Le password sono come le mutande, dice saggiamente un detto popolare e anche qualche esperto: bisognerebbe cambiarle spesso, non dovresti condividerle con nessuno e non dovresti tenerle in mostra. Una immagine plastica, questa, dei piccoli errori di distrazione e scarsa consapevolezza che spesso paghiamo care in termini di gestione e tutela della nostra vita digitale (che spesso si incrocia praticamente con quella fisica).
Il secondo appuntamento del ciclo di seminari sull’autodifesa digitale, organizzato a Cagliari da Marina Cafè Noir in collaborazione con Luna Scarlatta e curato dagli avvocati Francesco Paolo Micozzi e Giovanni Battista Gallus, si è focalizzato sugli aspetti piĂą tecnici della sicurezza e tutela della privacy in Rete.
Durante l’intervento di Francesco Paolo Micozzi è stata evidenziata la necessitĂ di gestire la sicurezza in base a tre fattori: hardware, software e wetware (il fattore umano), con una particolare attenzione alle password e specifici accorgimenti. Come ad esempio crearne di “robuste”, non usare la stessa per piĂą servizi, utilizzare eventualmente un password manager, se possibile scegliere la 2-factor-authentication (autenticazione a due vie).
Anche utilizzare le prime parole che ci vengono in mente, come il nome dei figli o del nostro gatto o la sequenza numerica 12345, non è una grande idea: cercare per credere le apposite classifiche degli orrori disponibili in Rete.
E i nostri dati sul nostro computer, come possiamo proteggerli dagli eventi nefasti piĂą comuni, cioè il furto, il disastro o la perdita? Stando ovviamente attenti, non lasciando mai i devices incustoditi e ricordandoci sempre di fare il backup (sì, quella copia che rimandiamo sempre, salvo poi piangere lacrime amare in quantitĂ direttamente proporzionale all’importanza dei dati perduti). Tra i disastri piĂą comuni, i trojan e il ransomware, cioè i software che cifrano il sistema, si impadroniscono dei dati e ti chiedono il riscatto, che si trovano agevolmente anche nel “black market” della Rete in versione giĂ pronta all’uso. Ricordiamo che esistono anche software gratuiti o a pagamento per cifrare e decifrare documenti, in una ottica di grande prudenza che comprende anche la cifratura delle email, le chat cifrate, le comunicazioni VOIP sicure, la comunicazione o messa a disposizione di files cifrati o formati digitalmente.
Attenzione anche al Wi-Fi: il modo piĂą sicuro per utilizzarlo, quando siamo lontani dal nostro, è…non utilizzarlo proprio, perchĂ© non ne esistono di pubblici e sicuri. Possiamo difenderci soltanto introducendo restrizioni o installando “Wireless Intrusion Prevention System”. E su tutti i dispositivi IoT, controllare la vulnerabilitĂ prima dell’acquisto, cambiare la password di default, disabilitare i devices quando non li usiamo e disattivare il wi-fi automatico, preferire il tethering alla connessione pubblica aperta.
E attenzioen al “social engineering”, cioè al lato debole del fattore umano, che spesso è la curiosità , o la fretta.
Perchè, semplicemente, “The best way to recover from unexpected data loss is to be properly prepared”.
Giovanni Battista Gallus ha utilizzato l’esempio efficace della nostra corrispondenza ai tempi dell’analogico, quando scrivevamo le lettere o le cartoline, evidentemente con un diverso scopo e soprattutto un diverso grado di riservatezza o pubblicitĂ : le une chiuse, le altre esposte allo sguardo di tutti.
“Non si vede perché oggi i nostri dati digitali dovrebbero esser come le cartoline, leggibili da tutti”.
Ecco quindi che le chat cifrate, ad esempio, impediscono al provider di profilarci e di bombardarci di pubblicità indesiderate, anche perchè non tutti sanno che la stragrande maggioranza delle mail pubblicitarie contiene immagini che raccolgono dati, fanno cioè “tracking” (tracciano, letteralmente). Le contromisure si chiamano “Pixel Block” o “Ugly Email”, e il sito “Have I been pwned” ci dirà se la nostra mail è stata compromessa.
Ma senza arrivare alla cifratura, ci sono anche le “cure minime” per i nostri sistemi: quanti di noi hanno dato un’occhiata ai settaggi e alle impostazioni di Windows? Ad esempio le localizzazioni, che vengono automaticamente trasmesse se non cambiamo le impostazioni.
E ancora sul Wi-fi, la tentazione a cui tutti cediamo quando siamo fuori casa e magari ne troviamo una “free”: possiamo creare una VPN, un Virtual Private Network (ce ne sono di gratuite e a pagamento), che creano una rete “nostra” che ci permette di navigare con maggiore sicurezza, così come potremmo fare anche installando il sistema TOR, che crea un altro IP al posto del nostro, permettendoci di essere, in quel momento, molto più sicuri e anonimi in Rete.
Così anche le “macchine virtuali” (virtual box), ovvero i sistemi che creano macchine (con Linux, Windows ecc), praticamente un nuovo computer con dentro il nostro.
Ancora, programmi come HTTPS Everywhere, che forzano alla cifratura dei dati tutti i siti a cui ci colleghiamo, o Script Safe, che blocca gli script malevoli, o semplicemente pubblicitari. E attenzione a Flash Player, uno dei programmi piĂą vulnerabili in assoluto, non a caso sempre meno presente nei siti.
Last but not least, alcuni siti consigliati dagli esperti:
Krebson Security
Online Survivor Kit
Security in a box (il sito dell’esperto mondiale Bruce Schneier, con newsletter mensile).
Il prossimo appuntamento sarĂ dedicato alla sicurezza da mobile. Pronti a settare -e se necessario resettare- l’adorato smartphone?
Le bio dei relatori le trovate qui, nella prima puntata!