Leaderboards
Leaderboards
Direttore responsabile Raffaella Zelia Ruscitto
Skyscraper 1
Skyscraper 1
Skyscraper 2
Skyscraper 2

9 consigli per un 2019 in cyber-sicurezza

di Michele Pinassi*

“Sono interessato al fatto che quanto meno sicuro si sente un uomo,
tanto più probabile è che abbia pregiudizi estremi” (Clint Eastwood=

SIENA. Gli esperti concordano nel prevedere che nel 2019 il trend degli attacchi informatici, e conseguenti costi, sarà in ascesa. L’esplosione dei dispositivi IoT e dell’utilizzo della Rete aumenta ogni giorno la superficie di attacco a disposizione dei malintenzionati, senza che dall’altra parte vi sia una risposta efficace da parte delle istituzioni. La società sta ancora facendo fatica a prendere confidenza con l’esponenziale e repentino aumento della tecnologia nel mondo contemporaneo: questo pesante gap culturale, di cui l’Italia è purtroppo un degno rappresentante, rischia di essere esiziale per ottenere tutti quei benefici e vantaggi, oltre che ad un risparmio di costi, che le tecnologie ci permetterebbero.

Proviamo quindi a riassumere in 9 punti alcuni consigli per migliorare la nostra sicurezza in Rete, che dipende dalle abitudini più di quanto immaginiamo.

[ 1 ] E-Mail, phishing e scamming

Le comunicazioni via e-mail sono ancora uno dei sistemi più utilizzati da cittadini ed aziende. Ed anche uno dei vettori di attacco preferiti dai malintenzionati, che sfruttano l’ingegneria sociale per convincerci a cliccare su un certo link, fornire le nostre credenziali, numeri di carta di credito etc etc etc

Talvolta con toni di minaccia, altre volte simulando e-mail legittime, negli ultimi anni il livello di raffinatezza raggiunto dalle campagne di phishing è davvero preoccupante, provocando un aumento dei costi (perdite economiche in primis) vertiginoso.

E’ quindi necessario avere la consapevolezza che i messaggi e-mail sono tutt’altro che sicuri, soprattutto se non accompagnati da sistemi di verifica integrità (come ad esempio PGP/GPG) o da certificazione di terze parti, come la PEC. Sulla PEC è tuttavia opportuno ricordare il recente attacco DanaBot, veicolato anche tramite Posta Elettronica Certificata.

[ 2 ] Social engineering

Potrà far sorridere ma la maggioranza degli attacchi inizia con una semplice richieste di informazioni. Come insegna il famoso hacker Kevin Mitnick, puoi avere i firewall più potenti, l’antivirus più costoso e sempre aggiornato, il WAF più prestazionale ma… se la segretaria risponde ad una mail fasulla comunicando la password per l’accesso al gestionale, non c’è molto da fare.

C’è poco da ridere, soprattutto quando con attacchi del genere c’è chi, come un alto dirigente di Confindustria ha imparato a sue spese, ha fatto perdere 500.000€ e perso, lui stesso, il lavoro.

Sicuramente questo è un caso estremo (e noto) ma di attacchi condotti con sistemi analoghi, come la e-mail minatoria che ha raggiunto migliaia di italiani di cui abbiamo parlato su questo blog, le pagine di storia recente sono piene.

Quindi, a costo di sembrare antipatici e poco collaborativi, meglio non fornire alcun tipo di dato – password incluse – per telefono o per e-mail. E neanche per chat.

[ 3 ] Le password

La scelta delle password è uno dei fattori critici di ogni sistema di autenticazione. Tra password troppo complicate e praticamente impossibili da ricordare (“deve contenere un numero, un simbolo, fare una capriola e digitare a testa in su…”) a quelle banali, come “pippo”, “password” o la sempreverde “123456” esiste una virtuosa via di mezzo. Che è la scelta di una frase non banale, almeno 10-12 caratteri, magari con qualche simbolo o numero. Sulla scelta ne avevo parlato nel post “Lo zen e l’arte di scegliere una password sicura”.

Ovviamente ogni account dovrebbe avere la sua password (vietato il riuso di una medesima credenziale su più servizi), perché nel caso dovesse essere compromessa (ed i recenti data breach ci dicono che è tutt’altro che difficile…) l’attaccante avrebbe accesso a più servizi.

Vietato anche scrivere la password sul Post-it appiccicato al monitor della scrivania: il motivo è talmente ovvio che…

Per finire, l’uso di un password manager, anche se si tratta di una soluzione di compromesso, può aiutare.

[ 4 ] Social Media

Croce e delizia, la popolarità dei social media ha stravolto non poco le convenzioni e le regole sociali del nostro tempo. Tanto che oramai il profilo Facebook o l’account Twitter, per non parlare della pagina di LinkedIn, sono regolarmente consultati da potenziali datori di lavoro. C’è chi, per un post su Facebook critico, ha perso il lavoro.

I social sono anche uno degli obiettivi dei malintenzionati per capire le abitudini e gli interessi di potenziali vittime, così come ciò che pubblichiamo sul web rimane lì, per sempre, come hanno imparato a loro spese le vittime del revenge porn.

Negli scatti pubblicati su Instagram, ad esempio, potrebbero finire anche informazioni che non desideriamo rendere pubbliche (ricordate il Post-it sul monitor? Immaginatevi ora a farvi un selfie alla scrivania…) così come svelare situazioni o luoghi che potrebbero danneggiarci.

Insomma, attenzione a ciò che pubblichiamo. E limitarne la visualizzazione non protegge da eventuali screenshot o furti di identità. Possiamo ridurre la nostra esposizione facendo pulizia periodica dei vecchi contenuti: per Facebook è disponibile un comodo plugin di Chrome: Social Book Post Manager.

[ 5 ] Sicurezza “mobile”

Il 62,8% degli italiani, circa 38 milioni di persone, naviga su Internet da smartphone (dati Marzo 2018). Dispositivi sempre più potenti e prestazionali, che ormai sostituiscono i tradizionali PC in molte delle attività ludiche e professionali.

Se, per certi versi, le ridotte capacità rendono gli smartphone insensibili a certi attacchi, sono invece particolarmente sensibili ad altri tipi di vulnerabilità. Ad esempio, l’uso di punti di accesso alla rete “pubblici” (hot-spot wifi) espone i nostri dati ad essere carpiti e rubati da rogue access point installati in giro.

Anche mantenere il wifi attivato ci espone ad alcune potenziali vulnerabilità, ad esempio mostrando ad un eventuale attaccante tutte le reti WiFi che abbiamo salvato sul nostro smartphone…

Senza contare ciò che può accadere se lo smartphone ci viene rubato o lo perdiamo: foto, messaggi, e-mail, sms, documenti… alla mercé di eventuali malintenzionati!

E’ quindi necessario cautelarsi, ad esempio evitare di usare reti Wifi pubbliche (se proprio è necessario, usare una VPN), abilitare la full-disk encryption sul proprio dispositivo (tutte le recenti release di Android e di iOS la supportano), installare sistemi di protezione come Cerberus o similari, che permettono -nel peggiore dei casi- di cancellare la memoria da remoto.

[ 6 ] Lavorare da remoto

Sempre più aziende (ed anche le recenti modifiche normative) incoraggiano il telelavoro per i propri dipendenti, che si trovano così a poter lavorare da casa, dal bar, dalla biblioteca. Si tratta ovviamente di lavori da ufficio, quelli davanti ad un PC, che quindi necessitano di accesso alla Rete aziendale.

La rete aziendale deve essere quindi accessibile dall’esterno, che sia via VPN o altro sistema, offrendo a potenziali attaccanti una ghiotta occasione per scuriosare (o rubare!) segreti aziendali, dati, mail, ordinativi….

Il mezzo più usato per questi accessi è la VPN, di cui esistono numerose implementazioni, dalle meno sicure alle più cifrate e protette. Anche usando una tecnologia super-sicura, qualche volta l’asino casca sulla scelta delle password per gli account di accesso: a meno di usare un sistema di autenticazione via certificati x.509, che quindi necessitano di una procedura più complessa (e quindi più scomoda e costosa sia per l’azienda che per l’utente), gli accessi VPN sono generalmente usando le tradizionali credenziali username e password. Se non proprio, in certi casi, solo password.

Non tutti, purtroppo, usano una VPN. Certe volte si preferisce mettere direttamente in Rete alcuni PC o server, magari con IP pubblico (port-forwarding o DMZ…), e magari usare l’insicuro RDP – Remote Desktop Protocol– o l’analogo VNC per l’accesso ai dati aziendali. Soluzione probabilmente tra le più pericolose, anche solo per le vulnerabilità pubbliche scoperte su tali protocolli e relativi servizi.

Gli ultimi dati ci dicono che sono esposti in Rete oltre 4 milioni di host con il servizio RDP/VNC attivo. Un numero impressionante, considerando che talvolta non viene neppure usata l’accortezza di proteggerne l’accesso con password!

Quindi, se la vostra azienda non usa una VPN sicura (username+password sicure o certificati x.509) per l’accesso remoto, forse è il caso di valutare un investimento in tal senso (neanche troppo oneroso, tra l’altro): scoprire che i propri segreti aziendali sono stati rivelati ad un concorrente o pubblicati in Rete potrebbe costare molto di più.

[ 7 ] BYOD – Bring your own device

Permettere ai dipendenti di usare, sulla Rete aziendale, i proprio dispositivi è sicuramente un benefit interessante sempre più diffuso. Così come l’accesso di dispositivi utente, anche queste casistiche devono essere adeguatamente valutate dall’amministratore della Rete o del sistema, perché in assenza di opportune precauzioni, potrebbe rivelarsi una scelta fatale.

Come ci hanno insegnato le campagne di malware come Petya/NotPetya, che hanno provocato milioni di € di danni in tutto il mondo, non è sufficiente affidarsi a firewall e antivirus, soprattutto quando apriamo noi stessi le porte al nemico: in assenza di una separazione fisica dei segmenti di Rete (anche attraverso VLAN) dedicati a dispositivi non aziendali (e, quindi, non protetti e gestiti), un eventuale macchina infetta avrebbe accesso diretto ai preziosi servers e a tutti gli altri computer.

Traslando il concetto nel mondo biologico, è come invitare a prendere un caffè l’amico che ha appena preso l’influenza...

Quindi, anche se il BYOD è una strategia da supportare anche solo per “ecologia”, è necessario mettere in atto tutta una serie di contromisure per essere capaci di identificare ed isolare eventuali dispositivi infetti connessi alla Rete, senza contare la possibilità che su tali dispositivi sia installato (anche a sua insaputa) uno sniffer o logger per rubare credenziali e password.

[ 8 ] Sicurezza fisica

Se i nostri preziosi dati e la nostra Rete aziendale ha dei segmenti cablati esternamente all’edificio, magari ad altezza uomo, è facile che qualche malintenzionato particolarmente motivato possa collegarsi direttamente ad essa senza essere scoperto. Anche le centraline di derivazione o eventuali dispositivi di sicurezza, come le telecamere IP, se non adeguatamente installate potrebbero offrire “punti di accesso” facilmente sfruttabili da un attaccante.

Stessa cosa, ovviamente, se lasciamo porte di rete attive nei corridoi o altre aree comuni non presidiate, dove un qualsiasi attaccante può collegare un router wireless da poche decine di euro ed entrare, comodamente, nella vostra Rete aziendale.

L’uso di strumenti per il monitoraggio proattivo della Rete (SEM/SIEM), soprattutto nel caso di reti aziendali, è ormai obbligatorio anche ai sensi della recente normativa GDPR: un amministratore di Rete sa quando sia importante avere sempre l’infrastruttura sotto controllo (chi si connette, chi si disconnette…) per evitare intrusioni e per mitigare eventuali attacchi (come hanno scoperto i ragazzi del post “The curious case of the Raspberry Pi in the network closet“).

Sarebbe errato pensare che si tratti di ipotesi remote: in realtà attacchi di questo tipo, insieme alle finte chiavette USB (di cui parlo subito dopo), sono in rapida ascesa.

[ 9 ] Le chiavette USB

Superati i floppy disk, gli ioMega Zip e pure i CD, la mobilità dei dati avviene ormai quasi esclusivamente su chiavette di memoria che colleghiamo, senza farci troppi problemi, alle porte USB del nostro PC.

Chi ha visto la serie televisiva di Mr Robot (stagione 2, episodio 6), peraltro ben fatta rispetto a molte altre dello stesso tipo, saprà che proprio attraverso le chiavette USB viene perpetrato un attacco al carcere federale, permettendo di prenderne il controllo e riuscendo a far evadere il nostro Eroe.

Tornando al mondo reale, attacchi tramite finte chiavette USB sono ormai una realtà consolidata e decisamente economica: con meno di 10€ è possibile acquistare, in modo del tutto legale, dispositivi USB che sembrano chiavette di memoria ma che, in realtà, non lo sono. Ne ho parlato nell’articolo “Attenzione alle chiavette USB“, ricordando come gli studi comportamentali ci dicano che “the attack is effective with an estimated success rate of 45–98% and expeditious with the first drive connected in less than six minutes”.

Senza scendere nei dettagli tecnici, per i quali la Rete è una splendida fonte di informazioni, è possibile infettare con malware o keyloggers un PC semplicemente collegando alla porta USB una di queste chiavette.

A costo di essere antipatici, evitate di inserire nelle porte USB chiavette di estranei o che magari avete trovato a terra o abbandonata sull’autobus. Stessa cosa per qualunque dispositivo USB, come riproduttori musicali, scaldavivande USB o gadget vari: possono nascondere al loro interno delle sgradite sorprese…

Concludendo…

Mai come in questi ultimi anni, contemporaneamente all’esplosione dell’uso della Rete da parte dei cittadini e delle aziende, si sente la necessità di garantire agli utenti la sicurezza in Rete. La sicurezza, però, passa anche e soprattutto dal modificare le nostre abitudini e consuetudini per adattarle al contesto attuale.

Le prime vittime dei malintenzionati sono i cittadini che non hanno gli strumenti per comprendere la tecnologia e che, quindi, vi si affidano con fiducia cieca. Una fiducia che rischia di costare cara, come sanno coloro che sono rimasti vittima di truffatori, ramsonware e cryptolockers.

Analogamente alla necessità di conoscere le regole base della strada e conseguire l’attestato per la guida dei veicoli, anche sulla Rete si deve imparare a conoscerne i rischi, per evitare soprattutto che un fantastico strumento di libertà e democrazia come Internet venga sottoposto a censure e limitazioni sotto la “spinta della volontà popolare”.

[banner_mobile]
Are you looking for Krnl this is best Roblox executor this is one of the finest roblox executor.
Download Rapid Streamz for Android, this app will help you stream over 800+ TV channels! Watch free Live TV on Android using the best live tv app for Android. Rapid Streamz application is specially designed for those people who want to enjoy their favorite television shows and movies on the go.
Are you looking for Openiv which is one of the best modding toolset for the PC Versions of GTA 5, GTA 4, Episodes From Liberty City (EFLC) and Max Payne 3, etc. Latest version of the app supports Red Dead Redemption 2 as well. The toolset allows the users to view and alter the game files.
This is CodeX Executor which is a potent application designed to empower Roblox players by allowing them to run scripts within popular Roblox games such as Blox Fruits, Pet Simulator X, Project Slayers, Murder Mystery 2, Adopt Me, Arsenal, and many more.
Enhance your Roblox experience with BTRoblox which is extension that aims to enhance Roblox's website by modifying the look and adding to the core website functionality by adding a plethora of new features.
Winlator is a powerful tool that allows you to run Windows applications and games on your Android device. With Winlator, you can enjoy your favorite PC games on the go, all without the need for a high-end gaming PC. This opens up a whole new world of gaming possibilities, as you can now play your favorite titles anywhere and anytime.
You can download the latest version of Sportzfy TV Apk from our website. We offer a safe and secure download link that ensures you get the latest version of the app without any hassle.
Sportsfire is a free live-streaming application that focuses on sporting events and is available for installation on Firestick, Fire TV Cube, Fire TV, and Android TV/Google TV Boxes.
You can download the latest version of Sportzfy TV Apk from our website. We offer a safe and secure download link that ensures you get the latest version of the app without any hassle.
In the age of digital streaming, inat tv Inat TV APK is one of the most video streaming free application. Finding a reliable and feature-rich application to access your favorite TV shows, movies, and live channels has become crucial.
Krira TV is a free sports streaming app that allows fans around the world to watch their favorite sports events in HD quality.
Experience endless entertainment with blink streamz the top Free Live TV App for Android, offering free live sports streaming and more. Enjoy a vast selection of TV channels on your Android device.
krnl
cinema hd
beetv
inat tv
spotiflyer
aniyomi
saikou
scipt hook v
fluxus executor
flix vision
egg ns
fs23 mods
strato emulator
gacha nebula