Il vero pericolo per la sicurezza digitale? Probabilmente risiede nella parola stessa
Eccolo qua. Lui, quell’infame. Il vero pericolo per la sicurezza per le persone nell’era digitale. È lui che ogni giorno illude miliardi di persone di essere al sicuro mentre comunicano.
Da Luglio 2018 il GiGante di Internet ha detto che tutti i siti devono essere sicuri. Le WiFi con il lucchetto sono sicure. Cerca il lucchetto, dove c’è il lucchetto c’è la sicurezza che siano in funzione mezzi di protezione che assicurano la salvezza dei tuoi dati.
Gli esperti di sicurezza e marketing della sicurezza (soprattutto questi ultimi) hanno inculcato (rileggete bene la parola) nella testa delle persone l’illusione che andare su un sito su cui sia presente il lucchetto possa essere sinonimo di sicurezza e tranquillità. Quindi se vado su Internet e c’è il lucchetto verde, vado tranquillo: posso scaricare qualsiasi cosa, tanto sono al sicuro.
Ho la nausea solo per il numero di volte in cui ho scritto questa parola: sicurezza. Viene usata ormai talmente spesso da aver quasi perso completamente il suo significato.
Cos’è la sicurezza nel mondo digitale? Le definizioni sono importanti, quindi proviamo a definire cosa voglia dire poter usare uno strumento di comunicazione digitale in modo sicuro.
Potremmo dire che per una persona comune indichi la possibilità di utilizzare uno strumento di telecomunicazione (smartphone o computer) per accedere ad un servizio, diciamo un sito di e-commerce (andiamo a fare shopping!) con la ragionevole certezza che il sito che sto visitando sia veramente chi dice di essere?
Se facessi quindi shopping su Amazon, vorrei essere certo che sia veramente il mio negozio di fiducia e non una versione contraffatta. In conseguenza di tale certezza e fiducia, vorrei anche avere la certezza che i dati che sto trasmettendo, magari il mio indirizzo di casa e il numero della mia carta di credito, non fossero intercettati o manomessi mentre vengono trasmessi da uno smanettone inopportuno.
Il lucchetto è un placebo: se c’è allora è tutto a posto. Cosa potrebbe mai andare storto.
Diventare vittima in modo sicuro.
Nel 2016 PayPal ha fatto richiesta di revoca di 15.270 “lucchetti verdi”. Quasi tutti (o meglio, “solo” il 96,7%) erano siti che facevano “phishing”, quella fastidiosa pratica nella quale andiamo su sito internet ha le sembianze di quello originale e richiede di inserire nome utente e password o, meglio ancora, il numero di carta di credito.
Le caratteristiche di questi siti?
- hanno le sembianze e grafica, persino le informative dei siti originali, così da conquistare la mia fiducia
- hanno il lucchetto verde, quindi sono sicuri
- mi dicono che la mia sicurezza è a rischio, quindi si preoccupano per me!
15.270 siti Internet. Solo PayPal.
Nel 2013 è stata condotta una campagna di diffusione virus tramite la pubblicità di Yahoo Ads, servizio che visualizza quei meravigliosi banner pubblicitari che vanno a volte dall’inutile all'ossessivo. La diffusione dei banner era talmente vasta da colpire 27 mila computer all’ora. Anche in quel caso, le pubblicità erano trasmesse in modo sicuro, avevano il loro lucchetto.
Sfatiamo il mito del lucchetto
Il lucchetto è meramente un'icona che nasconde un significato tecnologico, ed indica essenzialmente due cose:
- che la comunicazione tra me (smartphone o computer) e il mio interlocutore (il sito di e-commerce o l’accesso alla rete WiFi) è cifrata in un qualche alchemico modo, ovvero che un “ascoltatore indesiderato” possa facilmente capire che cosa sto comunicando;
- che la comunicazione tra me e il mio interlocutore non sia stata alterata nel tragitto (ovvero che l’ascoltatore di prima non abbia manipolato le informazioni prima che arrivassero a me).
Punto.
State leggendo questo blog su en3py.net in questo momento, ma non avete modo di sapere se il server stia servendo solo questa pagina o magari sta inviando un virus o cercando di prelevare informazioni dal sito (per dovere di cronaca: no, non lo sta facendo - nda). Il lucchetto verde non lo direbbe in ogni caso: rimarrebbe maledettamente ed inutilmente verde.
Indica solo quello che ho scritto nei due punti precedenti.
Il lucchetto che vediamo nelle connessioni ai siti (quando le vediamo, perché sui telefoni non le mostra) o alle reti WiFi non dice nulla sulla reputazione di un sistema, sulla sua reale affidabilità, sul fatto che sia una fonte o accesso autorevole o legittimo. Non verifica se il sito stia inviando dei virus o se le informazioni da esso riportate siano vere.
Non significa che il lucchetto sia inutile, però sta fornendo un falso senso di sicurezza alle persone.
Le persone e la sicurezza digitale
Se parlaste con un esperto di sicurezza informatica, questi potrebbe trafiggervi con una quantità di termini e di minacce umanamente indescrivibile. Verosimilmente alla terza parola tecnica smettereste di ascoltare, alla decima iniziereste a programmare un omicidio.
Con “trafiggervi” avevo in mente il senso letterale.
La sicurezza informatica è un tema talmente complesso e articolato che persino molti “esperti” o “pseudo esperti” di settore non sanno da che parte girarsi (ovviamente io rientro nella categoria degli pseudo-esperti).
Digressione: il termine "information security" recentemente è stato oggetto di un'evoluzione, perché è molto più figo dire "cyber security". Probabilmente per il fatto di aver perso significato la parola "sicurezza", ora è affiancata da cose fantascientifiche come "cyber" o "intelligenza artificiale" a cercare di dargli un valore commerciale.
La realtà dei fatti è che le minacce sono dietro l’angolo. Le e-mail che cercano di ingannarci sono più credibili di quelle vere, vanno alla ricerca dei nostri dati personali, delle password o dei numeri di carta di credito.
Le informazioni personali sono una merce che ha un valore sul mercato nero: esistono dei veri e propri "supermercati" in cui è possibile comprarle (rigorosamente in Bitcoin o qualche altra valuta digitale).
Starebbe agli esperti di cui sopra lavorare intensivamente su queste problematiche ma non è oggetto del mio post di oggi.
Prendiamo l’esempio del WiFi
Il lucchetto de WiFi è più problematico.
Qualche mese fa mi è capitato di salire in metropolitana ed osservare un tizio salire davanti a me. Aveva uno zaino da cui spuntava un’antenna. Per curiosità ho acceso il WiFi del mio cellulare e ho visto una rete senza fili che si chiamava “MM Free Hotspot”. Era una rete senza lucchetto, ma santoddio diceva “Free Hotspot”!
Su YouTube è possibile trovare (troppi) tutorial su come intercettare il traffico di reti senza fili per tirare fuori dati come credenziali di accesso.
Le applicazioni installate nel telefono, normalmente, cercano gli aggiornamenti appena trovano una connessione WiFi disponibile, così da non consumare troppo il traffico a pagamento. Quando ci colleghiamo ad un access point o ad un hotspot, il telefono si ubriaca di informazioni e inizia a scaricare come un assetato appena uscito dal deserto. Nel fare ciò trasmette anche informazioni: nomi utente e password per accedere ai vari servizi per fare qualche esempio.
Embhé?
Immaginate di andare all’estero, in un paese di cui non conoscete la lingua. Vi affidate ad un interprete che incontrate all’aeroporto, che si offre di farvi da guida turistica gratuitamente. Egli fa da interprete e da mediatore nei vostri acquisti e nelle vostre visite. Tornati a casa scoprite che la carta di credito è stata prosciugata perché uno o più negozianti hanno addebitato più del previsto.
Per farlo ha conquistato la vostra fiducia: si è presentato probabilmente bene, in modo convincente, ed era gratis.
Realmente per acquistare un apparecchio che fa questo tipo di operazioni, in modo completamente automatico e tremendamente efficace, è sufficiente investire 200 EUR.
Non è vero, ho esagerato.
Ne bastano 100.
Quindi? Come proteggersi dal lucchetto del male?
Mentre scrivevo questo post ho provato a trovare una risposta a questa domanda finale, perché non volevo sembrare drammatico.
La triste realtà è che la persona comune non ha modo di proteggersi da questa piaga. E – mi infastidisce all’inverosimile dirlo – la colpa è del mercato stesso che crea queste soluzioni.
Qualcosa tuttavia sta cambiando, c’è chi vuole cambiare le cose e sta spingendo per farlo. Recentemente sono stato invitato a parlare con Watchguard di un’iniziativa che si chiama “Trusted Wireless Environment” e si tratta di un nuovo “prodotto”, ma un nuovo approccio al problema.
Un progetto che vuole introdurre un nuovo approccio al problema della sicurezza delle comunicazioni WiFi, perché le persone che lo utilizzano possano utilizzare tali servizi con fiducia e tranquillità. Un progetto che, come dicevo, non è un nuovo prodotto, ma che coinvolge il modo in cui i produttori di soluzioni di comunicazione realizzano i propri prodotti.
Il paradigma di cui ha bisogno il mercato è quello di offrire soluzioni che diano alle persone dei servizi che non mettano a repentaglio la loro fiducia in uno strumento di uso comune.
Le persone hanno il diritto di richiedere che un servizio così diffuso come il WiFi offra una ragionevole tranquillità nel suo utilizzo, non un "contentino" rappresentato da un lucchettino ben disegnato.
L’iniziativa di Watchguard permette di sottoscrivere una petizione per dare voce a questo diritto, perché non si tratta di creare un nuovo prodotto da vendere, bensì di far capire ai vari produttori (ed installatori) che sia necessario adottare un nuovo approccio che sia al passo con i tempi.
Perché un’altra tecnologia o prodotto che risolve il problema della sicurezza, veramente, oggi sarebbe solo un altro lucchetto. Più grosso. E probabilmente verrebbe comunque installato male.
Chi sono
Lavoro professionalmente nel settore IT dalla metà degli anni '90. Ho avuto occasione di sviluppare competenze orizzontali che mi hanno consentito di approcciare pressoché qualsiasi progetto IT. Dal 2005 il mio ruolo è stato principalmente quello di CTO in diverse realtà, da piccoli ISP a System Integrator.
Dal 2017 ho iniziato a lavorare su una nuova piattaforma per la protezione della Proprietà Intellettuale e Copyright, per la gestione e tutela di asset digitali, fondando una società che prende il nome di Rights Chain. La Missione della Società è quella di creare una piattaforma efficace per la gestione e protezione della proprietà intellettuale e delle informazioni digitali, nonchè di affrontare tematiche di carattere etico quali Reputazione e Privacy.
Referenze:
- 14,766 Let's Encrypt SSL Certificates Issued to PayPal Phishing Sites
- The 6 Wi-Fi Threat Categories You Need to Know About
- Solution Brief - Trusted Wireless Environment
Disclaimer
Questo articolo è scritto di propria volontà e le espressioni all’interno di esso sono strettamente personali, altresì rappresentano il punto di vista dell’autore. Opinioni e affermazioni riportate potrebbero non essere condivise dalle parti menzionate nell’articolo.
Per quanto riguarda le comunicazioni ufficiali, punti di vista od opinioni dei singoli marchi, l’unica fonte di riferimento è rappresentata dal sito internet ufficiale del marchio stesso.
11/05/2019 00:00:00