A conti fatti e col senno di poi, George Orwell non si è poi sbagliato di molto!
Beh sì … non ha azzeccato l’anno, qualche imprecisione nella forma, ma il tema principale del suo romanzo distopico per eccellenza, 1984, ovvero che un’intera società potesse essere controllata e sorvegliata, oggi non appare poi così lontano.
GPS, antenne GSM, Wi-Fi, transazioni con carta di credito tracciano continuamente la nostra posizione; la nostra posta elettronica transita attraverso un server esterno o addirittura vi sosta, i dati personali e le nostre foto sono sul cloud, le nostre ricerche sul web archiviate e classificate, i nostri gusti, le nostre preferenze, le cerchie dei nostri amici esplicitati volontariamente e consapevolmente da noi stessi (o dai nostri conoscenti) sui social network.
Se avete un account Google, ad esempio, provate a visitare questo indirizzo per rivedere la cronologia delle vostre posizioni, oppure questo (nel caso in cui abbiate attivato la funzione “cronologia”) per ripercorrere tutte le ricerche che avete svolto appunto su Google. Sorpresi? Sicuramente sì.
Un qualsiasi malintenzionato che entri in possesso delle vostre password potrebbe accedere a informazioni sensibili sul vostro conto, conoscere i vostri gusti politici, religiosi e quant’altro. Avrebbe in sostanza materiale sufficiente addirittura per ricattarvi o per screditarvi.
Chiedetelo a Mat Honan, giornalista di Wired, vittima di due hacker diciannovenni che gli hanno rovinato l’esistenza al solo scopo di impossessarsi del nickname utilizzato su Twitter e magari approfondite dando un’occhiata all’inquietante articolo da lui stesso scritto nel 2012 – Headline: How Apple and Amazon Security Flaws Led to My Epic Hacking (o la versione edulcorata in italiano di Repubblica) – dove la vicenda viene descritta nel dettaglio.
Oppure chiedetelo ad una delle vittime di Oleg Pliss, il ransomware (ovvero un malware – una specie di virus – che tiene “in ostaggio”) che l’anno scorso ha bloccato migliaia di iPhone, iPad e iMac, creato da due hacker russi (poi arrestati) i quali hanno chiesto ad ognuno dei proprietari di dispositivi bloccati un riscatto di 100 euro per la riattivazione.
Ma allora che cosa possiamo fare? Quali armi abbiamo a disposizione noi babbani per difenderci dalle grinfie dei perfidi maghi dell’informatica?
Soluzioni non ce ne sono molte per la verità, ma accorgimenti sì.
Innanzitutto dobbiamo essere consapevoli che i nostri peggiori nemici sono pigrizia e superficialità. È la pigrizia che ci fa utilizzare la stessa password per diversi anni e per diversi servizi ed è la superficialità che ci fa pensare che nessuno sia realmente interessato ai nostri dati.
Una volta assodato questo concetto e disponendoci a dedicare qualche minuto e qualche attenzione in più alla sicurezza, allora siamo pronti a fare il passo successivo.
Nell’articolo della precedente newsletter avevamo condiviso un espediente per creare una password non banale, oggi aggiungiamo due nuovi strumenti.
Primo Strumento: Attivazione della verifica “in due passaggi”
La verifica in due passaggi consente di proteggere il nostro account anche nei casi in cui il malintenzionato conoscesse la password. La procedura obbliga infatti ad inserire, oltre alla password, anche un token ovvero un codice di sicurezza temporaneo che viene generato dinamicamente da un’applicazione (Authenticator nel caso di Google) oppure inviato via SMS (nel caso di Apple).
Naturalmente si possono escludere alcuni dispositivi, ovvero quelli più sicuri come ad esempio il PC di casa, ma se un hacker provasse ad introdursi da un’altra postazione verrebbe bloccato dall’obbligo di inserimento del codice di sicurezza.
Se la cosa vi interessa potete attivarla da qui se avete un account Google, oppure da qui per gli utenti Apple.
Secondo Strumento: Utilizzare un Password Manager come Keepass
Keepass è un software gratuito, open source e multipiattaforma (ovvero compatibile con PC, Mac, Android, Iphone, Windows Phone, ecc…).
L’applicativo crea un archivio criptato (mediante l’algoritmo di cifratura A.E.S. Advanced Encryption Standard, utilizzato quale standard dal governo degli Stati Uniti) accessibile con una password unica dove è possibile conservare e organizzare al suo interno tutte le credenziali che ci interessano.
Non solo. Si possono generare, per le anzidette credenziali, password casuali e impossibili da ricordare (ed utilizzarle poi con il “copia e incolla”, ad esempio), oppure associare alle stesse credenziali alcuni appunti come ad esempio indirizzi web, scadenze, IBAN, numeri di carte di credito, ecc…
Il database che viene creato (un file di pochi Kbyte) è sicuro ed assolutamente inaccessibile ad altri e può essere quindi conservato ovunque, in una chiavetta USB ad esempio, oppure nel cloud.
Si può anche creare un archivio con le credenziali comuni e metterlo in una cartella condivisa sul cloud in modo che ogni componente della famiglia possa accedervi (ed eventualmente aggiornarlo in tempo reale) da qualsiasi dispositivo ed in qualsiasi momento.
Keepass è un’ottima soluzione che ovviamente impernia la sua efficacia sulla riservatezza della password unica, che deve essere considerata un po’ come il PIN della nostra carta Bancomat.
Questi accorgimenti non rendono immuni da ogni attacco però, certamente, offrono un grado di sicurezza in più. Poi il resto è una questione di buon senso. Attenzione al sito in cui si sta scrivendo la password e mai – per nessuna ragione – pronunciamola al telefono, perché nessun servizio assistenza ce la chiederebbe.
Diversi sistemi di phishing si basano proprio sulla superficialità degli utenti. Viene inviata una mail (“il vostro conto è stato sospeso”, “il vostro pacco è in consegna”, “tentativo fraudolento registrato sul suo account”, ecc…) al solo scopo di indurci a cliccare su un link che ci porta su un sito fittizio, identico in tutto e per tutto a quello ufficiale, in modo da farci inserire (e quindi sottrarci) le credenziali.
Per difenderci evitiamo di raggiungere un sito direttamente da un link ricevuto via posta elettronica e se abbiamo dei dubbi usiamo questo trucco: inseriamo la password sbagliata al primo tentativo; se l’accesso viene negato saremo certi che il sito è quello corretto.
È probabile che oggi non si abbia ancora la piena consapevolezza del fatto che i metodi di lavoro sono radicalmente cambiati in modo tale da stravolgere tutte le regole. Oggi le informazioni “digitali” sono preziose quanto i nostri beni “materiali” e se, uscendo di casa, chiudiamo la porta ed inseriamo l’antifurto, usiamo la stessa accortezza anche per i nostri dati…
Massimo Ferro