Un decennio o più di grandi violazioni di dati, scandali globali sulla privacy e leggi sui diritti dei consumatori, ci hanno reso tutti più consapevoli dei problemi di sicurezza informatica e privacy. E ora che molti di noi lavorano sempre più da casa e che la nostra vita privata e quella lavorativa hanno iniziato a confondersi, la posta in gioco si è alzata un po’. Nessuno vuole essere convocato dalle Risorse Umane perché le sue password deboli sono state rubate e usate per violare un database aziendale, ad esempio.
I nostri dati personali hanno un grande valore non solo per gli inserzionisti e i data broker, ma, cosa ancora più preoccupante, per i criminali informatici. Purtroppo, i malintenzionati possono entrare in possesso dei dati in molti modi. Potrebbero utilizzare attacchi di phishing o nascondere il malware per rubare le informazioni nelle app per cellulari, nei torrent di gioco o in altri software dall’aspetto legittimo. Oppure potrebbero utilizzare dati precedentemente violati per ottenere le credenziali e dirottare i nostri account. Per quanto riguarda gli inserzionisti e i data broker, gran parte del furto di dati avviene in background, spesso grazie a cookie di terze parti per migliorare il targeting degli annunci o l’esperienza utente.
È comprensibile che molti di noi vogliano mitigare l’impatto di queste minacce. Quindi, perché non regalarci una maggiore sicurezza e privacy e aiutare i nostri cari a compiere alcune azioni pratiche per proteggere meglio le informazioni personali online?
Prima di tutto consideriamo un elemento che al giorno d’oggi è irrinunciabile e che tutti già usiamo: un software di sicurezza completo. Da sempre ribadiamo l’importanza di dotarsi di una soluzione di sicurezza di un vendor affidabile da adottare in tutti i dispositivi in uso alla famiglia. Anche gli smartphone e i tablet, tra i regali tecnologici più gettonati, hanno bisogno di una protezione completa dalle minacce. Se un dispositivo è connesso a Internet, c’è il rischio che un malware vi si introduca e che venga utilizzato per sottrarre dati, bloccare il computer a scopo di estorsione o per altri illeciti.
Passiamo ora ad alcune idee meno ovvie per i regali da fare ai nostri cari. Ovviamente, non tutti i prodotti elencati saranno l’ideale per un tradizionale dono natalizio, alcuni sono gratuiti altri difficili da impacchettare, ma ognuno di essi merita attenzione. Si tratta in ogni caso di un elenco di buone pratiche di cyber hygiene.
Router Wi-Fi sicuro: tutti abbiamo un router wireless in casa, probabilmente fornito dal nostro ISP. Molti di questi dispositivi lasciano a desiderare in fatto di sicurezza, ad esempio non accettano password lunghe e forti, non notificano quando sono disponibili aggiornamenti critici o hanno “cose” come UPnP o WPS abilitate. Sarebbe meglio optare per un router per piccole imprese progettato per la sicurezza e, se possibile, considerare la possibilità di configurarlo con una rete privata virtuale, evitando così di installare una VPN su ogni dispositivo. Questo ci porta al prossimo punto…
Virtual private network (VPN): questi pratici strumenti reindirizzano il nostro traffico attraverso un percorso sicuro e crittografato, in modo che il sito che visitiamo non possa identificarci. Una VPN migliora la sicurezza e la privacy – impedendo a ISP, spie governative, hacker e addetti alle vendite di spiarci – ed è particolarmente importante se utilizziamo reti Wi-Fi pubbliche. Tuttavia, non tutte le VPN sono uguali. I servizi gratuiti possono vendere i nostri dati a scopo di lucro, mentre quelli con server situati in paesi specifici possono fare pressione sul fornitore per farsi consegnare i dati. Per fare la scelta giusta è necessaria una ricerca indipendente.
Password manager: molti di noi hanno così tanti account e applicazioni online che hanno bisogno di password facili da ricordare e spesso condividono le stesse credenziali su più account. Il problema è che se uno solo di questi finisce nelle mani degli hacker, può metterli tutti a repentaglio, poiché i malintenzionati possono utilizzare strumenti automatici di “credential stuffing” per cercare di sbloccare gli altri account protetti con la stessa password. Con un password manager è possibile creare e memorizzare password o frasi di accesso uniche e forti per ogni sito. Il gestore le ricorderà per noi, che dovremo memorizzare solo una “master password”.
2FA hardware-based key: l’autenticazione a due o più fattori (2FA/MFA) offre protezione dalle minacce di furto di password fornendo un ulteriore livello di autenticazione dell’utente. Dopo averla registrata in ogni sito che si desidera utilizzare, è sufficiente inserire la chiave (di solito in una porta USB) per accedere successivamente. Se un criminale non ha la vostra chiave, non potrà spacciarsi per noi.
Schermo per la privacy del computer portatile: la diffusione del lavoro ibrido porta ad un aumento delle opportunità per i malintenzionati di vedere quello che scriviamo mentre non siamo in ufficio e lavoriamo nei luoghi pubblici più disparati. Uno schermo per la privacy è la soluzione più ovvia, in quanto lascia filtrare la luce dal display solo ad angoli ristretti, riducendo così le possibilità di spiare di persona.
Copertura della webcam: l’hacking della webcam, noto anche come camfecting, non è un fenomeno sconosciuto. I criminali informatici o i “semplici” guardoni possono dirottare le fotocamere frontali di altre persone con vari mezzi, tra cui Trojan ad accesso remoto (RAT) o exploit di vulnerabilità. Potrebbero quindi utilizzare il materiale o le registrazioni rubate per frodi o estorsioni. Una copertura scorrevole per la webcam può quindi rivelarsi utile. Altre semplici contromisure consistono nel mettere un pezzo di nastro adesivo sull’obiettivo quando la fotocamera non è in uso o nello staccare la spina se si tratta di una fotocamera esterna.
Email che migliorano la privacy: le e-mail non sono state originariamente concepite pensando alla sicurezza. Ora c’è anche il rischio che gli stessi provider stiano spiando i nostri dati per rivenderli o condividerli con le agenzie governative. Anche in questo caso, negli ultimi anni sono nate numerose alternative ai principali gestori con un’attenzione particolare alla sicurezza e alla privacy. Ciò significa non solo che i messaggi sono crittografati per impostazione predefinita, ma anche che i provider guadagnano con abbonamenti premium piuttosto che con la pubblicità e che sono situati in paesi che difficilmente condividono le informazioni.
Applicazioni di messaggistica sicura: è improbabile che queste applicazioni siano presenti nelle liste dei regali di Natale, dato che di solito sono gratuite. Ma vale la pena controllare che quella che stiamo usando sia ottimizzata per la sicurezza e la privacy e fornisca la crittografia end-to-end. Ciò significa che anche se il governo o le forze dell’ordine ordinassero a un provider di consegnare i dati dei clienti, non potrebbero farlo. Assicuriamoci che la funzione sia attivata, perché non sempre lo è per impostazione predefinita. Prendiamo in considerazione la possibilità di modificare ulteriormente le impostazioni dell’app per migliorare la privacy e la sicurezza.
Software anti-tracciamento: come suggerisce il nome, sono progettati per proteggere la nostra attività di navigazione da monitoraggi indesiderati, garantendo che annunci invasivi o potenzialmente dannosi non appaiano sul nostro schermo.
Motore di ricerca pro-privacy: i principali produttori di motori di ricerca generano i loro profitti vendendo agli inserzionisti l’accesso alla cronologia delle ricerche, in modo da poter indirizzare gli annunci. Molti utenti saranno d’accordo con questo livello di intrusione a patto che gli annunci siano pertinenti. Per coloro che non lo sono, ci sono molte alternative sul mercato, gratuite e utilizzabili dal normale browser web o anche, ad esempio, dal browser Tor.
Che questo periodo di feste sia anche un momento di sensibilizzazione alla sicurezza e alla privacy. Adottando piccoli accorgimenti come quelli sopra descritti, possiamo mantenere le nostre informazioni più sicure e rendere la vita più difficile ai truffatori.
di Fabio Buccigrossi, Country Manager di ESET Italia
