Sicurezza Informatica

Sicurezza informatica: proteggi i tuoi account

Scritto da Giorgio Minguzzi il 6 marzo 2016

Per te la Sicurezza Informatica riguarda solo i siti governativi e quelli delle grandi aziende?
Accedi ancora ai tuoi account sui social network con la stessa password?
Hai sentito parlare di furti di identà digitali ma non credi possa capitare anche a te?

Se hai paura e vuoi rafforzare la tua cybersecurity questa puntata è fatta apposta per te.
Infatti, nella puntata di oggi Davide Galanti ci insegnerà a cambiare qualche nostra piccola abitudine per proteggere i nostri dati.

Ti è piaciuta la puntata? Dillo su Twitter.

Per chi non conoscesse ancora Davide Galanti, Davide è un imprenditore, esperto di Cloud Computing, Continuità Operativa e Sicurezza Informatica. Davide ha fondato diverse aziende fra cui Serverlab, una realtà nota per la sua capacità di costruire infrastrutture informatiche sicure.

Sicurezza Informatica

Quali sono i rischi legati alla sicurezza informatica dell’essere presenti sui social network?

Farsi rubare la propria identità!
Immagina che qualcuno scriva cose riprovevoli a tuo nome e danneggi il rapporto che hai coi clienti; questo si può evitare in vari modi:

  • con una password più sicura
  • non mostrare i dettagli del luogo di nascita e indirizzo della tua residenza
  • distribuendo meno dettagli personali, del tipo “auguri mamma”! Che poi tutti sanno che si mette come chiave segreta di recupero il cognome della madre da nubile
  • evitando di lavorare da PC pieni di virus! Sembra impossibile non beccare virus, ma intanto incominciamo a capire come navighiamo. Prima di cliccare un link guardiamo in basso, sulla barra di stato dove porterà quel link.
  • E poi la posta: se mi arriva un allegato ZIPpato dall’Enel, chiediamoci: “ma davvero l’Enel manda un file zippato proprio a me?”
  • Agganciando il proprio account al numero di cellulare

Immagina che business c’è con la rivendita di account per vari fini: marketing, creazione di liste email, acquisti fatti con le credenziali agganciate agli account tra loro, la tua VISA è stata memorizzata un po’ ovunque…insomma, è una viviamo in un mondo complesso.

Scusa, ma vuoi forse dire che siccome mi sono iscritto a decine i servizi con le mie credenziali di Facebook, se qualcuno se ne impossessa può fare qualsiasi tipo di operazione anche su quelle piattaforme?

Davide GalantiSì, certo. Ci possono fare qualsiasi cosa. Quanto vale il danno della tua immagine? E quanto invece possono rubarti con una singola transazione? Una VISA ha un massimale magari limitato a 2.000/3.000 €, se ti rubano l’identità Twitter, Facebook blog personali… il danno è più grosso, anche perché se le credenziali sono condivise possono attaccare altri servizi. Bisogna imparare a separare le varie credenziali di accesso. Bisogna fare questa fatica.

Perché le persone si divertono a fare tutto ciò? E’ solo esibizionismo o c’è un business dietro?

Fino al 2010-2011 era soprattutto esibizionismo, il gusto di essere famosi nella community degli hacker. Poi c’è stata la svolta. A fine 2014 Checkpoint ha pubblicato un documento dove ha mostrato che il giro d’affari del crimine digitale ha superato quello della droga. Sembra strano?! Fermati e ragiona un istante, non tutti consumiamo droga, mentre la maggior parte della gente lavora in un’azienda, usa tecnologia. Poi tutti, tutti, quasi tutti noi abbiamo computer, smartphone, homebanking, carte di credito. Il business è enorme e comprende danno a scopo di estorsione e vendita di dati a scopo di lucro.

Come possiamo difenderci?

Cominciamo ad usare password decenti. All’inizio dell’uso della email nel 1995, forse 1996, avevo un cliente che mi diceva: sai cosa ho messo nel campo password? Password! E rideva, rideva di gusto!
A 20 anni da allora, ho letto sul Daily Telegraph la classifica delle password ancor oggi più usate, te le dico? Ti accontento subito:

  • password
  • password1
  • qwerty
  • 123456
  • 111111

ICT Security: inizia a cambiare le passwordAltra cosa fondamentale: le password devono essere diverse tra loro, non tutte uguali!
Come si fa ricordarle? Se non sei un genio con una memoria spettacolare, ti basta un password manager. Un password manager è un programma che ti chiede una password iniziale. La metti bella complicata, una frase che per te ha senso e non banale, inframmezzata di caratteri speciali. A quel punto ti presenta una pagina con tutti siti che usi. Clicchi su un sito e questo si apre al volo ma su ogni sito hai messo una password diversa, complessa, di 12 caratteri, con caratteri speciali.

Poi: evitiamo i siti che ti chiedono credenziali e che sono solo in http. Un sito di ecommerce, un sito che ti chiede credenziali di accesso deve essere munito di certificato pubblico in SSL, col bel lucchetto sull’indirizzo, altrimenti meglio lasciar stare.
Infine: per non disseminare dati sensibili in giro, abilitiamo sui browser l’opzione “non mi tracciare” (Firefox lo fa benissimo) e ripuliamo dalla cache tutti i cookies prima di chiudersi; questo lo fa bene anche Internet Explorer.
Lastpass, come altri software analoghi, è utilissimo, ma ricordiamoci di disabilitare la funzione di completamento automatico, il famoso “ricorda password” altrimenti se ci fregano il PC, ci fregano tutte le password.

Una cosa che mi preoccupa è la posta elettronica. Lì ho veramente tutto. Anche dati che hanno un certo valore, magari informazioni personali. Anzi, spesso le informazioni più personali e delicate passano sulla mia posta privata: una gmail gratuita. Posso prendere qualche precauzione?

Il pin del cellularePrima di tutto: il tuo telefono ha il PIN? Sul nostro telefono la password della posta è memorizzata, quindi se mi rubano il telefono mi rubano tutta la posta. Un numero incredibile di persone hanno il telefono senza CODICE di accesso: titolari, direttori, imprenditori… Ora poi che sui telefoni si accede anche con l’impronta digitale, è da matti non mettere un blocco all’accesso.
Poi: per un iPad io abiliterei anche la cancellazione automatica al 10° tentativo di accesso errato.

Veniamo all’accesso a portali web: l’associazione di un PIN di 5 numeri ASSIEME a qualcosa che ho in mano (tipo il bancomat) è stata giudicata in tutto il mondo una sicurezza sufficiente per prelevare soldi da una banca. L’associazione della mia firma più qualcosa che ho in mano (la carta di credito) è stata giudicata sufficiente in tutto il mondo per fare acquisti. Eppure proteggiamo con una password banale i nostri account di posta elettronica o altri portali su cui girano informazioni importantissime.

CybersecurityPer aumentare la sicurezza mettiamo allora insieme anche lì due fattori, fare ciò ha un nome: doppia autenticazione o strong authentication. Von la strong authentication per accedere alla posta da un portale Web come Gmail prima digito la password, poi mi viene richiesto un numero che mi dà una chiavetta come quella della banca. è noioso andare in giro con la chiavetta? Scegliamo allora di usare una app per telefono come Google Authenticator. Ogni volta che entro , devo immettere un numero che mi dà Google e a quel punto se mi fregano la password non se ne fanno nulla perché gli manca il numero che mi fornisce Google Authenticator attraverso un dispositivo differente.
Se invece il portale non consente la doppia autenticazione, siamo costretti ad usare password complesse. Siccome ci sono tanti servizi senza strong authentication torna utile il nostro amato password manager.

Altra cosa: se hai dipendenti e collaboratori che accedono ai portali dei tuoi fornitori o dei mille servizi di cui ha bisogno un’azienda, cosa fai quando si licenzia? Cambi password a mille siti? Molto probabilmente te ne dimentichi. Così lasci in giro centinaia di password a gente che magari lavora da un concorrente.
Con i password manager di tipo enterprise come Lastpass ad esempio, puoi delegare l’accesso ai colleghi a tutti i siti aziendali senza che conoscano la password di accesso. Quindi puoi imporre password complesse, evitando che vengano scritte sui post-it. Quando qualcuno non lavora più in azienda, le password non vanno in giro.

Una paura che tutti hanno oggi, è quella del cryptoloker. Non ti ruberà l’identità su facebook, ma è una bella grana per tutti. Anche perché chi me lo dice che se oggi mi cifra i dischi, ieri non abbia prima preso tutti i dati che gli servivano per sottrarmi ? Hai qualche suggerimento?

Sicurezza InformaticaLa dico grossa: gli antivirus per PC e quelli a bordo dei firewall non servono più a nulla. I sistemi automatici degli hacker producono 200.000 virus al giorno, secondo te quale produttore di antivirus può starci dietro? Basta una disattenzione, prova a scrivere Google con tre O e la H al posto della g (che sulla tastiera è li vicina) e poi vedi cosa salta fuori. Se finisci su un sito con un virus nuovo, creato due ore fa, sei fritto.
Sul Wall Street Journal, il 4 maggio del 2014, Brian Dye scrive che l’antivirus è morto. Brian Dye era all’epoca VP Senior della Symantec, uno dei maggiori produttori mondiali di antivirus.

Se poi usi il PC in modalità amministratore è meglio. Sai, il primo Cryptolocker che hanno visto i nostri sistemisti, a novembre 2013, lo aveva preso un piccolo artigiano bolognese. Quest’anno abbiamo fatto un’indagine telefonica fra i nostri clienti: il 22% degli intervistati su 900 aziende ci ha detto di aver preso il Cryptolocker. Purtroppo è l’approccio che è da cambiare alla radice, ti spiego perché: se metto il PC o il MAC in maniera amministratore sono vulnerabile al 100%.
Se metto il PC in modalità UTENTE sono comunque vulnerabile ma ho in più il disagio di certi programmi che non funzionano a dovere, non mi posso installare una stampante, non posso cambiarmi l’IP address o il fuso orario, ho limiti che mi esasperano…
Se entri in un PC in user mode, da utente non amministratore, puoi installare Google Chrome? Sì. Pensi che chi fa virus non crei i virus alla stessa maniera?

Aiutaci a far crescere il podcast!

Ti è piaciuta la puntata di oggi? Lascia la tua recensione su iTunes e iscriviti al podcast.

Se ascolti MERITA BUSINESS PODCAST su Stitcher o altre piattaforme puoi lasciare la tua recensione seguendo queste istruzioni. Grazie!

Fai conoscere MERITA BUSINESS PODCAST ai tuoi follower su Twitter!
Condividi il podcast

Note della puntata

Puoi seguire Davide Galanti principalmente su Serverlab.it.
Ovviamente Davide è presente su tutti i social più diffusi: Twitter, Linkedin e YouTube.
Nella puntata Davide Galanti ha citato Avecto un prodotto in grado di proteggere dai cryptolocker.
I password manager citati da Davide Galanti sono: Lastpass, Clipperz, 1Password

Nota: appunti non rivisti dall’autore

Commenti

1 commento a “Sicurezza informatica: proteggi i tuoi account”

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Snapseed: l'app di Google per il ritocco fotografico dal cellulare

Snapseed: l'app di Google per il ritocco fotografico dal cellulare

08 dicembre 2016
Le difficoltà dei content marketer che non ti aspetti

Le difficoltà dei content marketer che non ti aspetti

05 dicembre 2016
Over App: Visual Content che fa la differenza

Over App: Visual Content che fa la differenza

01 dicembre 2016