La cyber security comincia a casa: consigli per difendersi dalle nuove minacce
Pubblicato da Andrea Millozzi in NETWORK SECURITY · 20 Marzo 2019
Tags: sicurezzza, cyber, security, difendersiu, attacchi, da, casa, hacker, domestici
Tags: sicurezzza, cyber, security, difendersiu, attacchi, da, casa, hacker, domestici
La minaccia (informatica), nelle case degli italiani oggi, arriva da ogni parte. Si nasconde nelle smart tv. Si muove indisturbata tra le nostre telecamere IP e gli interruttori Wi-Fi per la luce. Fino a fare capolino nell’apparente amichevole assistente vocale che sempre più tiene banco non solo negli smartphone ma anche nelle casse audio o diverse appliance di domotica. Mentre altre minacce – alla privacy – sono tra le righe dei vari contratti digitali che sottoscriviamo per servizi internet “gratuiti”.
A questo spopolare del digitale nelle famiglie non è seguito però un’adeguata opera di consapevolezza collettiva. Ecco perché proviamo ora a fissare alcune regole che ogni famiglia dovrebbe adottare per salvaguardarsi dalle nuove insidie.
Una invasione domestica di tecnologia
Già, perché se fino a qualche tempo fa l’apparecchio più diffuso tra gli italiani era solo lo smartphone, ora la quantità di congegni che si trovano nelle case è cresciuta a dismisura. Che si tratti della nostra dimora o quella dei nostri amici, è diventato normale trovare nell’appartamento, oltre ai consueti PC e tablet, almeno uno dei seguenti device: una Smart TV per non perdere neanche una serie, un NAS (Network Attached Storage) per archiviare film da guardare in compagnia e per distribuire musica in tutte le stanze, una console di ultima generazione per divertirsi con una grafica mozzafiato, una telecamera IP, per sorvegliare la zona e avvisare in caso di ingresso non autorizzato, una cassa audio con servizio di Assistente Vocale a cui fare domande e ricevere risposte di qualsiasi natura, degli interruttori WiFi per accendere e spegnere tutto da remoto, una bilancia bluetooth per non perdere di vista l’andamento del peso e restare in forma, e gli esempi potrebbero moltiplicarsi.
Nonostante questi apparecchi portino dei vantaggi indiscutibili, rendendo la vita più facile e/o divertente, hanno tutti un fastidioso dettaglio in comune: essendo connessi ad Internet, possono rappresentare una minaccia per la privacy degli utenti, famiglie e non.
Da genitore appassionato da sempre di tecnologia, mi trovo ogni giorno a dover combattere una battaglia quotidiana con le varie insidie della rete, di cui sono consapevole, e con la difficoltà di far comprendere fino in fondo ai figli e agli amici i rischi che si celano usando in modo improprio e con superficialità tutti questi dispositivi.
Oramai il mio mantra è quello di ripetere sempre a tutti di stare attenti: quando si scaricano e si avviano allegati potenzialmente pericolosi, si installano App che richiedono autorizzazioni “sensibili” senza motivo (soprattutto accesso al microfono e alla camera), si accettano nuove amicizie sconosciute e improbabili sui social, si compilano e inviano informazioni private in siti poco affidabili, si portano i PC e gli smartphone a riparare senza aver eliminato prima i dati privati presenti su questi dispositivi, ecc.
Rischio cyberbullismo
Non c’è da scherzare: i pericoli ai quali si può andare incontro se non si fa attenzione sono tanti, da quelli meno gravi, come vedersi attivare un abbonamento a pagamento mai richiesto, fino ad arrivare a casi gravissimi di cyberbullismo che, a causa di pesanti attacchi personali, possono portare anche alla morte, come è accaduto alla giovanissima Carolina Picchio il cui tragico destino poi, anche grazie alla tenacia del padre, ha ispirato una Legge ad hoc: Legge 29 maggio 2017, n. 71 – Disposizioni a tutela dei minori per la prevenzione ed il contrasto del fenomeno del cyberbullismo.
A tal proposito mi preme ricordare che proprio questa Legge, all’Art. 4 comma 3, prevede che:
“Ogni istituto scolastico, nell’ambito della propria autonomia, individua fra i docenti un referente con il compito di coordinare le iniziative di prevenzione e di contrasto del cyberbullismo, anche avvalendosi della collaborazione delle Forze di polizia nonché delle associazioni e dei centri di aggregazione giovanile presenti sul territorio”.
Avendo dei figli in diverse scuole, per esperienza personale so che a volte il nominativo del docente referente non è molto ben pubblicizzato, quindi se vi trovaste dinanzi ad atti di cyberbullismo (ma anche di bullismo visto che a diventare “cyber” è un attimo!), non esitate a chiedere maggiori informazioni negli uffici di segreteria della scuola, citando la Legge in questione.
Cyber security e protezione dei dati personali
Ultimamente ho partecipato a diversi convegni e incontri pubblici, anche all’interno di istituti scolastici, sul tema della cyber security e protezione dei dati personali.
Tra le altre cose, anche in occasione del Safer Internet Day (la giornata mondiale dedicata alla sicurezza sul web), ho avuto il piacere di tenere personalmente un talk sulla difesa della privacy per Hitalk a Roma, presso Luiss Enlabs: “Privacy for Dummies, from Beginner to Expert” e qui, parlando di questi temi, ho ascoltato le richieste di tante persone (specialmente mamme e papà), che si sono rivolte a me, ponendomi questioni del tipo: “ma come faccio a sapere se un link è pericoloso?”, “mio figlio gioca in continuazione con Fortnite ma ho saputo che potrebbe contenere un malware, come faccio a difenderlo?”, ecc.
Quello che ho appreso dopo tanti anni di esperienza sul campo è che non esiste uno strumento che ci permetta di proteggerci al 100% da questo tipo di attacchi: l’unica vera arma di difesa è maturare la consapevolezza cercando di capire chi è interessato a violare i nostri dati privati, cosa se ne fa, e quindi quali strumenti usa per ottenerli, in modo da mettere poi in pratica una serie di buone pratiche, dalla creazione di una password forte e sicura, fino ad arrivare ad un uso più consapevole dei Social.
Cyber sicurezza in famiglia, perché è importante
Ma per quale motivo oggi è così importante occuparsi di cyber security anche in ambito familiare?
Il motivo è che mentre un tempo, prima di Internet, era molto difficile riuscire ad appropriarsi di informazioni private, oggi parte della nostra identità e della nostra vita reale si è trasferita online, quindi è diventato molto facile riuscire ad ottenere informazioni che ci riguardano, informazioni molto approfondite.
Non ce ne rendiamo conto, ma c’è una moltitudine di soggetti interessati ai nostri dati personali che ha gli strumenti giusti e sa molto bene come usarli per prelevarli: per semplificare il discorso immaginiamo che esistano due livelli di attacco.
Ad un primo livello gli attori in gioco agiscono senza il nostro consenso adoperando strumenti malevoli (malware) per sfruttare le numerose falle (bug) presenti (e sono tante) nei vari dispositivi che utilizziamo quotidianamente: il loro obiettivo è ovviamente quello di estorcere denaro o aggiungere ulteriori nostre informazioni ai loro archivi per usi futuri (ricatti, furti d’identità, ecc.).
Dobbiamo essere coscienti che i nostri dispositivi, tutti, nessuno escluso, possono essere afflitti da bug sia software che hardware, aprendo le porte ad attacchi che fanno uso di uno o più dei tantissimi malware esistenti, compresi quelli 0-day, cioè appena scoperti e che, proprio per questo, non hanno difese. Di seguito alcune delle falle più rinomate a causa delle loro gravità:
Il bug del protocollo WPA2, il protocollo di sicurezza che protegge un gran numero di dispositivi WiFi e che può essere essenzialmente bypassato, attraverso il metodo chiamato Kcrack, consentendo potenzialmente a un utente malintenzionato di intercettare dati inviati e ricevuti
Heartbleed, un bug di sicurezza nella libreria di crittografia OpenSSL usata nel protocollo https, che può servire a scoprire dati che dovrebbero restare segreti, come i cookie di sessione e le password usati nelle fasi di login
Spectre & Meltdown: due bug hardware presenti nelle CPU Intel e Amd, che possono essere utilizzati per leggere parti riservate della memoria e tutto il contenuto presente, comprese eventuali password.
Il business dei malware
Per quanto invece riguarda i malware, sono talmente tanti che non avrebbe senso farne un elenco. Quello che però bisogna sapere è che in rete, nel Dark Web, esistono dei veri e propri generatori di malware che rendono la creazione e la diffusione di tali programmi davvero un gioco da ragazzi, tanto che chiunque può farne un business; sono state create addirittura delle affiliazioni ad hoc, come nel caso dei ransomware, i malware usati per crittografare e “rapire” i vostri dati per poi chiedervi un riscatto in cambio. Funziona così: vai sul sito, metti l’indirizzo bitcoin dove vuoi che ti venga pagata la tua parte di riscatto, decidi quanti soldi chiedere e quanto tempo dare alle vittime per pagare, scarichi il malware, lo distribuisci con delle email di phishing ed il gioco è fatto! È tutto gratuito: si paga solo una percentuale degli incassi a chi gestisce l’infrastruttura che comunica con i computer infettati. Una semplicità davvero agghiacciante!
Un decalogo per difendersi
Ma quindi come possiamo fare per difenderci? Di seguito un breve, e non esaustivo, decalogo da tenere bene a mente:
Visto che cliccare su allegati di email che riteniamo sicure è uno dei principali motivi di infezione, il consiglio è quello di utilizzare il quiz messo a disposizione da Google per allenarsi a riconoscere le email malevole comunemente definite phishing.
E’ indispensabile considerare qualsiasi allegato arrivato per email come possibile minaccia: non aprite mai i file che ricevete, neanche se arrivano da un amico o qualcuno di cui vi fidate, poiché potrebbero essere stati attaccati da un virus che poi ha inviato a voi l’email con l’allegato “pericoloso”. Se proprio dovete aprirlo, salvatelo prima sul vostro dispositivo e analizzatelo con un programma antivirus. Se non ne avete uno a disposizione, potete usare l’ottimo Virustotal: un test dei file da fare online che vi segnalerà la eventuale presenza di un software malevolo, grazie al servizio fornito dalle aziende che realizzano programmi antivirus, con cui Virustotal collabora.
Non fatevi ingannare dalle estensioni dei file: anche se l’allegato vi sembra innocuo perché, ad esempio, si tratta di un file immagine e non un applicativo, sappiate che anche questo tipo di file, come si è scoperto, se opportunamente creato, e aperto su un sistema afflitto da bug, può causare danni!
Tenete sempre aggiornati il sistema operativo o il firmware dei vostri dispositivi: che si tratti del PC, lo smartphone, il tablet, la telecamera IP, lo smartwatch o altro, è indispensabile applicare sempre gli ultimi aggiornamenti che, oltre ad aggiungere eventuali nuove caratteristiche, chiudono le falle esistenti. Un dispositivo che riceve aggiornamenti automatici è preferibile in quanto non richiede un intervento diretto da parte dell’utente.
Nella scelta dell’acquisto valutate se l’azienda si preoccupa di fornire nuovi aggiornamenti: se non sono molto frequenti e/o recenti, meglio passare ad un altro prodotto.
Non condividete mai le password e i propri dispositivi, smartphone, PC, tablet, ecc. con altre persone perché è molto probabile che non abbiano la vostra stessa percezione del pericolo e non mettano in atto i giusti comportamenti.
Prima di scaricare e installare qualsiasi software o App, conviene sempre leggere ulteriori informazioni nei commenti presenti negli store ed inserire nei motori di ricerca il nome del programma insieme alla parola chiave “malware” per verificare se non ci sia qualche brutta sorpresa dietro l’angolo: purtroppo anche i titoli più rinomati, dai programmi professionali ai giochi, a volte contengono dei bug che vengono adoperati dai malfattori per accedere ai nostri dati.
Ci sono alcuni codici presenti nei nostri dispositivi che vanno sempre messi al riparo da sguardi indiscreti: sono il codice IMEI, il MAC ADDRESS, e l’indirizzo IP. L’IMEI identifica in maniera univoca il nostro smartphone (è quello che viene usato nelle denunce di smarrimento per renderlo inutilizzabile dopo un furto), il MAC ADDRESS è il codice assegnato in modo univoco dal produttore ad ogni scheda di rete, l’indirizzo IP invece è il codice che ci identifica quando siamo connessi ad Internet. Attraverso queste informazioni è possibile effettuare diversi attacchi per cui evitate di divulgarli se non è strettamente necessario.
State attenti quando navigate in Internet attraverso lo smartphone perché a volte basta cliccare anche per sbaglio su un banner pubblicitario per ritrovarsi a dover pagare un abbonamento indesiderato (successo personalmente). Motivo per cui fate molta attenzione quando lasciate i vostri figli da soli, soprattutto se in tenera età, con il tablet in mano: conviene sempre impostare la modalità “offline”, anche per ovvii motivi di salute, visto che comunque si tratta di emettitori di energia elettromagnetica il cui impatto di penetrazione è molto più alto sulle masse “piccole” rispetto a quelle “grandi”.
Modificare sempre la password di default di ogni dispositivo elettronico di casa prima di esporlo su Internet: non farlo significherebbe aprire la porta ad ogni tipo di attacco che potrebbe poi compromettere l’intera rete domestica.
Per ogni servizio, creare sempre delle password diverse, magari seguendo questi consigli che vi permettono di ottenerne di robuste senza obbligarvi a diventare pazzi per ricordarle:
usa lettere, numeri e simboli per creare una password principale e memorizzala, meglio se fa parte di una frase di molti caratteri, ricordando che è più importante la lunghezza rispetto al tipo di caratteri usati (es. La.Pr1v@c:Y);
Per ogni App o servizio aggiungi le prime tre lettere all’inizio della password principale e le ultime due lettere alla fine (es. per gmail-> GM ALa.Pr1v@c:Y IL);
Se vuoi verificare l’efficacia della tua password, puoi usare un servizio come quello messo a disposizione da Kaspersky in cui, ad esempio, inserendo la password appena creata otteniamo come risultato il messaggio: “La tua password sarò craccata con un comune home computer in circa 10000+ secoli”.
Sempre restando in tema password, sul PC, se non lo avete ancora fatto, abilitate dalla barra degli strumenti di Windows 10 la tastiera virtuale (o utilizzatene una presente nel vostro sistema operativo preferito) in modo che quando andrete ad inserire la password nella fase di login, una parte la scriverete con la tastiera virtuale mentre l’altra con la tastiera fisica: in questo modo se dovesse essere attivo un Keylogger (un malware che intercetta tutto ciò che digitate), non sarà in grado di rubare le vostre credenziali.
Se è presente, attivate sempre l’autenticazione a due fattori che spesso è indicata nelle impostazioni con il codice 2FA: così anche se vi rubassero la password, non sarebbero in grado di accedere ai vostri servizi online, perché per farlo occorrerà dover inserire un codice che sarà spedito al vostro indirizzo di posta, a cui solo voi potete accedere.
Ogni tanto è bene controllare nelle impostazioni del proprio smartphone quali autorizzazioni abbiamo dato alle App e disabilitare quelle che non riteniamo siano “coerenti”: ad esempio che senso ha abilitare il microfono o la camera se l’App ha il solo scopo di accendere il led per fare luce? Conviene ripetere questa operazione di verifica più volte perché purtroppo, anche se abbiamo deselezionato qualche autorizzazione, può capitare che un nuovo aggiornamento della stessa App la riattivi o ne aggiunga delle altre di cui non eravamo a conoscenza.
Controllate sempre due volte che l’indirizzo del dominio visitato sia giusto, specialmente quelli bancari: malintenzionati utilizzano spesso domini con nomi molto simili a quelli più rinomati che differiscono solo di uno o due caratteri ricreando poi alla perfezione il sito come se fosse quello ufficiale. In questo modo, se ci sbagliamo a digitare, pensando di ritrovarci nel sito autentico, siamo invogliati ad inserire le credenziali di accesso che vengono rubate, per poi dirottarci sul sito “vero”. La truffa perfetta, perché la vittima non si rende neanche conto di quello che è successo.
Acquisite la buona abitudine di informarvi sui canali che trattano di cyber security e condividete tra amici e familiari le notizie su nuove possibili minacce, in modo da poter mettere tutti in pratica, fin da subito, le giuste contromisure.
Best practice per proteggere la rete familiare
Per i più smanettoni ecco alcune best practice che possono essere adottate per limitare l’esposizione alle vulnerabilità della propria rete familiare:
Separare la rete esterna e quella indoor attraverso la creazione di una rete “guest”: molti router per uso domestico supportano la creazione di una rete “guest” per gli ospiti. Collegare tutti i dispositivi IoT a questa rete, invece che alla principale, permette di limitare il loro raggio di azione e mitigare gli attacchi di eventuali malware e/o malintenzionati.
Filtrare il traffico: se nel router è presente un firewall, è consigliabile configurarlo in modo da garantire ai dispositivi IoT il solo accesso ai server del rispettivo produttore. Ciò permette di evitare che un dispositivo compromesso possa contattare server terzi allo scopo di rubare dati, eseguire azioni di attacco DDos, ecc.
Usare solo la rete locale: se non si hanno particolari necessità di comandare i dispositivi dall’esterno, è saggio configurare il proprio router per bloccare l’accesso a Internet dei propri dispositivi smart, che continueranno a funzionare normalmente mentre siamo in casa, ma saranno efficacemente protetti da minacce esterne.
Attacchi di secondo livello
Fin qui abbiamo parlato di una tipologia di attacco che abbiamo definito di primo livello. Ad un secondo livello invece agiscono figure che – non solo attraverso i malware ma anche, e soprattutto, grazie al nostro consenso, quello che confermiamo con un click sui “Termini e Condizioni D’uso” ignorandone completamente il contenuto – si appropriano di qualcosa che va oltre il semplice “dato”: potendo contare su un continuo e duraturo monitoraggio a cui, ricordiamolo, abbiamo acconsentito, possono conoscere in tempo reale, anche grazie ad algoritmi di Intelligenza Artificiale, cosa cerchiamo su Internet (rivelando le nostre curiosità), quali tipologie di post ci piacciono (rivelando i nostri gusti, anche in ambito politico, sessuale, religioso, ecc.), cosa scriviamo nei commenti (riuscendo addirittura a scoprire il nostro stato d’animo dall’enfasi delle parole che digitiamo), ma anche le nostre foto (in modo da sapere con chi eravamo attraverso il riconoscimento facciale, se siamo sorridenti e quindi allegri, oppure no, il luogo dove eravamo quando l’abbiamo scattata, se eravamo al chiuso o all’aperto, ecc.), tutti i nostri contatti (avendo la possibilità di incrociare i dati fino a riuscire addirittura a stabilire il grado di parentela o di amicizia che ci lega gli uni agli altri).
Le trappole nascoste nei Termini e Condizioni D’uso
Leggete sempre i “Termini e Condizioni D’uso” che firmate con un semplice click: spesso e volentieri in questi che sono dei veri e propri contratti stipulati tra l’azienda e i suoi clienti, cioè noi, sono previste delle clausole di cui mai immagineremmo la presenza ma che invece impattano davvero pesantemente sulla nostra privacy anche senza che ci siano delle ragioni plausibili (plausibili per noi) perché ciò avvenga.
Per farvi un esempio, proprio ultimamente mi è arrivata la notifica di un aggiornamento relativo all’App che uso per editare le foto sul mio smartphone, App che mi sono ritrovato di default e che non posso disinstallare. Prima di cliccare per proseguire con l’aggiornamento sono andato a leggere cosa avrei accettato:
“La raccolta dei seguenti dati: il codice IMEI e altri identificativi univoci del dispositivo, il numero di telefono, il numero di serie, il codice di vendita, le registrazioni degli accessi, l’indirizzo MAC, l’indirizzo IP, i cookie, i pixel (quindi tutto ciò che è visualizzato sul display!), informazioni sulla registrazione, versioni del sistema operativo e impostazioni del dispositivo usato dall’utente per accedere ai Servizi. Informazioni sulla posizione, ad esempio il segnale GPS del dispositivo o le informazioni sui punti di accesso Wi-Fi o sulle antenne di telefonia mobile vicini, che possono essere trasmessi quando l’utente utilizza determinati Servizi e abilita questa funzione. Informazioni vocali, come le registrazioni della voce dell’utente memorizzate sui suoi server quando l’utente utilizza i comandi vocali per controllare un Servizio o quando contatta i Servizi clienti. (Si fa presente che qualora i servizi di conversione da voce a testo siano forniti da un provider di servizi esterno che opera per conto di XXX, tale provider potrebbe ricevere e conservare determinati comandi vocali ai sensi del contratto stipulato tra XXX e il suo provider di servizi terzo di fiducia). Informazioni sulla tastiera, le parole digitate quando l’utente abilita la funzione “Previsione testo”. Altre informazioni sull’utilizzo dei Servizi, come le applicazioni utilizzate, i siti Web visitati e le modalità di interazione con il contenuto offerto mediante un Servizio”.
Stiamo parlando di un’App che serve solo per editare immagini, qual è il senso della raccolta di un così alto numero di informazioni “sensibili”? Non solo, dove vanno a finire questi dati una volta che sono stati raccolti? Leggiamo:
“L’utilizzo dei Servizi da parte dell’utente implicherà il trasferimento, la memorizzazione e il trattamento dei dati personali dell’Utente al di fuori del suo Paese di residenza, in Corea, secondo le modalità descritte nella presente Informativa sulla Privacy. Inoltre, l’utilizzo dei Servizi da parte dell’utente potrà implicare il trasferimento, la memorizzazione e il trattamento dei suoi dati personali in altri Paesi. Detti Paesi comprendono, senza limitazione, i Paesi dello Spazio Economico Europeo (SEE), gli Stati Uniti d’America, Cina, Singapore, Vietnam, India, Canada, Filippine e Giappone. Si noti che le leggi in materia di protezione dei dati e altre leggi dei Paesi al di fuori dello Spazio Economico Europeo verso i quali potranno essere trasferiti i dati potrebbero offrire un livello di tutela inferiore a quello del Paese di residenza dell’utente”.
Come abbiamo visto, per perdere in un attimo le nostre informazioni private, non serve essere attaccati da un malware, basta semplicemente non far caso agli accordi che firmiamo di nostro pugno!
Parlando di invasione della privacy, se anche voi siete tra coloro che questo Natale hanno comprato o ricevuto in regalo un assistente vocale tipo Alexa & co., sarebbe interessante andarsi a leggere come vengono trattati gli ascolti della voce captati nella vostra casa, soprattutto se ci sono minori di mezzo: magari potreste farlo insieme ai vostri figli, potrebbe essere un ottimo modo per renderli consapevoli dell’importanza di certi temi, introducendoli nel mondo della cyber security partendo da un’esperienza personale e che li tocca da vicino. Di seguito il link diretto al brevetto in cui ci sono informazioni molto interessanti sul funzionamento.
Personalmente, da papà, invece di riempire di nozioni mio figlio, ho deciso di realizzare con lui una serie di podcast che abbiamo chiamato Cybersecurity And Videogames. In questo modo, parlando di cybercrime, malware, virus, e dei pericoli del web in genere, non solo impariamo a difenderci in modo divertente, ma rendiamo un servizio utile per chi vorrà seguirci nei nostri canali Social su cui, ovviamente, siete tutti i benvenuti.
https://www.agendadigitale.eu/sicurezza/la-cyber-security-comincia-a-casa-consigli-per-difendersi-dalle-nuove-minacce/