La sicurezza di un accesso Internet \u201calways-on\u201d residenziale o in mobilit\u00e1 tramite smartphone \u00e9 radicalmente cambiata negli ultimi anni. Gli utenti devono iniziare a maturare una nuova forma di scetticismo tecnologico per difendere le proprie informazioni private. Credere ciecamente nella tecnologia espone la persona e la sua identit\u00e1, privacy, finanze a serio rischio. E\u2019 necessario accrescere la percezione sui rischi che si trovano in rete, nelle diverse tecnologie di accesso o solamente in un uso non attento del proprio smartphone.<\/p>\n
\u00a0Le minacce di Sicurezza<\/strong><\/p>\n \u00a0Accesso Wifi<\/strong><\/p>\n Il Wifi \u00e9 sicuramente un comodo metodo di accesso alla rete e spesso viene offerto in maniera gratuit\u00e1 per attrarre clienti sotto forma di reti aperte cio\u00e9 senza controllo di accesso e crittazione<\/a>\u00a0del traffico. Una rete aperta non \u00e9 solo interessante per un utente qualunque ma lo \u00e9 anche per malintenzionato che pu\u00f3 facilmente intercettare il traffico degli altri utenti. In una rete aperta \u00e9 infatti molto facile leggere il traffico di altri utenti ed utilizzarlo per scopi malevoli. Anche visitando siti web sicuri, che utilizzano cio\u00e9 tecniche di protezione del traffico come SSL\/TLS<\/a>\u00a0, la fase iniziale di comunicazione non \u00e9 codificata e pu\u00f3 essere tranquillamente intercettata e modificata. Uno degli attacchi pi\u00fa diffusi \u00e9 il cosiddetto Man-in-the-middle<\/a>\u00a0in cui la connessione del proprio smartphone o PC pu\u00f3 essere ridiretta su altri siti invece che in quelli desiderati.<\/p>\n La protezione da questo tipo di attacchi \u00e9 fondamentalmente impossibile. L\u2019unica certezza \u00e9 quella di evitare reti wireless aperte oppure quelle con crittazione WEP<\/a>\u00a0che pu\u00f3 essere compromessa in meno di 60 secondi grazie a semplici programmi\u00a0reperibili in rete<\/a>. La scelta migliore \u00e9 quella di usare reti Wifi con protezione WPA2<\/a>\u00a0verificando per\u00f3 di disconnettersi ogni 2 ore. Esiste infatti un attacco in grado di compromettere la procedura di crittazione RC4<\/a>\u00a0e di accedere alla rete protetta con WPA2. La disconnessione ogni 2 ore non permette al possibile melintenzionato di avere il tempo necessario per il recupero delle chiavi di codifica.<\/p>\n Chi vuole offrire un servizio gratuito Wifi pu\u00f3 per esempio utilizzare lo stesso nome per l’identificativo di rete SSID<\/a>\u00a0e per la password,\u00a0avvertendo la clientela. In questo modo \u00e9 possibile offrire un servizio gratuito evitando il rischio di una rete aperta o WEP.<\/p>\n Falsi certificati<\/strong><\/p>\n I Certificati Digitali<\/a>\u00a0servono per la codifica\/crittazione delle informazioni fra utenti. E\u2019 il metodo utilizzato da molti siti sicuri e necessita dello scambio di varie \u201cchiavi\u201d di decodifica. I Certificati digitali sono forniti da aziende esterne quali: Verisign<\/a>, Thawte<\/a>, GoDaddy<\/a>, Comodo<\/a>\u00a0che fungono da Autorit\u00e1 delle Certificazioni<\/a>\u00a0(Certificate Authority-CA). I Certificati Digitali sono sempre stati ritenuti un metodo a prova di Hacker ma recentemente alcune CA sono state violate e alcuni certificati di aziende molto note sono stati sottratti. Mentre esiste la matematica sicurezza sull\u2019algoritmo di crittazione non \u00e9 altrettanto alta la sicurezza delle CA stesse. Finch\u00e9 le aziende CA non adegueranno la sicurezza dei propri servizi Web i certificati non saranno matematicamente esclusi da rischio.<\/p>\n Come evitare pericoli da certificati:<\/p>\n Evitare troppo facilmente di cliccare su link provenienti da email, post nei blog, in vari documenti come per esempio Pdf.<\/p>\n Controllare una connessione sicura andando sul lucchetto chiuso del browser e verificare i dati della connessione stessa (SSL\/TLS). Non utilizzare pi\u00fa la connessione se qualche impostazione di sicurezza \u00e9 disabilitato, esistono dei Plug-in per alcuni browser che tengono traccia della storia dei certificati evidenziando eventuali cambiamenti o anomalie come per esempio Firefox – Certificate Patrol<\/a>.<\/p>\n \u00a0 \u00a0DNS Spoofing\/Poisoning<\/strong><\/p>\n Il Domian Name System<\/a>\u00a0(DNS) \u00e9 un meccanismo fondamentale della rete Internet poich\u00e9 traduce il nome di un sito web nell\u2019indirzzo IP necessario per raggiungerlo. Se non ci fosse il DNS dovremmo ricordarci gli indirizzi IP di ogni sito web. Per esempio dovremmo ricordarci l\u2019indirizzo IP 89.31.55.101 invece del pi\u00fa semplice\u00a0www.corriere.it<\/a>. Il servizio DNS \u00e9 orientato all\u2019efficienza piuttosto che alla sicurezza e quindi pu\u00f3 essere compromesso da attacchi come: DNS Spoofing e Poisoning<\/strong>.A questo link<\/a>\u00a0un\u2019interessante\u00a0guida sulle vulnerabilit\u00e1 del DNS.<\/p>\n Negli ultimi anni \u00e9 stata sviluppata una versione chiamata DNSSEC<\/a>\u00a0sviluppata con\u00a0 certificati ma non essendo cos\u00ed diffusa in rete non copre le attuali vulnerabilit\u00e1 del DNS.<\/p>\n Per difendersi dai problemi del DNS \u00e9 necessario anche in questo caso non cliccare mai su link provenienti da mail, sms, pots e documenti di cui non si ha la certezza della provenienza. Esistono inoltre dei test<\/a>\u00a0disponibili in rete per la verifica del funzionamento del proprio DNS configurato sul PC. In caso di problemi o dubbi un utente pu\u00f3 sempre configurare e utilizzare i server DNS pubblici offerti da Google<\/a>\u00a0(8.8.8.8 and 8.8.4.4) \u00a0oppure da\u00a0OpenDNS<\/a>\u00a0(208.67.222.222 and 208.67.220.220).<\/p>\n Perdita o furto del Cellulare\/Smartphone\/Tablet<\/strong><\/p>\n Nei prossimi anni ci saranno al mondo pi\u00fa telefoni cellulari che persone. I dispositivi mobili si stanno trasformando in Super Computer portatili<\/a>\u00a0e gli utenti li utilizzano per accedere ad Internet ed a tutte le loro informazioni private: Mail, messaging, Social Networks etc. I dispositivi mobili sono tecnologicamente avanzati ma il loro livello di sicurezza li pone in una posizione di rischio. In alcuni smartphone esistono strumenti di sicurezza ma quasi nessun utente li conosce e usa. E\u2019 utile ricordare che il blocco dello schermo \u00e9 solamente funzionale alla pressione involontaria dei tasti ma pu\u00f3 essere facilmente superato dai malintenzionati. In caso di smarrimento\/furto dello smartphone tutte le informazioni personale quali contatti, applicazioni, foto, video etc. sono tutte disponibili nel dispositivo perso.<\/p>\n Gli utenti devono provvedere ad utilizzare dei semplici strumenti per evitare che in caso di smarrimento qualcuno possa accedere alle proprie informazioni private. Esistono per esempio delle applicazioni di crittazione delle informazione che richiedono una password ogni volta che si apre un file codificato (documenti, foto, videos etc.). In alcuni smartphone questi servizi sono inclusi ed \u00e9 bene utilizzarli.<\/p>\n Uno strumento molto utile \u00e9 anche il remote wiping<\/a>\u00a0cio\u00e9 un software col quale \u00e9 possibile cancellare da remoto i file. In questo modo se si smarrisce uno smartphone, nel momento in cui il dispositivo sar\u00e1 nuovamente On Line i dati possono essere cancellati dall\u2019utente remotamente.<\/p>\n Nonostante i vari metodi di crittazione o di cancellazione da remoto \u00e9 bene sempre per\u00f3 tenere in mente che tutti i dati contenuti in uno smartphone potrebbero andare in mano ad altre persone. E\u2019 buona norma pensare cosa potrebbe fare un malintenzionato con questi dati privati e cercare di fare uno sforzo e capire realmente\u00a0quali e quante informazioni ha veramente senso mantenere nello smartphone.<\/p>\n Considerare inoltre che tutte le applicazioni su smartphone non richiedono per comodit\u00e1 mai la password se non al primo accesso. Queste informazioni di profilo per l’accesso sono disponibili nel dispositivo e a chiunque utilizza il vostro smartphone. In caso di smarrimento \u00e9 consigliabile cambiare la password di tutte le applicazioni alle quali si accede normalmente in maniera automatica come mail, Facebook, linkedin, twitter etc in modo da evitare che qualcun altro possa accedervi per raccolgliere le vostre informazioni private.<\/p>\n Social Engineering<\/strong><\/p>\n Social Engineering (ingegnerizzazione Sociale) significa letteralmente manipolazione delle persone. Lo scopo di questi attacchi \u00e9 quello di accedere ad informazioni personali o indurre qualcuno a compiere atti malevoli. Spesso le vittime dell\u2019attacco si accorgono con un certo ritardo degli effetti dell\u2019attacco stesso. Questi attacchi si basano su caratteristiche umane degli utenti quali: fiducia, pigrizia, curiosit\u00e1, poca cura dei dettagli, arroganza, carit\u00e1, paura. Spesso gli attacchi sono preparati con alcune informazioni vere spesso recuperate dopo una completa ricerca sulla vittima. Essendo il Social Engineering un attacco alla persona non esiste altra difesa che l\u2019istruzione.<\/p>\n Di seguito alcune regole da seguire:<\/p>\n Allegati pericolosi<\/strong><\/p>\n Per propria natura non \u00e9 possibile determinare il reale mittente di un servizio e-mail. La maggior parte delle email arrivano da mittenti noti e credibili ma ci\u00f3 non toglie che pu\u00f3 capitare di cliccare su contenuti di mail che hanno indirizzi falsificati. Gli allegati sono un metodo di trasmissione di informazioni documentali, fotografiche, video etc ma spesso sono il veicolo di trasmissione di programmi maligni (Malware<\/a>) e anche un file da una sorgente nota potrebbe essere nocivo.<\/p>\n Non credere di pricipio a tutte le mail e seguire le seguenti precauzioni:<\/p>\n Phishing<\/strong><\/p>\n Il Phishing \u00e9 un attacco dove la vittima attraverso falsi link viene condotta su versioni contraffatte di siti noti per chiedere informazioni personali. Il Phishing \u00e9 spesso distribuito via mail che riproducono comunicazioni originali di entit\u00e1 note come: siti e-commerce, social network, servizi bancari etc.<\/p>\n La vittima una volta cliccato sul link malevolo si ritrova su un sito falsificato nel quale vengono richieste le credenziali per l\u2019accesso (log-in e password) per essere copiate e utilizzate successivamente dal malintenzionato. L\u2019unica difesa dal Phishing \u00e9 quella di non cliccare su nessun link che arriva da mail, chat, post quando il mittente non pu\u00f3 essere identificato. E\u2019 buona norma andare a visitare il sito originale in questione (la banca per esempio) per verificare nella propria inbox di comunicazione se esiste lo stesso messaggio. In caso contrario \u00e9 un falso. Esistono siti come snopes.com<\/a>\u00a0in cui le persone avvertono dei messaggi di phishing che ricevono.<\/p>\n Vhishing<\/strong><\/p>\n Il Vhishing \u00e9 una variazione del Phishing e avviene tramite chiamata telefonica VoIP. VoIP \u00e9 la tecnologia che permette la comunicazione voce mediante la rete Internet. Il Social engineering pu\u00f3 utilizzare il VoIP per creare chiamate telefoniche con falsi Numeri chiamanti. Numeri comunemente utilizzati sono quelli di banche dove viene richiesto alla vittima di fornire nome, numero di conto e altre informazioni private col pretesto di verificare la sua identit\u00e1 prima di discutere di questioni importanti.<\/p>\n Mai fornire i propri dati personali a qualcuno che chiama. Se \u00e9 effettivamente importante chiedere un numero a cui chiamare oppure chiedere un codice di riferimento per il soggetto\/problema che intendono discutere. Verificare il numero che viene fornito sui siti web di riferimento (http:\/\/www.paginegialle.it\/<\/a>) e se la verifica \u00e9 negativa avvertire direttamente l\u2019Istituto in questione di questo tentativo di frode verificando possibili attivit\u00e1 sospette sul proprio conto corrente.<\/p>\n Software malevolo (Malware) scaricato in automatico<\/strong><\/p>\n In Internet \u00e9 crescente il numero di siti Web che distribuiscono codici malevoli alla loro sola visita. L\u2019esecuzione del software malevolo \u00e9 fatta attraverso i cosiddetti Script<\/a>\u00a0che vengono eseguiti in automatico da parte del proprio browser. E\u2019 conveniente configurare il proprio browser in modo da eseguire questi script solo da siti conosciuti e sicuri (trusted sites). Esistono anche Plug-in<\/a>\u00a0che possono essere istallati sul browser per gestire l\u2019esecuzione degli script.<\/p>\n PoP ups<\/strong><\/p>\n I PoP up ovvero le finestra che si aprono in automatico, erano negli scorsi anni il mezzo principale di pubblicit\u00e1 su Web, ora invece il PoP up \u00e9 diventato spesso un mezzo per intenti malevoli.<\/p>\n Questi I tre principali tipi di PoP Up:<\/p>\n PoP Under:<\/em> Sono Pop Up che rimangono nascosti dietro le altre finestre e che spesso sono difficili da notare ma sopratutto \u00e9 difficile capire che sono stati lanciati da un sito non affidabile. Alla fine \u00e9 alto il rischio di cliccarci sopra inavvertitamente o anche solo per chiuderli, attivando l\u2019esecuzione del software malevolo.<\/p>\n Finestra Finta (False Frame)<\/em>: Sono dei Pop Up dove la finestra che appare non ha pannello di controllo per chiudere, minimizzare, ridimensionare. Spesso la False Frame mostrano una foto oppur pi\u00fa comunemente un falso pulsante. Il pulsante nella realt\u00e1 non esiste e ogni punto della finestra se cliccato attiva\/istalla il software dannoso.<\/p>\n Informazioni False (False Information)<\/em>: Questi Pop Ups mostrano simulazioni di: software che controllano l\u2019Hard disk alla ricerca di Virus, controllano le prestazioni del proprio PC o verificano le prestazioni della connessione di rete.\u00a0 Al termine di questa finta procedura di verifica viene indicato all\u2019utente l\u2019esistenza di un problema risolvibile scaricando in maniera gratuita (o peggio ancora a pagamento) un software (malware).<\/p>\n E\u2019 buona norma configurare il proprio browser in modo da aprire I Pop up in nuovi tab invece che come nuove finestre. In questo caso \u00e9 possibile chiudere il tab con il proprio pulsante di chiusura. Se il Pop Up continua ad apparire come nuova finestra \u00e9 necessario chiuderlo con ALT+F4 (windows) oppure CMD+W (Mac OS) \u00a0invece di agire sulla finestra stessa con il rischio di istallare il malware.<\/p>\n La chiusura di tutto il browser attraverso il task manager \u00e9 anche un ottimo rimedio se non si \u00e9 certi. La scomodit\u00e1 di dover aprire nuovamente tutte le finestre \u00e9 immensamente trascurabile rispetto alla possibilit\u00e1 che qualcuno possa cancellare o rubare le vostre informazioni.<\/p>\n Consigli generali<\/strong><\/p>\n Essere sempre dubbiosi a fronte di richieste ed evitare di credere facilmente alle fonti non certe.\u00a0 Avere sempre cautela in ogni azione e chiedere informazioni se necessario, meglio prevenire che curare.<\/p>\n <\/p>\n Nota<\/strong>: Liberamente tradotto dal White Paper “10 Current Security Threats for Individuals<\/a>“<\/em>\u00a0di Global Knowledge<\/a>. <\/p>\n <\/p>\n","protected":false},"excerpt":{"rendered":" La sicurezza di un accesso Internet \u201calways-on\u201d residenziale o in mobilit\u00e1 tramite smartphone \u00e9 radicalmente cambiata negli ultimi anni. Gli utenti devono iniziare a maturare una nuova forma di scetticismo tecnologico per difendere le proprie informazioni private. Credere ciecamente nella tecnologia espone la persona e la sua identit\u00e1, privacy, finanze a serio rischio. E\u2019 necessario … <\/p>\n\n
\n
\n<\/em><\/p>\n