Nel mio lavoro quotidiano di hacker etico (preferisco il termine Pentester, ma non importa) mi imbatto in una serie di comuni errori di sicurezza che mi permettono di accedere senza autorizzazione ai vostri sistemi informatici. La mia giornata lavorativa è molto più facile quando qualcuno ha lasciato una password scritta sulla scrivania, ma non sono l'unico pigro e amante delle vittorie facili.
Gli hacker che operano in nero, spinti dall'economia, sono soliti cercare i frutti più bassi e, con alcune semplici modifiche, potete rendere molto più difficile per qualcuno violare casualmente la vostra sicurezza e invadere la vostra privacy. A tal fine, ho stilato un elenco delle cinque principali abitudini che dovreste cambiare quando utilizzate Internet, dal punto di vista degli hacker. Forse ne conoscete già un paio, ma le altre potrebbero fare la differenza tra l'essere violati e il mantenersi al sicuro.
1. Usate una VPN
La crittografia è importante e, in un mondo ideale, ogni sito web utilizzerebbe come minimo il protocollo TLS con HTTP Strict Transport Security. Purtroppo questo non è un mondo perfetto, quindi per tutto il resto ci sono le reti private virtuali (VPN). Queste creano un tunnel crittografato che instrada il traffico Internet tra il vostro dispositivo e i server VPN di un provider, il che è essenziale se viaggiate e vi collegate spesso a punti Wi-Fi aperti. Davvero. Uscite un giorno con una copia di Wireshark installata sul vostro portatile e guardate che tipo di informazioni state trasmettendo attraverso il Wi-Fi gratuito dell'aeroporto attraverso il vostro telefono. Non è bello.
È vero che gli esperti di sicurezza discutono sull'opportunità di utilizzare una VPN. Esistono valide argomentazioni contro l'uso delle VPN, principalmente incentrate sull'affidamento dell'instradamento dei vostri dati a una terza parte potenzialmente non affidabile. Il mio argomento è questo: Vi fidate già del vostro ISP, che non può operare senza il consenso del governo. Il vostro governo probabilmente vi sta anche spiando. Perché non rendere le cose un po' più difficili? Sebbene non raccomandi di utilizzare qualsiasi fornitore di VPN, la scelta di una VPN verificata e senza log può fornire un grado di protezione contro la sorveglianza governativa che altrimenti non avreste.
Soprattutto, una VPN di alta qualità offre due vantaggi fondamentali: in primo luogo, oscura il vostro indirizzo IP, complicando notevolmente i tentativi di rintracciare la vostra posizione reale; in secondo luogo, filtra i distributori di malware comuni e gli inserzionisti compromessi attraverso il blocco dei DNS. Il blocco degli annunci pubblicitari riduce già un enorme vettore di malware, quindi ne consiglierei una anche solo per questo.
2. Utilizzate un blocco o una whitelist di JavaScript
L'architettura di Internet fa sì che gran parte dei contenuti che si incontrano nel browser siano forniti tramite JavaScript. Se da un lato JavaScript può migliorare l'aspetto dei siti web, dall'altro funge da vettore per una vasta gamma di attacchi, tra cui clickjacking, denial of service, cross-site scripting e request forgery e, in alcuni casi, persino l'esecuzione di codice arbitrario.
Utilizzando un blocco o una whitelist di JavaScript, è possibile consentire selettivamente gli script provenienti da fonti attendibili, riducendo al contempo i rischi associati agli script dannosi o intrusivi. In questo modo si attenuano gli attacchi che nascono da pubblicità dannose e si riducono drasticamente le possibilità di furto delle credenziali di sessione in un attacco drive-by. NoScript è ancora il gold standard per le suite di blocco Javascript. Lo uso insieme a uBlock Origin per coprire la maggior parte delle mie esigenze online.
3. Seguite voi stessi
Pochissime persone hanno idea di quante informazioni sulla loro vita personale si trovino su Internet, in attesa che qualcuno unisca i puntini. Spesso utilizzo LinkedIn per raccogliere informazioni sui dipendenti, le tecnologie e le sedi fisiche di un'azienda, ma per trattare con gli hacker mirati è necessario un approccio leggermente diverso.
Prendete un'informazione pubblicamente disponibile, come il vostro indirizzo e-mail o il nome utente che utilizzate. Utilizzando le tecniche di base dell'open source intelligence e un po' di ricerca su Google, rimarrete sbalorditi dalla quantità di dati personali facilmente accessibili, tra cui il vostro vero nome, l'indirizzo e altro ancora.
Se lo vedete voi, lo può vedere anche qualcun altro. Controllate la vostra presenza online e tagliate tutto ciò che non volete che un estraneo veda. Non sottovalutate il potere dell'ingegneria sociale quando si tratta di violare i vostri dispositivi.
Una volta che vi siete fatti un'idea dei passi che qualcuno dovrebbe compiere per collegare le vostre identità online e reali, la rimozione o l'eliminazione di queste informazioni dai vostri account online può interrompere il collegamento. In questo modo è molto più difficile per i malintenzionati sfruttare le vostre informazioni personali (a sua volta, è molto meno probabile che siate vittime di un giocatore squilibrato di Call of Duty con troppo tempo a disposizione).
Questo è particolarmente importante per piattaforme come Facebook e Twitter. Sarete sorpresi di quante risposte alle domande di sicurezza potrete trovare scorrendo rapidamente la bacheca di Facebook o il feed di Twitter di qualcuno. Già che ci siete, assicuratevi di esplorare le impostazioni di privacy offerte dai siti di social media per garantire che solo le persone che conoscete possano accedere alle vostre informazioni personali. Diventare un maestro dell'open source intelligence (OSINT) non si ottiene dall'oggi al domani, ma anche un piccolo sforzo è meglio di niente.
4. Aggiornate le vostre app
Sì, è un consiglio noioso. Purtroppo, sono le precauzioni di base che spesso fanno la differenza tra successo e fallimento nella sicurezza informatica. Le versioni obsolete del software causano grattacapi ai professionisti della sicurezza di tutto il mondo, quindi vi invitiamo ad aggiornare regolarmente il vostro sistema operativo e il vostro software (soprattutto se si connette a Internet). Basta dare un'occhiata all'elenco Common Vulnerabilities and Exposures per farsi un'idea dell'enorme quantità di exploit software esistenti.
Un exploit zero-day si verifica quando una vulnerabilità è stata divulgata ma non ancora patchata, quindi i criminali informatici la sfruttano. Gli aggiornamenti di sicurezza sul vostro computer di solito risolvono questi problemi, quindi non sottovalutateli.
Ciò è ancora più importante per i dispositivi mobili, che spesso sono depositari di informazioni altamente sensibili: il paradiso degli hacker. Avrete probabilmente sentito parlare dello spyware Pegasus, che ha sfruttato diversi exploit complessi all'interno dei sistemi operativi iOS e Android per violare i telefoni di importanti personaggi dei media in modo completamente remoto tramite messaggi di testo.
Tuttavia, i telefoni non sono l'unico luogo in cui avvengono questi attacchi. I vecchi browser, in particolare, sono facili bersagli di attacchi malware zero-click che lasciano il computer compromesso con una semplice visita a un link sospetto.
Se dovete mantenere un vecchio sistema operativo per scopi legacy, come ad esempio l'esecuzione di versioni di software deprecate, prendete in considerazione la possibilità di isolarli come macchine virtuali o sistemi air-gapped privi di connettività Internet.
5. Smettete di riutilizzare le vostre password
Sono sicuro che ve l'hanno detto mille volte, ma c'è un motivo. Ci sono innumerevoli siti e applicazioni insicuri a cui affidate le vostre password. Alcuni di essi salvano ancora le password in chiaro o in MD5 non salato (in sostanza, una crittografia inutile che non vi protegge).
Se le riutilizzate, è una bomba a orologeria se una di queste piattaforme viene violata e la vostra password inizia a circolare nel dark web. Una volta che ciò accade, è solo questione di tempo prima che qualcuno provi la vostra combinazione e-mail-password su siti web popolari e ottenga un risultato.
Anche se le vostre credenziali non sono trapelate, l'uso di password comuni vi rende vulnerabili agli attacchi. Gli attacchi di forza bruta spesso utilizzano elenchi di password compilati da violazioni di dati, riducendo notevolmente il tempo necessario per trovare credenziali di accesso che funzionino.
Quando cerco di entrare in un sistema, non guardo un utente e provo tutte le password che conosco. Provo le tre password più comuni con ogni utente del sistema. È deprimente constatare quanto spesso funzioni. Cambiate la vostra password!
Detto questo, può essere difficile ricordare una password per ogni sito a cui si accede. Dovreste prendere in considerazione la possibilità di utilizzare un gestore di password (o, come minimo, di attivare l'autenticazione a due fattori). Potete anche verificare se uno dei vostri account è stato compromesso o se state usando una password comunemente sfruttata attraverso strumenti come haveibeenpwned.
Non fidatevi di niente
Esistono numerose altre misure che si possono adottare online per salvaguardare i propri dati personali, ma i cinque passi sopra descritti sono fondamentali. Secondo la mia esperienza, gli hacker spesso non hanno successo grazie a straordinarie abilità tecniche o a sofisticate prodezze ingegneristiche, ma piuttosto sfruttando la pigrizia e la svista umana. Se qualcuno ha lasciato la porta sul retro aperta, perché preoccuparsi di forzare la serratura? Modificando le vostre abitudini, potete ridurre significativamente la probabilità di cadere vittima di un attacco hacker (e rendere il mio lavoro molto più difficile).
Ecco un consiglio in più: se ricevete una strana e-mail da qualcuno di cui vi fidate che vi chiede di controllare un file, chiamatelo e assicuratevi che sia stato lui a inviarla. Fidatevi di me: lo spear phishing funziona molto più spesso di quanto dovrebbe.
