Articolo tratto da Panorama.it sezione Scienza e Hitech
Di Alessandro Calderoni e Luca Dello Iacovo
Con 37 milioni di computer e 10 milioni di connessioni a banda larga anche in Italia le attività quotidiane si spostano sempre più su internet. Pagamenti, relazioni sociali e professionali, telefonate: con le nuove abitudini, si diffonde anche l’uso di affidare dati personali a diversi tipi di siti internet. Forse un po’ troppo alla leggera, ha fatto notare il
garante della privacy Francesco Pizzetti. Stesso ammonimento lanciano periodicamente le forze dell’ordine.Contemporaneamente nelle comunicazioni aumenta l’utilizzo della telefonia voip e delle reti wi-fi. Quali sono i veri rischi che corriamo? E come possiamo difenderci nelle operazioni che ormai compiamo sempre più spesso in rete? Ecco una guida: cautele e suggerimenti.
Acquisti e pagamenti
Non ci sono rischi per il passaggio dei dati se nell’angolo della finestra del browser (Mozilla, Explorer, Safari…) compare un lucchetto: indica che la transazione è protetta da un codice cifrato. Resta naturalmente da chiedersi: chi gestisce il pagamento fornirà il servizio promesso? Senza contare che, se il computer è infettato, i caratteri digitati sulla tastiera non sono al sicuro.
Come difendersi Acquistare solo da siti e società di cui si possano controllare le referenze anche su motori di ricerca e forum. Esaminare gli estratti conto delle carte di credito: chi subisce frodi online ed è in buona fede viene rimborsato dai gestori delle carte. Inoltre sarebbe consigliabile utilizzare un indirizzo di posta elettronica differente per ciascun sito da cui si effettuano acquisti.
Home banking
Siamo ormai alla fase due del phishing, termine inglese che indica i metodi per carpire informazioni personali. La fase uno permette di sottrarre le password d’accesso, per esempio ai conti online: l’allettamento viene da email truffaldine, tipo «stiamo controllando la sua chiave d’accesso», «digiti la password scaduta e poi la nuova»… La fase due serve anzitutto a riciclare il denaro sottratto ai correntisti. Finte società straniere chiedono la collaborazione di persone in paesi in cui tali imprese affermano di essere prive di rappresentanza. Chi abbocca si vede piovere ogni settimana sul conto corrente alcune centinaia di euro: ne può trattenere una percentuale e in cambio si impegna a girare il resto in contanti a destinatari (dell’Est europeo) attraverso servizi di trasferimento monetario. Un’operazione di riciclaggio, meglio diffidare delle proposte di guadagnare denaro facile.
Come difendersi Preferire i conti online che utilizzano i cosiddetti token, apparecchi simili a portachiavi che generano password casuali con validità limitata nel tempo e ogni volta diverse. Diffidare di ogni richiesta di dati bancari che giunga via email. Non accettare mai denaro senza avere eseguito una vera prestazione professionale.
Navigazione internet
Aprendo una pagina web si consegnano ai gestori del sito molti dati personali: ora di collegamento, indirizzo Ip (quello che identifica il proprio computer), localizzazione geografica, tipo e versione del software usato. Se non si frequentano solamente siti affidabili, il rischio di infezioni online è reale. Nel codice di programmazione di una pagina potrebbero essere state inserite alcune righe in grado di inoculare nel pc un trojan, cioè un programma che fa del computer uno zombie: si risveglia con un comando remoto impartito via internet da malintenzionati. Allora il computer diventa una macchina per inviare posta spazzatura (spam) o per attaccare siti internet sovraccaricandoli.
Come difendersi Installare antivirus, firewall, aggiornare costantemente sistema operativo e motore di ricerca internet. Può essere efficace l’utilizzo di browser meno diffusi, perché comportano, statisticamente, un pericolo minore.
Motori di ricerca
Le informazioni private disseminate in ogni angolo della rete vengono raccolte da alcuni motori di ricerca in una sorta di archivio. Pipl.com è un investigatore informatico che rovista nelle profondità di internet. Per esempio, scrivendo Mario Rossi (nome di fantasia), scopriamo migliaia di pagine online che contengono questo nome: social network, siti internet di informazione, documenti ufficiali. Un sistema di ricerca famoso come Google può diventare uno strumento formidabile per scovare dati personali che normalmente sarebbero custoditi gelosamente. Basta cercare fotografie (con Google immagini) usando le parole chiave «carta d’identità» o «passaporto». In pochi secondi appaiono decine di documenti originali con foto, nomi, date di nascita, luogo di residenza. Spesso si tratta di informazioni pubblicate in rete incautamente dai possessori, in siti internet e blog.
Come difendersi Limitare le informazioni pubblicate su internet.
Posta elettronica
L’intestazione di ogni messaggio di posta fornisce informazioni tecniche sul mittente sufficienti a un malintenzionato per rispondere con una email studiata apposta per prendere il controllo del sistema. Tutti i messaggi scritti e ricevuti risiedono nel computer: stabilmente nel programma di posta, temporaneamente nella memoria temporanea (cache) del browser se si usa una webmail. Bastano programmi come Net-Analysis o R-Mail per leggere tutto.
Come difendersi La cifratura delle e-mail con sistemi come Pgp o S/mime impedisce che vengano lette da chi non ha le chiavi per decrittare il testo e garantisce che il mittente sia davvero chi sostiene di essere. Ci sono inoltre sistemi per rendere anonimo chi naviga: per esempio, Tor.
Social network
I ragazzi raccontano viaggi, incontri, serate con gli amici in social network e blog che diventano così diari pubblici. Eppure, sul web non sono soltanto i loro conoscenti a leggerli: qualsiasi persona di passaggio può gettare uno sguardo. E in alcuni casi diventa un rischio. Non è difficile trovare minuziose descrizioni di ubriacature notturne, di droga party, di bravate. E si diffonde l’abitudine (non soltanto oltreoceano) di cercare nelle reti sociali online le informazioni sui candidati per i colloqui di lavoro.
Come difendersi Ridurre al minimo i dati immessi nelle reti sociali.
Gestione di un sito web
Basta interrogare il motore Whois per conoscere i dati dell’intestatario di un dominio. Un sito può subire attacchi dall’esterno, sia per danneggiare le pagine sia per sottrarre dati.
Come difendersi L’unico modo di preservare la privacy è registrare il dominio all’estero attraverso un servizio di anonimizzazione, per esempio Godaddy, Servage o Webair. Per proteggere il proprio sito da assalti serve una serie di test, secondo un metodo standard, l’Owasp (open web application security project). Meglio evitare di inserire sulle proprie pagine web dati riservati che possano attirare l’attenzione, e collegamenti a servizi statistici come Shinestat o Google analytics, servizi chat gestiti da terzi o altri contenuti interattivi. Sono tutti canali di comunicazione con altri server e quindi altre società, il che aumenta i rischi.
Telefonia tradizionale e voip
Il passaggio dalla telefonia tradizionale a quella voip, via internet, sta avvenendo anche all’insaputa degli utenti. Le compagnie per risparmiare (e guadagnare di più) deviano via internet le chiamate da telefoni normali. Per esempio, chiamando un cellulare italiano in Italia da un cellulare italiano in Svizzera la telefonata può passare dal Brasile o dalla Cina, perché la compagnia dell’ignaro cliente ha acquistato a basso costo una certa quantità di tempo di trasmissione in voip da un broker di telefonia di quei paesi. E per la privacy siamo alle solite: le confidenze professionali o amorose si ritrovano in balia di chiunque in un paese lontano. Basta una piccola falla nei punti meno protetti perché qualcuno, con un software aspiratutto, si inserisca nel traffico dati ed estrapoli le chiamate voip ascoltandole poi con calma.
Come difendersi Utilizzare un sistema di crittografia applicato alle telefonate. La Skype, il fornitore di telefonia voip più celebre, ha una cifratura dei dati, ma le chiavi sono detenute dalla società, quindi qualcuno le controlla. Buona garanzia sono le chiavi personali, su cui si basa per esempio la tecnologia Zrtp ideata dallo stesso Philip Zimmermann che inventò la tecnologia Pretty good privacy (Pgp) per le email.
I nuovi rischi del mobile
Proliferano le microspie-software che, installate su un cellulare, consentono a terzi di leggere sms, controllare contatti, ascoltare chiamate e rumori ambientali. Le più recenti sfruttano i ricevitori Gps contenuti nei telefoni di ultima generazione e localizzano il chiamante su una mappa satellitare. Per installare il software basta un sms, apparentemente inviato da un operatore di telefonia.
Come difendersi Accettare l’idea che i rischi informatici arrivino anche dal cellulare. Installare un antivirus per telefonino.
Wi-fi
Navigare a sbafo attaccandosi alle reti wireless non protette è diventata un’abitudine per molti giovani nelle grandi città. Ma resta un reato. D’altronde chi vuole accedere a dati riservati disponibili su una rete può usare la stessa porta d’accesso. Negli aeroporti, per esempio, sono soprattutto i manager a connettersi al web senza fili. Ebbene, in tempo reale qualcuno, dalla poltrona accanto, potrebbe entrare nel loro portatile e sottrarre dati e informazioni.
Come difendersi Sulla propria rete impostare sempre una password di protezione, preferendo il protocollo Wpa al Wep, che ormai è considerato sorpassato e violabile in pochi minuti.
Commenti Recenti