utilizzate Haveibeenpwned (o qualcosa di simile)

Immaginate che un sito che visitate regolarmente e a cui siete registrati abbia subito un forte attacco. Come potete sapere con certezza che il vostro account e-mail e le vostre credenziali non siano stati hackerati?

Un direttore regionale di Microsoft, Troy Hunt, ha voluto affrontare il problema creando haveibeenpwned.com, che verifica che il vostro indirizzo e-mail non compaia nella lista delle credenziali rubate, spesso venendo venduto al miglior offerente. Se lo strumento identifica un abbinamento tra il vostro account ed un nome nel database vi invia automaticamente un messaggio per avvisarvi che siete stati “pwned."

Attenzione: qualche sito notifica l’avviso in notevole ritardo, come il recente caso di Dropbox. Questo ritardo è dovuto al fatto che l’attacco viene ufficializzato molto tardi, anche qualche anno dopo. Nel caso specifico, Dropbox invitò i propri utenti a modificare la password nel 2012, senza comunicarne la motivazione. Qualche mese fa, e quattro anni dopo, l’azienda ha confermato che si trattava di un cyber-attacco.

Visitando Haveibeenpwned potete inserire il vostro indirizzo e-mail e verificare se è già contrassegnato come hackerato. Quindi, utilizzare un solo ed unico indirizzo e-mail per tutti i vostri account on-line è estremamente pericoloso. Per cui…

Non usate lo stesso indirizzo e-mail per tutto

Andreste in giro con un’unica chiave che usate sia per aprire ed usare la vostra auto che per aprire e chiudere casa? A parte la crescente diffusione di device connessi, virtualmente sbloccabili da qualsiasi smartphone, probabilmente preferireste avere diverse chiavi nel mazzo personale. Lo stesso concetto si può tranquillamente applicare alla vostra e-mail, sia privata che professionale.

Immaginate per un istante che usiate un solo indirizzo e-mail per la vostra attività lavorativa. Lo utilizzate per accedere alla vostra pagina aziendale Facebook, Google Drive, l’account bancario e, naturalmente, alla vostra posta. Immaginiamo anche che abbiate alcune sane abitudini, come non utilizzare la stessa password in tutti gli account ed usare la verifica in due fasi (two-step verification).

Il primo obbiettivo, per qualcuno che voglia attaccarvi, è il vostro account e-mail perchè è praticamente il passpartout, la chiave di tutta la vostra identità in rete. Se quel qualcuno non riuscisse ad entrare nel vostro account Facebook, per i motivi di cui sopra, la richiesta di reset della password verrebbe inevitabilmente inviata al vostro indirizzo e-mail.

L’autenticazione a doppio controllo (two-step verification), come ad esempio un messaggio inviato al vostro cellulare con un codice, è stata creata come deterrente per gli hackers e fornisce una difesa accettabile, ma questo non significa che sia a prova di tutto. Wired ha raccontato la storia dell’attivista di Black Lives Matter, Deray McKesson, che nonostante la doppia autenticazione ha visto il suo account seriamente compromesso. Qualcuno, infatti, era riuscito a chiamare Verizon (il suo gestore telefonico) pretendendo di essere lui e cambiando la SIM del telefono; in questo modo gli hacker erano in grado di ricevere il messaggio con il codice per la doppia autenticazione sul loro cellulare.

Allora, cosa possiamo fare? ecco qualche idea:

  • Non usate lo stesso indirizzo e-mail per ogni accesso (“log-in") e cercate di impiegare, invece, degli indirizzi disponibili (i cosiddetti “burner") per i servizi che non intendete utilizzare per molto tempo oppure usate un indirizzo e-mail principale che sia collegato ad ogni servizio ma che riceve le email inoltrate da tutti i vostri account correlati.
  • Considerate l’idea di impiegare un password manager (come Lastpass, utilizzabile con un unico account su tutti i vostri terminali)
  • Seguite la vecchia scuola e tenete le vostre password scritte su un foglio di carta/quaderno, custodendolo in un luogo sicuro (e memorizzato…)
  • Controllate periodicamente la vostra cronologia web e le attività di log-in dell’account e-mail.

 

Assicuratevi che il vostro software non abbia falle

Evitare il più possibile che il vostro software abbia falle (in altre parole che le patch di sicurezza siano aggiornate) equivale alla manutenzione della vostra auto. Fareste 100.000 Km senza mai cambiare l’olio? Qualcosa di analogo, più o meno, avviene per i software. Ogni utente di Microsoft Office riceve degli avvisi per aggiornare il programma proprio per risolvere vulnerabilità critiche.

Quell’avviso è Microsoft che vi chiede di chiudere una falla in Office.

Non tutti i programmi hanno aggiornamenti ed installazione delle patch automatici. Alcuni richiedono di cercarli, scaricarli ed installarli manualmente. Ed è importante ricordare che queste patch non curano solo programmi o suite come Microsoft Office, ma comprendono anche:

  • Hardware, come i router e le stampanti
  • Il vostro sistema operativo (OS) come, ad esempio, Windows 10 oppure OS X di Mac
  • Adobe Flash (in effetti molti addetti ai lavori stanno spingendo perché Flash cessi di esistere…)
  • Ogni device/strumento “smart" o comunque connesso

Trovare informazioni su come proteggere in questo modo il vostro software è facile come fare una ricerca su Google search; ma non dimenticate che anche se nessuno ve lo propone è sempre meglio tenere aggiornate le patch di sicurezza.

Inoltre, alcuni esperti di sicurezza come Brian Krebs raccomandano di rimuove, cioè disinstallare, software che non vengono impiegati. Un vecchio programma che non venga più sviluppato ed aggiornato crea delle potenziali vulnerabilità. Eliminarlo si traduce in un migliore funzionamento del sistema (meno rallentamenti, meno crash) e minori rischi di intrusione.


Fate un bel respiro profondo

Alla fine dei conti ci sono ben pochi accorgimenti per proteggere la vostra identità in rete. Gli allarmi terrorizzanti di chi vi urla che “qualsiasi cosa può essere hackerato!" sono comprensibili: in effetti quasi tutto può essere hackerato e niente è sicuro al 100%.

Negli Stati Uniti spesso si scherza sul fatto che a San Francisco e a Boston ci siano i peggiori conducenti d’auto della nazione, ma non per questo la gente ha smesso di muoversi in auto o pensa che da quelle parti impazzi Mad Max…

C’è sempre qualcuno (o qualcosa) che può fare dei danni, quindi meglio limitare il più possibile il rischio che possa capitare a voi.

Quindi, ricapitolando:

  • Iscrivetevi alle notifiche che vi avvisano nel caso in cui uno dei vostri account sia compromesso
  • Non usate un unico indirizzo e-mail per tutto
  • Verificate che i vostri apparecchi e le vostre applicazioni abbiano le patch di sicurezza aggiornate
  • Non lasciatevi terrorizzare dall’allarmismo, ma non ignoratelo. Testa alta ma buttate sempre un occhio alle notizie

Per visualizzare o aggiungere un commento, accedi

Altri articoli di Marco Bena

See all articles

Altre pagine consultate