http://www.unita.it/
16 giugno 2011

L'anno orribile della tecnologia
«Ecco come salvarsi dai virus»
di Ivan Fulco

Chi tutela la nostra sicurezza in Rete? La parola all'hacker.

«Annus horribilis technologiae, l'avrebbe definito un novello Orazio. Il 2011 non è ancora giunto al giro di boa, ma già merita l'appellativo di "anno nero della tecnologia", dopo sei mesi segnati da una serie di episodi sventurati nel settore della sicurezza di Rete. Prima la debacle del PlayStation Network, con il furto dei dati di 77 milioni di utenti, poi gli attacchi hacker ai siti Sony negli Stati Uniti, in Portogallo, in Grecia e in altri paesi. E ancora, i tentativi di intrusione ai danni di Nintendo, Citigroup, PBS e Lockheed Martin. Fino ad arrivare all'hack di alcuni account Gmail di personalità di primo piano, alla diffusione del primo malware di rilievo per Mac o al tentativo di phishing ai danni degli utenti Xbox Live».

Ma gli allarmi si moltiplicano per una pura questione di clamore giornalistico? Oppure si è davvero registrata un'escalation nella battaglia sotterranea che contrappone gli hacker ai sistemi di protezione online? Claudio Agosti, esperto di sicurezza informatica, si definisce "un hacker con a cuore i diritti civili". A lui chiediamo cosa sta succedendo...

È vero che la sicurezza in Rete è più a rischio oggi che alcuni anni fa?

«In realtà, la sicurezza è un valore che gli utenti percepiscono se ne sentono la necessità. Ad esempio, tutti sentiamo la necessità di avere gli airbag, perché comprendiamo il rischio di un impatto automobilistico. Non tutti gli utenti sentono la necessità di avere degli "airbag informatici", e anche chi li sente, si trova a fidarsi alle soluzioni del mercato. Qui mi ricollego alla domanda: nel 2011, il virus informatico degli anni Novanta che faceva danni fini a sé stessi non esiste più. Ora esistono "attacchi informatici", che se hanno successo infettano il computer con un "trojan horse", e molto spesso questa azione rende la vittima parte inconsapevole delle "botnet". Un caso eclatante di questi ultimi tempi, l'attacco al PSN, deriva dal fatto che Sony non ha evidentemente investito nella propria sicurezza. Come darle torto? La sicurezza è un investimento in perdita, che viene ripagato se un incidente avviene, che rallenta la messa in produzione dei servizi e che limita il processo aziendale. Se non ci sono leggi a garanzia del consumatore, il consumatore può solo affidare la sua carta di credito e i suoi dati personali alla buona sorte.

La sicurezza dei dati online, per i normali utenti, passa comunque per un uso consapevole delle tecnologie. Nello specifico, quali strumenti base consiglieresti di usare per proteggersi dai virus?

«Innanzitutto, un buon browser, come Firefox. Un buon browser è sviluppato da una comunità (e non da un'azienda) e supporta le "estensioni". Queste ultime sono programmini che espandono le funzionalità del browser. Tra queste, ve ne sono molte che rendono l'esperienza di navigazione un pochino meno immediata, ma più sicura. L'utente consapevole può installare in modo semplice estensioni come "NoScript" e "BetterPrivacy"».

Ma esistono sistemi operativi più sicuri?

«Purtroppo, da tecnico, devo fare una serie di considerazioni che mi vietano di risponderti "sì"/"no". La sicurezza va valutata in relazione al modello di minaccia. Prendiamo due casi: sono un manager importante, un politico, un giornalista di punta e temo che possa essere vittima di attacchi mirati. Allora serve un sistema operativo che consenta, al consulente che pagherò per gestire la mia sicurezza, la possibilità di verificare ogni aspetto del mio sistema. Linux è il sistema che risponde a questa esigenza. L'altro caso è quello della casalinga di Voghera: nessuno mi farà mai un attacco mirato, perché non ho un particolare valore economico, ma valgo in quanto risorsa, il mio computer vale quanto qualunque altro e può far parte di un esercito di computer controllati, utilizzato poi a mia insaputa. In questo caso, siccome l'attaccante si basa sui grandi numeri, possiamo contrastarlo usando non il sistema operativo più diffuso (Windows), ma una delle comode alternative (Mac OS X, Linux). E non il browser più diffuso (Internet Explorer), ma una delle alternative libere (Firefox, Opera). Chrome non l'ho scritto perché non lo ritengo affatto libero.

Per il resto, è anche una questione di "educazione a Internet". Ad esempio, quali accortezze bisogna adottare per usare la carta di credito in Rete?

«I parametri di sicurezza in Rete sono abbastanza mutevoli, non sono uniformati. Per questo, la sicurezza di un accesso bancario non è sempre pari a quella di un pagamento online con carta di credito. Molti siti gestiscono in modo autonomo questi dati, e ci si deve pertanto affidare alla speranza che siano gestiti correttamente. Il caso Sony ci dice che anche l'immaginario di multinazionale giapponese, precisa e affidabile, non si rivela tale. La sicurezza va ottenuta sul circuito bancario, affidandosi a carte di credito prepagate dedicate al commercio elettronico. In questo modo si possono utilizzare senza remore, cercando di caricarle del valore necessario alle nostre spese e lasciandole vuote il resto del tempo. Un eventuale furto, sarebbe di una CC vuota.

Il furto dei dati dal PlayStation Network ha messo in difficoltà molti utenti, che avevano usato la stessa password anche per altri servizi online. Cosa consiglierebbe un hacker a chi deve creare le proprie password?

«Pensa ai tuoi nonni, scegli una frase che erano soliti dire (come "giochi di mani: giochi da villani!"), prendi le iniziali e la punteggiatura (o le finali, o la seconda lettera: a tua scelta). Diventerà "gdm:gdv!". Questa è la prima parte. Per la seconda, possiamo anche usare parte del nome del servizio stesso. Così abbiamo elaborato una password difficile da individuare per un programma d'attacco, perché suona come una sequenza di caratteri casuali. Questo metodo consente di avere password quasi casuali, con simboli e lettere, generabili da noi su necessità e basate su informazioni personali, ma non scontate come "la data di nascita" o "Totti". L'attacco più frequente è quello che si chiama "password reuse". Se l'utente usa la stessa password per tutti i suoi servizi, quando uno di questi servizi non è sicuro e viene violato tutti gli altri account dell'utente possono essere violati. Per questo la password va differenziata in ogni contesto d'uso.

E per la conservazione?

«Questo metodo è mnemonico, quindi evita di dover scrivere la password: è sufficiente trascrivere gli elementi che servono per ricordarla. Il luogo di conservazione ? Il portafogli! È del resto un accessorio sempre con noi. Dovessimo perderlo, dovremmo adoperarci per bloccare la carta di credito e denunciare lo smarrimento dei documenti: il cambio delle password è una procedura che può avvenire in quelle circostanze sfortunate.

Un'altra minaccia è rappresentata dal phishing. Come si riconosce un tentativo di truffa?

«Il phishing è la richiesta di dati personali (come la password della propria banca) a fini di truffa, in genere con l'invio di email fasulle. L'attacco funziona proponendo qualcosa di plausibile, che tocchi una necessità primaria di milioni di utenti. Una piccola percentuale abbocca, e risponde comunicando i dati». Come si riconosce? Non c'è risposta: una truffa cerca sempre di sembrare normale. Spesso, tuttavia, il phishing usa come vettore di frode l'email. È già sufficiente verificare se l'email-esca contiene alcuni di quei dati che effettivamente sono in possesso del tuo fornitore (ad esempio, se la tua banca ti contatta in modo personale, ti scriverà "Gentile Ivan", non "Gentile Cliente"). Ma sinceramente temo che andiamo contro un problema di analisi critica: chi abbocca a una mail scritta in italiano non corretto, inserendo i propri dati bancari, probabilmente è il tipo di utente che non si sofferma a leggere questo articolo sulla sicurezza, perché non si pone neppure il problema, o perché si ritiene troppo furbo per esser ingannato.

top