Stai camminando verso la fermata dell’autobus, con passo svelto. Stamani hai fatto tardi, perché mentre uscivi di casa ti sei accorto che avevi dimenticato lo smartphone, ormai diventato indispensabile.

Michele Pinassi è Responsabile della Sicurezza Informatica dell'Università di Siena

Ad un certo punto, lo senti vibrare. Una notifica. Cosa sarà? Lo prendi, scorri il pollice sullo schermo. E’ una mail di Meta, Facebook: la tua pagina personale, con la quale condividi la tua passione per i cani, non rispetta i requisiti. Ti invitano a cliccare su un link per una verifica.

Clicchi sul link.

Si apre il browser, schermata di login di Facebook. Inserisci il tuo indirizzo mail e la password.

Dall’altra parte del pianeta, un cybercriminale ha appena conquistato un nuovo account Facebook. Il tempo, adesso, è un elemento critico. Il cybercriminale accede immediatamente e cambia la password e le informazioni per il recupero, disconnettendo tutte le sessioni attive. Ti ha appena buttato fuori dal tuo account Facebook e da tutte le informazioni in esso contenute.

Basta un click su un link nel momento sbagliato e la nostra quotidianità può cambiare da un momento all’altro.

Provate a pensare quante informazioni personali e riservate un cybercriminale può acquisire su di noi accedendo al nostro profilo Facebook. Così come quello di qualsiasi altro social network, incluso WhatsApp (attraverso attacchi SIM swap, ad esempio). Per non parlare di tutti gli altri attacchi, dagli scam finanziari alle truffe via instant messaging (“ciao mamma, questo è il mio nuovo numero di telefono…”), passando per i famigerati infostealer, malware progettato per rubare le informazioni di accesso memorizzate sul sistema vittima (password, cookies…), incluso lo screenshot del desktop, diffusi soprattutto attraverso i canali di software illegale e servizi di streaming “pirata”.

Lo screenshot del desktop del PC di una vittima di infostealer, pubblicata sul web

A cui, non ultimo come importanza, si aggiungono tutti i data leak conseguenti ad attacchi ad aziende e istituzioni a cui abbiamo affidato, per motivi vari, i nostri dati: parlo anche e soprattutto degli attacchi ransomware, dove i dati esfiltrati vengono messi in vendita e, in molti casi, rilasciati liberamente sul web. Parliamo di dati spesso sensibili e riservati, come quelli conseguenti ad attacchi a realtà sanitarie, scolastiche, istituzionali.

E poi, lo smartphone: un dispositivo elettronico ormai diventato indispensabile ed intimamente personale, dove conserviamo foto e video della nostra quotidianità, informazioni personali e riservate, conversazioni, accesso a home banking e strumenti finanziari/istituzionali, i dati raccolti automaticamente dai sensori di cui è dotato (giroscopio, bussola, gps…) e molto altro. La perdita di uno smartphone può rivelarsi un disastro in tema di privacy, soprattutto se non adeguatamente protetto. Secondo alcuni dati, parliamo di circa 70 milioni di smartphone persi, o rubati, ogni anno nel mondo. Avete impostato il PIN sulla SIM? Avete attivato il blocco automatico in caso di inattività? Avete protetto, con cifratura, i dispositivi di memoria interni e rimovibili?

Per finire, avete mai pensato alle conseguenze della videosorveglianza privata? Parlo delle migliaia di webcam e telecamere piazzate fuori e dentro gli edifici privati, le nostre case, che costantemente vigilano sul territorio. Dispositivi informatici a tutti gli effetti, nella categoria degli IoT, che se non adeguatamente protetti e configurati rischiano di esporre ad occhi indiscreti anche immagini che dovrebbero rimanere riservate. E’ sufficiente un giro su Shodan.io con un banale filtro per ottenere centinaia di flussi audio/video di interni ed esterni di private abitazioni, negozi, magazzini: una vera manna dal cielo per i “topi di appartamento”, così come per investigatori privati e curiosi vari.

Parliamo di un oceano di dati personali, informazioni sensibili e riservate, alla mercé di chiunque, usate come leva per compiere altri attacchi ai danni di ignari e inconsapevoli cittadini.

Le potenziali conseguenze sono disastrose, come è facile immaginare.

Siamo tutti potenziali bersagli, perché ognuno di noi colleziona dati non solo di sé stesso ma anche di tutti coloro che ci circondano: la rete di amicizie, di cui abbiamo informazioni di contatto, i colleghi di lavoro e partner commerciali, con cui scambiamo informazioni aziendali talvolta strategiche, la famiglia, la scuola, il medico curante e via dicendo.

Risultati di ricerca per webcam non protette esposte sul web

Proteggersi da queste minacce è difficile e ciò che chiunque di noi può fare è tentare di mitigare, al meglio possibile, le conseguenze. Chiaramente il primo step è la consapevolezza: il classico “non ho niente da nascondere”, “tanto qui non c’è niente di valore” e altre scuse simili non funzionano, come abbiamo potuto vedere. Ognuno di noi deve impegnarsi a implementare le misure di sicurezza commisurate al contesto di rischio, esattamente come già siamo abituati a fare per la sicurezza fisica. La cassaforte per le cose preziose, una porta blindata per la nostra casa, una normale serratura per lo scantinato. Nel mondo della Rete possiamo mitigare le conseguenze di un attacco prima di tutto adottando strategie di cyber-hygiene come credenziali di accesso diverse per ogni servizio, attivare l’autenticazione multi-fattore ove possibile, conservare gelosamente le password (un password manager è la scelta migliore), attivare un servizio di avviso per la violazione delle credenziali come haveibeenpwned.com, monitor.firefox.com o simile, imparare a non dare i propri dati personali a chiunque sul web (es. servizi web di dubbia reputazione). Come già sottolineato, proteggere adeguatamente tutti i dispositivi personali, all'immancabile smartphone al PC portatile e fisso di casa, usando la cifratura sui dispositivi di memorizzazione di massa e chiavi sicure per sbloccarne l’uso (P.S. avete idea di quante informazioni si possono recuperare, facilmente, da un hard disk senza protezione crittografica gettato nella spazzatura?).

Inoltre, evitare di installare applicazioni e software illegale o di dubbia provenienza, così come visitare siti web di streaming pirata che potrebbe contenere codice malevolo, soprattutto sui medesimi dispositivi dove conserviamo informazioni personali, credenziali bancarie, account e materiale istituzionale.

Come clienti, inoltre, possiamo e dobbiamo privilegiare le aziende che hanno particolare cura dei nostri dati personali, iniziando dal principio di minimizzazione (previsto inoltre dal GDPR): se acquisto un paio di scarpe, a cosa ti serve sapere la mia professione o il mio orientamento sessuale?

Come aziende e istituzioni, invece, l’attenzione al tema della protezione dei dati personali degli utenti deve essere una priorità organizzativa e procedurale, oltre che documentale. Vanno stanziate risorse adeguate, budget ragionevoli e strutture interne gestite da CISO che rispondono direttamente al Board o al Direttore Generale: la sicurezza informatica non è (più) un tema squisitamente tecnico, come abbiamo visto, ma abbraccia tutti i processi di business, compresi i fornitori esterni (mai sentito parlare di attacchi alla supply-chain?).

Siamo tutti bersagli e lo saremo sempre di più, nel Mondo dove le informazioni sono una preziosissima risorsa sia economica che politica. Cerchiamo, quindi, di non rendergli la vita troppo facile.