La sicurezza di un accesso Internet “always-on” residenziale o in mobilitá tramite smartphone é radicalmente cambiata negli ultimi anni. Gli utenti devono iniziare a maturare una nuova forma di scetticismo tecnologico per difendere le proprie informazioni private. Credere ciecamente nella tecnologia espone la persona e la sua identitá, privacy, finanze a serio rischio. E’ necessario accrescere la percezione sui rischi che si trovano in rete, nelle diverse tecnologie di accesso o solamente in un uso non attento del proprio smartphone.
Le minacce di Sicurezza
Accesso Wifi
Il Wifi é sicuramente un comodo metodo di accesso alla rete e spesso viene offerto in maniera gratuitá per attrarre clienti sotto forma di reti aperte cioé senza controllo di accesso e crittazione del traffico. Una rete aperta non é solo interessante per un utente qualunque ma lo é anche per malintenzionato che puó facilmente intercettare il traffico degli altri utenti. In una rete aperta é infatti molto facile leggere il traffico di altri utenti ed utilizzarlo per scopi malevoli. Anche visitando siti web sicuri, che utilizzano cioé tecniche di protezione del traffico come SSL/TLS , la fase iniziale di comunicazione non é codificata e puó essere tranquillamente intercettata e modificata. Uno degli attacchi piú diffusi é il cosiddetto Man-in-the-middle in cui la connessione del proprio smartphone o PC puó essere ridiretta su altri siti invece che in quelli desiderati.
La protezione da questo tipo di attacchi é fondamentalmente impossibile. L’unica certezza é quella di evitare reti wireless aperte oppure quelle con crittazione WEP che puó essere compromessa in meno di 60 secondi grazie a semplici programmi reperibili in rete. La scelta migliore é quella di usare reti Wifi con protezione WPA2 verificando peró di disconnettersi ogni 2 ore. Esiste infatti un attacco in grado di compromettere la procedura di crittazione RC4 e di accedere alla rete protetta con WPA2. La disconnessione ogni 2 ore non permette al possibile melintenzionato di avere il tempo necessario per il recupero delle chiavi di codifica.
Chi vuole offrire un servizio gratuito Wifi puó per esempio utilizzare lo stesso nome per l’identificativo di rete SSID e per la password, avvertendo la clientela. In questo modo é possibile offrire un servizio gratuito evitando il rischio di una rete aperta o WEP.
Falsi certificati
I Certificati Digitali servono per la codifica/crittazione delle informazioni fra utenti. E’ il metodo utilizzato da molti siti sicuri e necessita dello scambio di varie “chiavi” di decodifica. I Certificati digitali sono forniti da aziende esterne quali: Verisign, Thawte, GoDaddy, Comodo che fungono da Autoritá delle Certificazioni (Certificate Authority-CA). I Certificati Digitali sono sempre stati ritenuti un metodo a prova di Hacker ma recentemente alcune CA sono state violate e alcuni certificati di aziende molto note sono stati sottratti. Mentre esiste la matematica sicurezza sull’algoritmo di crittazione non é altrettanto alta la sicurezza delle CA stesse. Finché le aziende CA non adegueranno la sicurezza dei propri servizi Web i certificati non saranno matematicamente esclusi da rischio.
Come evitare pericoli da certificati:
Evitare troppo facilmente di cliccare su link provenienti da email, post nei blog, in vari documenti come per esempio Pdf.
Controllare una connessione sicura andando sul lucchetto chiuso del browser e verificare i dati della connessione stessa (SSL/TLS). Non utilizzare piú la connessione se qualche impostazione di sicurezza é disabilitato, esistono dei Plug-in per alcuni browser che tengono traccia della storia dei certificati evidenziando eventuali cambiamenti o anomalie come per esempio Firefox – Certificate Patrol.
DNS Spoofing/Poisoning
Il Domian Name System (DNS) é un meccanismo fondamentale della rete Internet poiché traduce il nome di un sito web nell’indirzzo IP necessario per raggiungerlo. Se non ci fosse il DNS dovremmo ricordarci gli indirizzi IP di ogni sito web. Per esempio dovremmo ricordarci l’indirizzo IP 89.31.55.101 invece del piú semplice www.corriere.it. Il servizio DNS é orientato all’efficienza piuttosto che alla sicurezza e quindi puó essere compromesso da attacchi come: DNS Spoofing e Poisoning.A questo link un’interessante guida sulle vulnerabilitá del DNS.
Negli ultimi anni é stata sviluppata una versione chiamata DNSSEC sviluppata con certificati ma non essendo cosí diffusa in rete non copre le attuali vulnerabilitá del DNS.
Per difendersi dai problemi del DNS é necessario anche in questo caso non cliccare mai su link provenienti da mail, sms, pots e documenti di cui non si ha la certezza della provenienza. Esistono inoltre dei test disponibili in rete per la verifica del funzionamento del proprio DNS configurato sul PC. In caso di problemi o dubbi un utente puó sempre configurare e utilizzare i server DNS pubblici offerti da Google (8.8.8.8 and 8.8.4.4) oppure da OpenDNS (208.67.222.222 and 208.67.220.220).
Perdita o furto del Cellulare/Smartphone/Tablet
Nei prossimi anni ci saranno al mondo piú telefoni cellulari che persone. I dispositivi mobili si stanno trasformando in Super Computer portatili e gli utenti li utilizzano per accedere ad Internet ed a tutte le loro informazioni private: Mail, messaging, Social Networks etc. I dispositivi mobili sono tecnologicamente avanzati ma il loro livello di sicurezza li pone in una posizione di rischio. In alcuni smartphone esistono strumenti di sicurezza ma quasi nessun utente li conosce e usa. E’ utile ricordare che il blocco dello schermo é solamente funzionale alla pressione involontaria dei tasti ma puó essere facilmente superato dai malintenzionati. In caso di smarrimento/furto dello smartphone tutte le informazioni personale quali contatti, applicazioni, foto, video etc. sono tutte disponibili nel dispositivo perso.
Gli utenti devono provvedere ad utilizzare dei semplici strumenti per evitare che in caso di smarrimento qualcuno possa accedere alle proprie informazioni private. Esistono per esempio delle applicazioni di crittazione delle informazione che richiedono una password ogni volta che si apre un file codificato (documenti, foto, videos etc.). In alcuni smartphone questi servizi sono inclusi ed é bene utilizzarli.
Uno strumento molto utile é anche il remote wiping cioé un software col quale é possibile cancellare da remoto i file. In questo modo se si smarrisce uno smartphone, nel momento in cui il dispositivo sará nuovamente On Line i dati possono essere cancellati dall’utente remotamente.
Nonostante i vari metodi di crittazione o di cancellazione da remoto é bene sempre peró tenere in mente che tutti i dati contenuti in uno smartphone potrebbero andare in mano ad altre persone. E’ buona norma pensare cosa potrebbe fare un malintenzionato con questi dati privati e cercare di fare uno sforzo e capire realmente quali e quante informazioni ha veramente senso mantenere nello smartphone.
Considerare inoltre che tutte le applicazioni su smartphone non richiedono per comoditá mai la password se non al primo accesso. Queste informazioni di profilo per l’accesso sono disponibili nel dispositivo e a chiunque utilizza il vostro smartphone. In caso di smarrimento é consigliabile cambiare la password di tutte le applicazioni alle quali si accede normalmente in maniera automatica come mail, Facebook, linkedin, twitter etc in modo da evitare che qualcun altro possa accedervi per raccolgliere le vostre informazioni private.
Social Engineering
Social Engineering (ingegnerizzazione Sociale) significa letteralmente manipolazione delle persone. Lo scopo di questi attacchi é quello di accedere ad informazioni personali o indurre qualcuno a compiere atti malevoli. Spesso le vittime dell’attacco si accorgono con un certo ritardo degli effetti dell’attacco stesso. Questi attacchi si basano su caratteristiche umane degli utenti quali: fiducia, pigrizia, curiositá, poca cura dei dettagli, arroganza, caritá, paura. Spesso gli attacchi sono preparati con alcune informazioni vere spesso recuperate dopo una completa ricerca sulla vittima. Essendo il Social Engineering un attacco alla persona non esiste altra difesa che l’istruzione.
Di seguito alcune regole da seguire:
- Attenti ad qualunque comunicazione fuori luogo e tempo
- Richiedere sempre prova di identitá prima di fornire dati personali
- Mai seguire istruzioni di non ben identificate entitá
- Cancellare/distruggere fisicamente i dati prima di buttarli (documenti stampati, supporti di memoria fissi)
Allegati pericolosi
Per propria natura non é possibile determinare il reale mittente di un servizio e-mail. La maggior parte delle email arrivano da mittenti noti e credibili ma ció non toglie che puó capitare di cliccare su contenuti di mail che hanno indirizzi falsificati. Gli allegati sono un metodo di trasmissione di informazioni documentali, fotografiche, video etc ma spesso sono il veicolo di trasmissione di programmi maligni (Malware) e anche un file da una sorgente nota potrebbe essere nocivo.
Non credere di pricipio a tutte le mail e seguire le seguenti precauzioni:
- Non aprire allegati senza essere sicuro che siano stati effettivamente inviati dalla sorgente nota.
- Non aprire allegati da sorgenti non note
- Se si scopre che un indirizzo mail noto é utilizzato per la trasmissione di software malevolo, trattare temporaneamente questo indirizzo come non noto fino a che il problema non é risolto.
Phishing
Il Phishing é un attacco dove la vittima attraverso falsi link viene condotta su versioni contraffatte di siti noti per chiedere informazioni personali. Il Phishing é spesso distribuito via mail che riproducono comunicazioni originali di entitá note come: siti e-commerce, social network, servizi bancari etc.
La vittima una volta cliccato sul link malevolo si ritrova su un sito falsificato nel quale vengono richieste le credenziali per l’accesso (log-in e password) per essere copiate e utilizzate successivamente dal malintenzionato. L’unica difesa dal Phishing é quella di non cliccare su nessun link che arriva da mail, chat, post quando il mittente non puó essere identificato. E’ buona norma andare a visitare il sito originale in questione (la banca per esempio) per verificare nella propria inbox di comunicazione se esiste lo stesso messaggio. In caso contrario é un falso. Esistono siti come snopes.com in cui le persone avvertono dei messaggi di phishing che ricevono.
Vhishing
Il Vhishing é una variazione del Phishing e avviene tramite chiamata telefonica VoIP. VoIP é la tecnologia che permette la comunicazione voce mediante la rete Internet. Il Social engineering puó utilizzare il VoIP per creare chiamate telefoniche con falsi Numeri chiamanti. Numeri comunemente utilizzati sono quelli di banche dove viene richiesto alla vittima di fornire nome, numero di conto e altre informazioni private col pretesto di verificare la sua identitá prima di discutere di questioni importanti.
Mai fornire i propri dati personali a qualcuno che chiama. Se é effettivamente importante chiedere un numero a cui chiamare oppure chiedere un codice di riferimento per il soggetto/problema che intendono discutere. Verificare il numero che viene fornito sui siti web di riferimento (http://www.paginegialle.it/) e se la verifica é negativa avvertire direttamente l’Istituto in questione di questo tentativo di frode verificando possibili attivitá sospette sul proprio conto corrente.
Software malevolo (Malware) scaricato in automatico
In Internet é crescente il numero di siti Web che distribuiscono codici malevoli alla loro sola visita. L’esecuzione del software malevolo é fatta attraverso i cosiddetti Script che vengono eseguiti in automatico da parte del proprio browser. E’ conveniente configurare il proprio browser in modo da eseguire questi script solo da siti conosciuti e sicuri (trusted sites). Esistono anche Plug-in che possono essere istallati sul browser per gestire l’esecuzione degli script.
PoP ups
I PoP up ovvero le finestra che si aprono in automatico, erano negli scorsi anni il mezzo principale di pubblicitá su Web, ora invece il PoP up é diventato spesso un mezzo per intenti malevoli.
Questi I tre principali tipi di PoP Up:
PoP Under: Sono Pop Up che rimangono nascosti dietro le altre finestre e che spesso sono difficili da notare ma sopratutto é difficile capire che sono stati lanciati da un sito non affidabile. Alla fine é alto il rischio di cliccarci sopra inavvertitamente o anche solo per chiuderli, attivando l’esecuzione del software malevolo.
Finestra Finta (False Frame): Sono dei Pop Up dove la finestra che appare non ha pannello di controllo per chiudere, minimizzare, ridimensionare. Spesso la False Frame mostrano una foto oppur piú comunemente un falso pulsante. Il pulsante nella realtá non esiste e ogni punto della finestra se cliccato attiva/istalla il software dannoso.
Informazioni False (False Information): Questi Pop Ups mostrano simulazioni di: software che controllano l’Hard disk alla ricerca di Virus, controllano le prestazioni del proprio PC o verificano le prestazioni della connessione di rete. Al termine di questa finta procedura di verifica viene indicato all’utente l’esistenza di un problema risolvibile scaricando in maniera gratuita (o peggio ancora a pagamento) un software (malware).
E’ buona norma configurare il proprio browser in modo da aprire I Pop up in nuovi tab invece che come nuove finestre. In questo caso é possibile chiudere il tab con il proprio pulsante di chiusura. Se il Pop Up continua ad apparire come nuova finestra é necessario chiuderlo con ALT+F4 (windows) oppure CMD+W (Mac OS) invece di agire sulla finestra stessa con il rischio di istallare il malware.
La chiusura di tutto il browser attraverso il task manager é anche un ottimo rimedio se non si é certi. La scomoditá di dover aprire nuovamente tutte le finestre é immensamente trascurabile rispetto alla possibilitá che qualcuno possa cancellare o rubare le vostre informazioni.
Consigli generali
Essere sempre dubbiosi a fronte di richieste ed evitare di credere facilmente alle fonti non certe. Avere sempre cautela in ogni azione e chiedere informazioni se necessario, meglio prevenire che curare.
Nota: Liberamente tradotto dal White Paper “10 Current Security Threats for Individuals“ di Global Knowledge.