TL;DR Dieci consigli per migliorare la vostra sicurezza informatica ed evitare di cadere vittima dei cybercriminali, senza spendere un solo euro.
“La più grande scoperta della mia generazione è che gli esseri umani possono
cambiare le loro vite cambiando le abitudini mentali.”
William James
Quando pensiamo alla “postura” automaticamente ci viene in mente la posizione in cui ognuno di noi, quotidianamente, cammina, siede o, banalmente, se ne sta in piedi in attesa. Se la postura fisica è un elemento che, in qualche modo, ci rappresenta e ci identifica, anche in ambito cybersecurity la nostra “postura” ha la sua importanza. Se per evitare mal di schiena o dolori lombari è importante impegnarsi a sedere correttamente, anche per evitare problemi cyber è fondamentale adottare strategie e comportamenti corretti.
Parlando di sicurezza personale, un po’ per abitudine che per consuetudini consolidate, siamo subito inclini a pensare a cose come chiudere il portone di casa, assicurarsi di aver chiuso le finestre prima di uscire di casa, non lasciare fornelli accesi senza presidio etc… tutavia, in ambito cyber, è difficile, vuoi per la novità dell’argomento che per la difficoltà di comprenderne a pieno il contesto, immaginare abitudini per migliorare la propria “cybersecurity posture“.
Se in ambito aziendale esistono già definizione consolidate, come quella del NIST –National Istitute Standard Technology– americano (“l’insieme di dati che riguardano lo stato della sicurezza di una rete aziendale, la capacità di organizzarne le difese e l’efficienza nel rispondere a eventuali attacchi”), budget, procedure e personale qualificato (almeno così dovrebbe, quantomeno), quando parliamo del nostro ambito privato o casalingo tutto diventa più difficile e meno evidente.
Iniziamo dal contesto casalingo e dai dispositivi IoT (“smart“) che invadono le nostre case. Dalla TV intelligente al frigo che ordina automaticamente i cibi terminati, passando per il termostato connesso a internet e al robot aspirapolvere programmabile attraverso l’app, per finire con le telecamere di sicurezza che possiamo controllare ovunque, direttamente dal nostro smartphone: ognuno di questi dispositivi può rappresentare un problema di sicurezza, talvolta anche peggiore di quello che immaginiamo.
Una telecamera di sicurezza vulnerabile, vuoi per un difetto di fabbrica (“backdoor“) che per una errata configurazione (es. senza password di protezione e/o esposta direttamente su Internet) può essere un occhio indiscreto sulle nostre vite. Non vale il “ma tanto a chi vuoi che interessi” perché, come dimostrano portali come insecam.org (in Italia siamo al 5° posto per webcam esposte in Rete), la nostra vita interessa, per mille motivi, che vanno dal semplice voyeurismo all’opportunità di apprendere le abitudini familiari per, ad esempio, capire il momento migliore per intrufolarsi in casa nostra.
La prima regola, quindi, è semplice e già ampiamente nota quanto disattesa:
1) proteggere sempre tutti i dispositivi con password sicure
Ma quand’è che una password è sicura? è la domanda che spesso mi sento fare. Beh, innanzi tutto più che di password (“parola chiave“) dovremmo parlare di passphrase (“frase chiave“), ovvero non una sola parola ma una frase lunga almeno 12-16 caratteri e, possibilmente, senza alcun senso compiuto. Giusto per avere qualche suggerimento, è possibile usare uno dei tanti generatori di password sicure, anche online, come passwordsgenerator.net.
Tranquilli, non ci sarà bisogno di ricordarla a memoria. Il perché lo vedremo più tardi ma, tornando in tema, giusto per aumentare la sicurezza di dispositivi intrinsecamente vulnerabili come quelli dell’Internet of Things:
2) non esporre direttamente su Internet i dispositivi smart
in sostanza, significa non attivare sul proprio router casalingo il port forwarding/DMZ verso la webcam o la smart TV. Nel caso ci fosse l’esigenza di raggiungere questi dispositivi da fuori, valutare l’uso di una VPN (molti router di fascia medio/alta permettono di attivare VPN basate su OpenVPN o WireGuard per accedere alla propria rete locale da remoto). Chiaramente, qualsiasi porta di accesso alla nostra “casa telematica” deve essere protetta da una serratura (“password“) adeguatamente robusta.
“Che stress tutte queste password! Io uso sempre la stessa, per comodità!” sento purtroppo ancora oggi ripetere da amici e parenti. Ed hanno ragione: mediamente, ognuno di noi ha all’attivo qualcosa come 80-100 servizi attivi, dagli account social all’home banking, passando per le credenziali di accesso ai portali dei servizi come elettricità, gas, acqua… insomma, tornando all’analogia con il mondo reale, è come se ognuno di noi avesse un centinaio di appartamenti/stanze, con altrettante chiavi, da mantenere sicure e protette. E certo a nessuno salterebbe in mente di usare, per queste cento porte, la stessa chiave! Né, a maggior ragione per quelle stanze dove conserviamo beni preziosi, utilizzeremmo serrature scadenti! Quindi, se andare in giro con 100 chiavi diverse è sicuramente scomodo e richiede un bello e corposo “portachiavi”, le credenziali di accesso ai servizi in Rete possono essere comodamente conservate in un password manager, software che –ricordando una sola password sicura– permette di conservarle e di usarle al bisogno, senza compromettere la nostra sicurezza cyber.
3) mantenere traccia degli account che attiviamo in Rete, usiamo password uniche e gestiamole attraverso un password manager
Personalmente uso KeePassXC, prodotto gratuito e open source disponibile per una ampia varietà di piattaforme (tra cui Windows, MacOS, Linux, Android) che, combinato con una soluzione cloud (es. Dropbox, Microsoft One, Google Drive, MEGA…), mi permette di avere sempre a portata di mano il mio bel “portachiavi” di credenziali, al sicuro in un database protetto da cifratura forte e una sola password sicura. Inoltre, esiste anche la comodissima estensione per browser Firefox, che permette di gestire in modo rapido e comodo anche le credenziali dei nostri servizi web.
Abbiamo già visto prima come generare password sicure che, unitamente all’uso del password manager, semplificano di molto la vita e migliorano la nostra cyber-postura.
P.S. l’uso di libretti cartacei per conservare le password, come purtroppo se ne trovano anche in vendita, NON sono affatto consigliati.
Per migliorare ancora:
4) abilitare e usare autenticazione a più fattori (MFA), dove possibile
MFA è un paradigma di autenticazione che coinvolge almeno un fattore per almeno due di queste categorie:
- qualcosa che conosco (es. password)
- qualcosa che ho (es. lo smartphone con un generatore di token TOTP)
- qualcosa che sono (es. autenticazione biometrica)
Ad esempio, una tecnica di autenticazione a più fattori (Multi-Factor Authentication) è il PIN inviato via SMS dopo aver immesso le credenziali: una misura di sicurezza che serve a verificare che si sappiano le credenziali di accesso (username e password) e si abbia con sé il cellulare dove si riceve l’OTP via SMS.
Nel caso le credenziali siano rubate, l’attaccante non potrà comunque usarle perché non potrà conoscere l’OTP inviato via SMS al cellulare…
Quindi, ovunque sia possibile (ad es. su Google è facile e veloce), attivatela.
Come alternativa a Google Authenticator suggerisco Aegis, soluzione di gestione dei token TOTP open source che permette sia di impostare una password all’apertura che di esportare il database dei token (comodo nel caso si debba cambiare smartphone).
5) proteggere lo smartphone
Tra tutti i dispositivi elettronici che abbiamo, lo smartphone è innegabilmente il più diffuso e anche il più usato. Ormai è impensabile vivere la quotidianità senza il “telefonino”, che usiamo per la posta elettronica, i social, le foto, le relazioni sociali, le comunicazioni di lavoro, i pagamenti… è pertanto diventato un elemento particolarmente delicato nella gestione della nostra postura cyber: la perdita o il furto dello smartphone può essere un evento critico, anche molto costoso.
Non è un caso se i produttori di smartphone hanno dedicato molto tempo e attenzione alle misure di sicurezza di questi dispositivi, implementando soluzioni basate anche su autenticazione biometrica (riconoscimento del volto, impronta digitale…) e crittografia.
Personalmente tendo a sconsigliare l’uso dell’autenticazione biometrica, perché in caso di compromissione diventa difficile cambiare la propria impronta digitale o mappa della retina. Credo che cambiare una password o un PIN sia molto più semplice, non trovate?
In ogni caso, praticamente qualsiasi smartphone ragionevolmente moderno ha misure di sicurezza adeguate: spesso siamo noi utenti a disattivarle, per comodità, incuranti delle conseguenze che questo può avere sulla nostra vita.
Quindi, per non farci cogliere impreparati da un evento nefasto come la perdita o il furto del telefonino, è bene:
5.1) impostare un PIN per proteggere la SIM
Chi ha la vostra SIM ha il vostro numero di telefono, quindi ha accesso alle vostre conversazioni Telegram e WhatsApp, riceve gli SMS degli OTP di alcuni sistemi di home banking e molto altro. Mantenere il PIN per sbloccare la SIM è un elemento di sicurezza importantissimo che costa solo qualche secondo in più all’accensione dello smartphone.
5.2) impostare un PIN/segno di blocco
Dimenticare lo smartphone sulla scrivania per qualche minuto, magari per andare in bagno, lo espone a occhi indiscreti che possono intrufolarsi nelle nostre foto, documenti, e-mail… impostare il blocco dello smartphone è essenziale per impedirne usi non autorizzati e suggerisco fortemente di scegliere un PIN (purché non 0000 o 1234….) per il blocco. È importante anche in caso di furto o smarrimento: nessuno potrà accedere ai dati dello smartphone, comprese le foto, conversazioni riservate, numeri in rubrica, e-mail…
5.3) abilitare la cifratura anche della miniSD
Spesso non ci pensiamo, ma in caso di perdita di possesso dello smartphone gli elementi vulnerabili sono 3: la SIM, lo smartphone stesso e la scheda di memoria (se usata). Dei primi due elementi abbiamo già parlato, ma nella miniSD spesso finiscono le foto, conversazioni, documenti… che chiunque, con un banale lettore, può leggere. Gli smartphone permettono di abilitare la cifratura sicura delle schede di memoria: attiviamola!
Ovviamente assicuriamoci di aver abilitato anche la cifratura della memoria dello smartphone, funzionalità di cui tutti i più recenti modelli sono già forniti.
A questi consigli indispensabili per proteggere adeguatamente lo smartphone, si aggiunge quello di farne un uso consapevole, evitando l’installazione di app di terze parti non autorevoli (molti malware per smartphone si diffondono camuffati da “giochini” gratuiti), soprattutto se usiamo il cellulare per accedere all’home banking: sono ormai diffusi sofisticati stealer che rubano sia le credenziali che l’OTP, permettendo ai malintenzionati di accedere ai conti bancari dei malcapitati.
Suggerisco, per finire, l’uso di pellicole di protezione dello schermo “privacy”, che impediscono a eventuali curiosi di sbirciare quello che stiamo facendo sul telefonino.
6) proteggere la rete WiFi di casa
Ricordatevi che tutto ciò che esce dall’IP pubblico della vostra ADSL/fibra casalinga è di vostra responsabilità. Questo significa che se qualcuno si connette alla vostra rete WiFi per “scroccarvi” Internet, che ne siate consapevoli o meno, siete responsabili di ciò che fa sulla Rete. O, quantomeno, nel caso la polizia venga di prima mattina a bussare alla vostra porta, dovrete poi essere in grado di spiegare che a caricare quelle foto pedopornografiche o a fare un attacco DDoS non siete stati voi…
Spero di avervi messo un po’ di paura, perché purtroppo la condivisione “leggera” della WiFi casalinga è un errore diffuso e pericoloso. Idem per l’uso di credenziali di autenticazioni deboli, che attraverso attacchi molto semplici da realizzare, consentono a chiunque di collegarvisi e sfruttarla per gli scopi più disparati.
Esistono dei database delle reti wifi scoperte da appassionati “wardriver” (il wardriving è la tecnica di ricerca delle reti wifi aperte), il cui più famoso è wigle.net: date un’occhiata che non ci sia anche la vostra…
Occhio anche al protocollo di sicurezza che avete attivato: WPA3 è ottimo, WPA2 va bene, WPA un po’ meno, WEP non va affatto bene. È un aspetto importante perché chiunque sia nelle vicinanze può intercettare i dati che transitano nell’etere (come il segnale WiFi) e, se non cifrato, può scoprire quali siti web state visitando e altre informazioni che sarebbe bene non rivelare.
Ma come scoprire se qualcuno sta sfruttando la vostra connessione casalinga? Beh, questo non è banale ma esistono degli strumenti che vi permettono di “mappare” i dispositivi connessi e, quindi, di capire se c’è qualche intruso. Uno dei più semplici, per Android, è Fing. Anche alcuni router permettono di vedere l’elenco dei dispositivi connessi, che può aiutare a capire se c’è qualcosa che non dovrebbe esserci…
7) prendersi cura della posta elettronica
Potrà sembrare banale, ma la posta elettronica è forse il più longevo protocollo di Internet ancora esistente e ampiamente usato. Possiamo fare a meno di un account social ma la posta elettronica è uno di quegli strumenti indispensabili, un vero e proprio “domicilio digitale” di cui dobbiamo aver cura.
Vado al sodo: chi vi offre una casella di posta gratuita non vi offre la sicurezza che quella casella rimarrà vostra per sempre. “Gratis“, in Rete, è un concetto ormai ampiamente sconfessato e anche se tendiamo ancora a dare per scontato, o comunque a immaginarsi, che su Internet sia tutto “gratis” …beh, è sbagliato.
Ho già scritto, qualche anno fa, un articolo su come scegliere una casella di posta elettronica e molti dei consigli sono ancora del tutto validi e attuali. Soprattutto se usate la posta elettronica a scopi professionali, suggerisco di avvalersi di un provider (fornitore) che, dietro pagamento, vi offra un servizio professionale e garantito, compresa l’assistenza. Spesso, infatti, dietro ai fornitori di caselle di posta gratuite si nasconde un servizio non sempre eccellente e poche garanzie di ricevere assistenza, soprattutto in caso di problemi: chiedetevi cosa accadrebbe se, un giorno, per un qualche motivo, l’accesso alla vostra casella e-mail venisse negato. Se l’account venisse cancellato o bloccato per qualche motivo, più o meno concreto, quanto vi costerebbe? E quanto sareste disposti a spendere per avere un servizio di qualità? Non voglio fare pubblicità, ma con 75€ l’anno potete prendervi un servizio professional, con assistenza garantita e 5 GB di spazio, su protonmail.com, noto provider svizzero con particolare attenzione alla privacy e sicurezza. Tutanota.com, altro ottimo provider tedesco, con 12€ l’anno offre 1 GB di spazio e il supporto tecnico in caso di problemi.
Consiglio di non usare mai una casella di posta fornita dal vostro provider ADSL/fibra, ad esempio, perché nel caso un giorno decidiate di cambiare fornitore rischiereste di vedervi chiudere l’account (e relativa posta).
Per finire, spero non ci sia bisogno di sottolineare ancora la necessità di usare una password sicura e attivare l’MFA.
8) navigare sicuri sul Web
Il Web, immensa ragnatela di milioni di siti web sparsi in tutto il mondo e consultabili comodamente dalla poltrona di casa nostra, nasconde molte insidie e pericoli di cui è bene avere contezza.
Per iniziare, però, un po’ come quando dobbiamo metterci in viaggio, è bene verificare che il browser che usiamo per navigare in Rete sia sicuro. Personalmente uso Mozilla Firefox e mi assicuro sempre di avere l’ultima versione disponibile, con installate alcune estensioni che proteggono la mia privacy:
Queste estensioni, seppur non sempre sufficienti, limitano anche l’invasività di alcuni strumenti chiamati trackers che popolano moltissimi siti web. Questi trackers servono ad alcune aziende per mantenere traccia delle nostre abitudini di navigazione, per capire cosa ci interessa, quando, cosa facciamo etc… e tutto questo è favorito da alcune caratteristiche uniche del nostro browser, che lo rende identificabile in modo pressoché univoco. Per averne una idea, date un’occhiata al sito Panopticlick predisposto dalla EFF.
Alcuni siti web portano con sé del malware nascosto nel codice della pagina web, soprattutto miner che sfruttano le CPU dei nostri PC per “minare” criptovaluta all’insaputa dell’utente. Sono diffusi soprattutto nei siti web che promettono film e streaming “gratuito” oppure dove scaricare software illegale.
Migliorare la propria postura cyber significa anche imparare a evitare certi siti web: oltre che illegali, spesso sono veicolo di malware (attraverso software contraffatto, ad esempio) che possono causare danni ingenti al nostro PC e ai sistemi collegati. Ad esempio, non sono pochi gli attacchi ransomware partiti a causa di una copia illegale di un qualche software scaricata da un sito di warez.
Un altro consiglio è usare le sessioni anonime, o navigazione anonima, del browser per non lasciare traccia dell’attività sul PC che stiamo usando. Utile quando siamo, ad esempio, fuori casa e stiamo usando il PC di un amico o parente per fare una qualche attività, come leggere la posta elettronica o accedere al conto corrente online. Ovviamente, assicuriamoci sempre di chiudere la sessione prima di lasciare il PC al legittimo proprietario.
Un capitolo a parte riguarda i pagamenti sul web, soprattutto sui portali di e-commerce. Tema complesso, perché le variabili in gioco sono molte. Diciamo che suggerisco vivamente di usare sistemi di pagamento come PayPal ovunque sia possibile, anche a costo di dover pagare un piccolo sovrapprezzo: garantiscono che i dati della nostra carta di credito non finiscano in mani sbagliate.
9) i social!
Ho perso il conto di quanti social sia stato utente. Il primo, se non ricordo male, fu Orkut, un precursore di Google+. In ogni caso, oggi di piattaforme social ne esistono davvero molte, di ogni tipo e scopo, e ognuna di esse porta con sé rischi da non sottovalutare.
La semplicità con la quale si possono condividere informazioni personali rappresenta un rischio sia per la nostra incolumità che per la salvaguardia dei nostri beni e dei nostri cari.
Il rischio più evidente è di far sapere a perfetti sconosciuti che non siamo a casa, magari in qualche luogo esotico a godersi sole, mare e kapiroska: occasione ghiotta per qualsiasi criminale che ami introdursi nelle abitazioni altrui quando i proprietari non sono in casa. Anche condividere le nostre abitudini quotidiane è un rischio, per il medesimo motivo. A cui si aggiunge la possibilità di compiere leggerezze di cui pentirsi, come sanno coloro che, ad esempio durante un giorno di “malattia”, hanno pubblicato una foto al mare o alle terme e si son trovati poi a doversi giustificare.
La condivisione di foto o video dove appaiono altre persone, poi, potrebbe essere lesiva della loro privacy e non sono così rari casi in cui uno scatto innocente pubblicato sui social ha causato costose peripezie giudiziarie, anche a distanza di anni.
Inoltre, bene ricordare che ciò che scriviamo o pubblichiamo sui social lì rimane, per sempre. Non illudiamoci di averne il controllo, perché non lo abbiamo, e i Termini di Utilizzo di queste piattaforme spesso lo dicono chiaro e tondo (a chi ha voglia di leggerseli, ovviamente).
10) mantenere aggiornato il sistema operativo e fare regolare backup
È il “cuore” dei nostri strumenti tecnologici, il software che permette alla magia di potersi manifestare nel migliore dei modi. E anche lui “invecchia”, manifestando bug, vulnerabilità e incompatibilità che immancabilmente si riflettono negativamente nella qualità della nostra cybersecurity posture.
Che sia lo smartphone Android, il NAS o il PC MacOS, Windows o GNU/Linux, mantenere i sistema operativo aggiornato è un impegno essenziale a cui non dobbiamo esimerci, per la salvaguardia e la tutela dei nostri dati.
Seppur la maggioranza degli attacchi informatici avviene a causa del comportamento sbagliato dell’utente (es. apertura di una mail contenente un malware, cadere in un phishing, usare credenziali deboli), una discreta percentuale è ancora oggi rappresentata da debolezze cyber-strutturali note, come l’uso di un sistema operativo non aggiornato che porta con sé vulnerabilità sfruttabili dai cybercriminali per i loro scopi.
Se avete un PC vecchio o non volete spendere in licenze per un sistema operativo nuovo, meditate di passare a GNU/Linux: esistono distribuzioni semplificate, realizzate per chi si avvicina per la prima volta a questo sistema, come Manjaro o ElementaryOS, assolutamente adeguate alla stragrande maggioranza delle esigenze dell’utente casalingo e capaci di restituire nuova vita anche a PC ormai datati. Inoltre, gran parte del software disponibile per i sistemi GNU/Linux è libero e open source, senza peraltro aver niente da invidiare alle alternative commerciali. Personalmente, uso esclusivamente GNU/Linux ormai da oltre 15 anni e non ho mai sentito il bisogno di usare soluzioni commerciali.
Infine, il backup.
I dati importanti devono essere sempre regolarmente salvati su un supporto esterno, possibilmente off-line, che sia un disco rigido, un DVD o un NAS. Ogni giorno è un buon giorno per fare il backup e, se non riuscite ad automatizzarlo, prendetevi l’impegno di farlo almeno una volta a settimana. Il giorno che l’hard disk si rifiuterà di partire o che un ransomware cifrerà tutto il vostro sistema, ringrazierete di aver perso quella mezz’ora di tempo a salvare i documenti importanti.
Conclusioni
Per finire, non è facile riuscire a dare consigli facili in un contesto così ampio, vario e complesso come il mondo dell’ICT. Un mondo che ha aumentato esponenzialmente la complessità dei suoi elementi, portandosi con sé vulnerabilità e debolezze strutturali e dove l’elemento umano, purtroppo, è ancora in cima alla classifica.
Con questi articoli, che cerco di scrivere usando un linguaggio semplice e comprensibile a tutti, sacrificando talvolta la correttezza “tecnica” delle affermazioni, vorrei provare a introdurre un tema complesso ma indispensabile come quello della cybersecurity nel dibattito quotidiano. Un po’ come quando, al bar, ci chiediamo se “avrò chiuso la macchina?“, dovremmo iniziare a chiederci anche se “avrò usato una password abbastanza sicura per l’home banking? Mi son ricordato di chiudere la sessione di GMail dopo aver letto la posta?“. Fino a che la cybersecurity non sarà considerato un elemento essenziale del quotidiano, al pari –appunto– del chiudere la macchina o la porta di casa, tutti noi utenti del digitale saremo alla mercé di cybercriminali sempre più agguerriti e tecniche di truffa sempre più sofisticate e complesse.
P.S. date un’occhiata anche al progetto cittadinomedio.online: potrebbe piacervi 😉