Sicurezza informatica: your money or your data!

Giorno 20 Maggio, a Paola, in provincia di Cosenza, si è tenuta una campagna di sensibilizzazione sulla sicurezza informatica. Il “territorio solidale”, il centro laboratoriale che ha ospitato l’evento, ha portato all’attenzione dei presenti un tema dall’importanza non trascurabile, attuale e in crescente espansione. Ad illustrarci al meglio i rischi e le misure di prevenzione da adottare contro gli attacchi informatici è Emanuel Russo, giovane studente di ingegneria informatica e software developer presso NTT Data Italia.

Phishing, Cyber Security, Wanna Cry, ransomware: alcune delle parole chiave più cliccate negli ultimi tempi. Sono i media i primi a parlarne, riportando episodi di attacchi in rete sempre più frequenti e sempre più proliferanti. E’ così che l’hacker, il pirata informatico, assume un’aurea temibile e potente, il villain reale del progresso tecnologico.
In una società improntata sull’uso smodato di smartphone e affini che lega gli utenti a queste apparecchiature in maniera così meccanica, l’informazione e la difesa preventiva sembrano essere le uniche armi da poter adoperare contro questo mostro invadente.

E’, forse, il 2015 l’anno che raccoglie alcuni tra gli episodi più risonanti di questo ambito. Il 23 luglio, due hacker prendono il controllo di una Jeep, tramite una falla nel sistema, comandandolo a distanza di 15 km. E’ bastata una connessione wi-fi per manipolare il veicolo in velocità, direzione e arresto.
Il 23 dicembre dello stesso anno, una larga fetta del territorio ucraino rimane completamente al buio. Il malware, responsabile del black out, avrebbe attaccato le centrali elettriche attraverso la diffusione di macro infette di documenti di Microsoft Word. Un chiaro e lampante esempio di Phishing. Di cosa si tratta?

Il Phishing è la truffa che sfrutta la diffusione di una mail ingannevole, fingendosi un ente affidabile, con il presupposto di accedere alle credenziali del malcapitato. Tramite questo accesso viene aperta una pagina pressoché identica a quella originale, la vittima comunica le sue credenziali che, così facendo, vengono comunicate direttamente al truffatore.

COME SI IDENTIFICANO?
3 Elementi principali:
– Italiano dalla grammatica poco corretta perché tradotto, in genere dalla lingua inglese, tramite i comuni strumenti web
– http in sostituzione di https nella barra di indirizzo a cui rimanda la mail
– Assenza del lucchetto nell’indirizzo, a dimostrazione che non sia certificato.

Tra i campioni più forti del settore si erge Mirai, il terribile software malevolo, che trasforma i sistemi informatici in botnet: un esercito guidato che attacca su larga scala.
Ma è WannaCry la star indiscussa di questi tempi, il ransomware saiyan dell’informatica.
I ransomware sono sempre software dannosi che inducono, tramite mail o pagine web, alla loro installazione. Il risultato è la crittografia di tutti i file con appropriazione dei dati dell’utente. E’ come un criminale che si rispetti, quello che viene chiesto è un riscatto per la “restituzione” di quello che è stato confiscato.  A rendere WannaCry la punta di diamante della sua specie, è lo sfruttare anche un difetto di Windows per propagarsi attraverso la rete, paralizzando intere organizzazioni in tempi brevi.

TECNICAMENTE:
L’installazione del software genera una coppia di chiavi: una pubblica e l’altra privata che rispondono ad una regola matematica tale per cui la chiave A viene cifrata solo tramite la chiave B e viceversa. La sicurezza di queste chiavi è manifestata dal fatto che da una di esse non si riesca ad interpretare l’altra. L’hacker cifra tutti i file, mantenendo la chiave privata, con la chiave pubblica.

MISURE PREVENTIVE?
Effettuare un back-up! Un’operazione che, come Emanuel ci fa notare, è “quella cosa che quando ti serve, dovevi farlo prima”. Preferibile farlo, ancor di più, schedulato, tramite dei dispositivi NAS, Network Attached Storage, che vengono collegati alla rete, vicino al router, e sincronizzano i dati dal PC. Tra i vantaggi offerti da questi hard disk: una maggiore protezione sui dati immessi.

Ultimi e non meno importanti i suggerimenti, sempre da tenere in considerazione, circa la maggiore cura da avere per scegliere la password:
– diversa per ogni account, poichè nessuno ci garantisce che tutti i siti a cui accediamo abbiano un sistema di sicurezza adeguato.
– Evitare l’uso di nome, cognome e data di nascita. Facilmente intuibili da chiunque.
– Evitare l’uso delle parole contenenti nel dizionario.
– “L’nsalata non piace a tutti ma fa bene”: usare almeno un carattere maiuscolo, uno minuscolo, uno numerico e uno speciale.
– “Le dimensioni contano”: più è lunga la password e minori sono i rischi.

Noi, nel nostro piccolo, ci proviamo. Proteggiamoci e che Mr Robot (non) ci assista!

Alessia Lio

© RIPRODUZIONE RISERVATA