CAS@WEB – LA CASSETTA DEGLI ATTREZZI 2
9 Novembre 2020
CAS@WEB – LE PULIZIE AUTUNNALI
23 Novembre 2020
UN PROBLEMA DI “CONDOTTA”…
Nel mio lavoro, quando ho necessità di analizzare la sicurezza di una rete aziendale o domestica, ho imparato con l’esperienza a immaginarla come una lunga tubatura piena di intersezioni, dove la struttura e la qualità dell’impianto sono date dagli strumenti che la costituiscono e ogni singola intersezione rappresenta una persona (un utente).
La domanda a quel punto diventa: “la persona che gestisce quella giunzione è consapevole del suo ruolo e sa come proteggerla per impedire che “perda” informazioni, con effetti negativi per l’intero impianto?”
La cosa più importante di questo tipo di ragionamento è capire che impedire la fuoriuscita di dati o contenere un guasto (un attacco informatico) non è solo un problema di manutenzione; perciò, il lavoro di una singola persona, per quanto brava a fare la manutenzione corretta per consentire o ripristinare il funzionamento della tubatura, non può da solo sostenere le difficoltà di un impianto sempre più complesso e di infinite intersezioni se chi le usa non ne ha abbastanza cura.
L’unico modo per poter considerare che una giuntura della rete sia effettivamente “a tenuta” è quindi anche e soprattutto il suo uso corretto.
Bisogna quindi parlare apertamente e diffusamente di come funzionano queste tubature e di come vanno curate per evitare i guasti più banali, come gli effetti che producono gli “scarichi” di certi dati (i possibili “ami da pesca” o trappole più frequenti, recenti e distruttive che ci scorrono dentro, come visto negli articoli precedenti) che, come avviene in casa, li possono otturare e rendere inservibili.
Sembra un argomento banale, vecchio e più che noto, ma quello che mi lascia sempre sorpreso e perplesso, nonostante se ne senta parlare tutti i giorni 24 ore su 24, è la costanza con la quale le stesse persone a cui ho spiegato queste cose e che ne erano anche sembrate annoiate, risultano quelle più sorprese quando capitano a loro.
È un po’ come quando una persona si arrabbia e si dispera perché ha bruciato la testata dell’auto per mancanza di olio, anche se non ha fatto la revisione da anni, ha lo stesso lubrificante da 50.000 chilometri e non ne ha mai controllato il livello per mesi: un buon meccanico la rimetterà in strada, ma il tempo perso, gli impegni saltati e il costo della riparazione non li potrà restituire nessuno.
L’ultimo episodio di cui ho esperienza diretta è stato una vittima (l’ennesima) di quella che è nota come la “truffa di Starbucks” (dal nome della rinomata catena internazionale di caffè dove venne documentata per la prima volta): nonostante lo avessi informato e messo in guardia anche su questo tipo di rischio (aveva il portatile pieno di virus), mi ha mostrato una espressione di doloroso stupore degna di essere inserita nei più classici studi sulle mimiche facciali.
Eppure la “Starbucks Scam” ha un funzionamento molto elementare e quindi facile da riconoscere: il malcapitato entra in un esercizio pubblico (un caffè, una sala di attesa o in un altro luogo legato ad un servizio), estrae il proprio cellulare dalla tasca o accende il suo computer portatile e cerca un punto di acceso wi-fi, trovandone uno col nome del locale o del posto (ad esempio uno “Caffè Pinco Pallo Free WiFi”) e vi si connette.
La Starbucks gli ha solo dato il nome, ma non è una truffa esclusiva compresa nella loro consumazione, bensì una tecnica diffusissima che colpisce ovunque, nelle catene di ristori come in un qualsiasi ristorante, albergo, stazione degli autobus o luogo aperto al pubblico che fornisca (o che sembra poter fornire) un accesso wi-fi ai suoi clienti.
Il fatto è che questi luoghi pubblici che offrono servizi non chiamano certamente i loro punti di accesso “Starbucks Free WiFi” o qualcosa di simile: se lo troviamo è molto probabile (anzi, quasi certo) che quello a cui ci stiamo realmente connettendo è un hacker-criminale che siede magari in un angolo del locale con il suo portatile e che trasmette un punto di accesso wi-fi, aspettando che qualcuno abbocchi.
Essenzialmente quello che sta facendo è ottenere le informazioni dei nostri dispositivi, le nostre password e tutto quello che il nostro dispositivo può comunicargli tramite wi-fi e a cui lui (o lei, o loro) può accedere senza difficoltà, essendone anche tecnicamente l’amministratore.
Una buona abitudine in questi casi è quella di chiedere sempre a chi lavora nel locale se è presente e quale sia l’accesso wifi dell’esercizio: un servizio giornalistico di ben sei anni fa aveva documentato l’attività di un hacker in un bar di Milano che con un semplice portatile collegato al wi-fi del locale nel giro di venti minuti sapeva già dove tutti gli altri clienti erano nati, che scuole avevano frequentato, le ultime cose che avevano cercato su Google e i loro impegni per la settimana!
Anche nel caso di una rete qualificata, dobbiamo sempre essere consapevoli a che cosa ci stiamo connettendo, e se ciò a cui ci stiamo connettendo è affidabile: in un bar, ristorante, albergo o altra struttura pubblica basterebbe chiedere conferma al gestore.
Se questo non è possibile, meglio utilizzare la connessione dati del contratto telefonico o rinunciare.
Ancora una volta appare evidente che per la nostra e altrui sicurezza online è importante imparare a fidarsi il meno possibile di quello di cui non possiamo avere garanzia diretta, e fare di questa sana abitudine di controllare le “fonti” delle nostre “tubature” un argomento condiviso con chi ci sta intorno, educando ad esso figli, nonni e nipoti.
Abbiamo già visto che una mail troppo bella per essere vera, quasi mai lo è, figuriamoci un servizio gratuito!
Ovviamente non è tutto buio intorno a noi, ma invece di affidarci alla fortuna o alla speranza dovremmo abbracciare il fatto che la sicurezza informatica non è un problema solo dei tecnici, ma di corretta gestione dell’utente.
Questo è un problema che interessa tutti, anche le organizzazioni di lavoro, e deve partire dalla cima della catena di comando fino ad arrivare al piano di gestione dei dati più basso, coinvolgendo ogni singolo livello.
In una organizzazione di lavoro è ancor più necessario l’allenamento e la formazione di ogni giuntura a questo metodo, che è un apprendimento continuo e non “una tantum” (come invece avviene nel migliore dei casi).
Imprese, scuole, amministrazioni pubbliche, associazioni e ogni forma collettiva di organizzazione che tratta dati informatici dovrebbe curare questo percorso formativo ad ogni suo componente, a qualunque livello di responsabilità, con cadenze periodiche e regolari, in modo da costruire barriere di difesa sufficientemente alte, forti, stabili e sicure da proteggere dagli attacchi esterni (almeno da quelli conosciuti!).
E così dovrebbe fare anche il singolo utente che si affaccia sulla rete.
Se non si fa questo passo culturale, tra un anno potrei pubblicare questo stesso articolo e risulterebbe ancora attuale, senza nemmeno dover andare a cercare un esempio di truffa completamente nuovo, perché sicuramente ancora funzionano e colpiscono efficacemente quelli vecchi, come la truffa “Starbucks” del 2011.
