In principio fu il Social Engineering

Profilazione, Big Data, pubblicità personalizzate, tutti temi molto in voga da qualche anno a questa parte, hanno un antenato comune: L'Ingegneria Sociale, dall'inglese Social Engineering. Per capire il significato di questa espressione bisogna tenere a mente che l'inglese "Engineering" ha un'accezione molto più estesa del corrispettivo italiano "Ingegneria": mentre quest'ultimo si riferisce quasi esclusivamente alla ben nota facoltà universitaria, cioè l'insieme delle capacità di trasformare le conoscenze in ambito scientifico e tecnologico in prodotti e servizi disponibili alla collettività, il termine inglese comprende anche le varie branche tecniche non necessariamente di livello universitario. Nel caso specifico, si intende la capacità di studiare il comportamento di qualcosa per intuirne il funzionamento interno; solo che il "Social" che viene prima ci precisa che il qualcosa sono le persone.

Di per sé, è una tecnica non recente, ma ovviamente l'avvento dell'informatica di massa l'ha resa particolarmente efficiente per via del numero elevato di elementi che possono esserne bersaglio, e la possibilità di effettuarla da lontano e in completo anonimato. In questa fase, la tecnica si poteva effettivamente considerare un attacco informatico, nel senso che c'era qualcuno che tramite azioni mirate ed ingannevoli cercava di indurre il malcapitato di turno a dare informazioni che altrimenti avrebbe tenute riservate, oppure a fare azioni a profitto dell'attaccante. Da quando poi c'è stato l'avvento dei social network, il fenomeno è esploso, tanto da specializzarsi in varie branche con scopi diversi e da diventare la fonte delle maggiori ricchezze moderne; ma in questo caso l'attacco mirato da parte di un malfattore è stato sostituito da una generale induzione alla condivisione selvaggia dei fatti propri attraverso prodotti e servizi apparentemente innocui ed utili (ogni riferimento a fatti reali è puramente... voluto!).

Cerchiamo di capirci meglio, andando nel concreto di qualche situazione.

Gli scopi più comuni sono:

• Furto d'identità
• Furto di password per accessi fraudolenti
• Ricatto
• Influenzare i comportamenti futuri

L'esempio più comune è il phishing, cioè la mail che induce ad inserire le proprie credenziali di accesso ad un servizio in un falso sito, per poi utilizzarle nel sito vero (se si parla della vostra banca, potete immaginare da soli l'effetto); sempre in tema di mail, esse sono il veicolo più utilizzato per la diffusione dei ransomware, cioè quei virus che cifrano i dati e richiedono un riscatto per la decifratura, attraverso allegati il cui presunto contenuto viene in qualche modo a scatenare il nostro interesse. Il più pericoloso attacco di questo tipo, soprattutto se perpetrato verso minori, è carpire la fiducia per poi abusarne (il termine non è scelto a caso: i casi di cronaca sono terrificanti).

Il vero scopo del post però è quelli di mettere in guardia rispetto alle tecniche passive, cioè a quelle che fanno uso dei dati che noi stessi rendiamo pubblici attraverso la nostra normale attività online.

L'esempio più lampante sono le innumerevoli foto fronte/retro postate sui social network delle carte di credito, così da rendere visibili tutti i dati che vi sono riportati: avete mai pensato che sono esattamente i dati che vengono richiesti quando fate un pagamento online? Quindi: foto postata, acquisto fraudolento in 5, 4, 3, 2, 1... (non ci credete che qualcuno sia così stupido? c'è un account twitter che retweeta questi geni...).

Simile è il caso del nostro codice fiscale, che racconta di noi tutti i dati anagrafici (e il furto d'identità è servito; per questo non vi lamentate quando vi chiedono la fotocopia della carta d'identità, e magari evitate di postarne una foto!).
Infine, i fatti recenti dimostrano che anche solo i like/mi piace/retweet e compagnia cantante forniscono indicazioni estremamente precise sulla nostra personalità, che poi vengono utilizzate per indirizzare i nostri comportamenti futuri, a partire dagli acquisti per finire al voto elettorale, attraverso informazioni personalizzate (e intendo: espressamente indirizzate ad una determinata persona).

Altra possibilità è quella di incrociare informazioni da fonti differenti: a me è capitato in più di un caso di intuire informazioni di persone che seguo su Twitter, ma che non conosco assolutamente di persona, basandomi solo su ciò è all'interno dei loro post (casi reali: ho trovato il cognome di un utente che aveva fornito solo il nome; per un altro ho capito dove vive; non si contano i casi di intuizione delle tendenze politiche). Ma il caso più comune e secondo me pericoloso è quello di fornire involontariamente indicazioni di quando si è lontani da casa (tipicamente, quando si è in vacanza, ma non solo), postando selfie appena scattati da cui è evidente risalire al luogo in cui ci si trova, che chiaramente non è quello in cui si vive; tenendo conto che ormai con l'intelligenza artificiale è possibile riconoscere posti anche molto poco comuni e da pochi, apparentemente insignificanti, dettagli.

L'errore più grave che si può commettere è quello di pensare che tutto ciò non riguardi noi: i malintenzionati non vanno per bersagli precisi, ma cercano nel mucchio di cui noi tutti facciamo parte. Il mio consiglio, prima di condividere anche la più più innocente delle informazioni, è chiedersi: a che scopo può essere utilizzata a mio danno? Ricordandoci poi che internet non dimentica.

P.S. Mai, MAI, MAI utilizzare informazioni personali per scegliere le vostre password!!!

NO, I DON'T WANNA CRY!!!

Spero almeno questa volta che tutti sappiano di cosa parliamo: il famigerato virus soprannominato WannaCry ("voglio piangere": un premio all'inventore del nome), che ha creato scompiglio negli ultimi giorni in un po' tutto il mondo.

Cosa è successo, è stato abbondantemente raccontato, anche se coi consueti toni sensazionalistici e più o meno grandi inesattezze, anche dai giornali generalisti: il virus cifra tutti i file importanti dei computer (rigorosamente Windows, questa volta) rendendoli inservibili, richiedendo un riscatto per decifrarli; la diffusione avviene via rete grazie ad un errore presente nell'implementazione di un servizio, peraltro noto e risolto lo scorso marzo.

Ciò che voglio sottolineare è che al di là dei già citati toni sensazionalistici, ciò che dominava nelle notizie era la sorpresa: come è potuto succedere una cosa del genere? Inaudito! Peccato che non a tutti la cosa suona come nuova: per esempio, in questo interessante post dello scorso dicembre, più o meno tutto veniva preannunciato, sottolineando come i ransomware (la classe di virus a cui appartiene WannaCry) sono, già da qualche anno, il più grosso pericolo che circola nella Rete mondiale (il fatto che l'autore del post sia il sottoscritto è, ovviamente, puramente casuale... 😊).

I più attenti dei miei 7 o 8 lettori noteranno che non avevo previsto tutto: per esempio, non avevo previsto lo sfruttamento del baco (ma già citavo la possibilità di infezione da computer a computer via rete). In effetti un errore l'avevo commesso: tra le raccomandazioni che già ponevo alla vostra attenzione, non c'era quella di tenere aggiornato il sistema operativo; ed in effetti, confesso di essere stato io per primo mancante (nessuno è perfetto). Ma il punto fondamentale di questa storia non è nemmeno questo, o il baco, o il ruolo dell'NSA, o chissà cos'altro: è invece il fatto che il punto di ingresso dell'infezione, nei sistemi di un particolare ente, era il servizio accessibile da chiunque nel mondo, perché esposto su internet! La base di tutte le protezioni informatiche è il filtraggio delle connessioni di rete (soprattutto quelle pubbliche, cioè attraverso internet, tramite un sistema chiamato firewall), impedendo tutte quelle non indispensabili. Scommetto che molti non sanno di cosa sto parlando; e scommetto pure che si stupirebbero, scoprendo che sul router che avete installato a casa per la connessione internet, il firewall è presente; e scommetto anche che nella stragrande maggioranza dei casi, è disattivato. Se tutto ciò è vero, di che che potete lamentarvi? Il virus ve lo me-ri-ta-te!

Finita la filippica, passiamo ora ai consigli. Lo faccio attraverso un esempio molto pratico, cioè quello che abbiamo fatto (io e soprattutto i miei collaboratori) in azienda.

Ovviamente avevamo un firewall; ovviamente non avevamo quel servizio esposto fuori della rete aziendale; ovviamente avevamo i sistemi operativi che si aggiornano automaticamente; ovviamente avevamo gli antivirus aggiornati; ovviamente avevamo i backup giornalieri. Tuttavia, la sicurezza assoluta non esiste. Il virus poteva infettare un computer portatile aziendale mentre si trovava fuori dalla nostra rete, durante il fine settimana; una volta rientrato in azienda lunedì, poteva infettare tutto l'infettabile, cioè quei sistemi per cui gli aggiornamenti, per un motivo o per un altro, non si erano installati o non erano ancora applicati. Per cui abbiamo speso la mattinata a fare ulteriori (rispetto al consueto) controlli a tappeto sugli aggiornamenti dei sistemi operativi, dell'antivirus, dei backup, dei firewall dei portatili, etc. Risultato: non proprio tutto tutto era a posto (ora lo è), ma abbiamo avuto la fortuna che niente è successo; ad ulteriore dimostrazione che bisogna sempre pensarci prima. Anche perché se questa volta sono stati utilizzati questi veicoli di infezione, la prossima volta sarà qualcos'altro; ed il rischio concreto è di scoprirlo quando è troppo tardi. Purtroppo, nulla va trascurato, bisogna ridurre i rischi al minimo possibile in ogni momento.

Ricapitolando:

• mantenete aggiornati i sistemi operativi e l'antivirus
• attivate le protezioni di rete (firewall) ovunque possiate
• non vi fidate degli sconosciuti (sì, esattamente come quando eravate bambini), ancorché digitali
• fate (e mantenete aggiornati) i backup
• e soprattutto, informatevi!

P.S. Odio avere sempre ragione.

Il pericolo ransomware

La settimana che sta finendo ha portato agli onori della cronaca, almeno quella di settore, 2 episodi gravi: l'attacco che ha mandato offline milioni di utenti internet in Germania, e il ricatto informatico subito dalla Metropolitana di San Francisco. Sul primo non spendo parole in quanto ripropone lo stesso tema già trattato nel mio primo post. Sul secondo invece vale la pena di soffermarsi, anche perché personalmente lo ritengo il pericolo maggiore a cui siamo sottoposti tutti noi internauti, in questo momento storico.

Il ricatto in questione avviene attraverso una categoria particolare di virus, denominato "ransomware" (ransom in inglese è appunto ricatto), il quale agisce rendendo il nostro dispositivo in qualche maniera inservibile, e pretendendo soldi per "sbloccarlo". Il pagamento, per quanto mi riguarda, non è un'opzione: intanto perché si andrebbe ad alimentare il giro criminale ed a renderlo ulteriormente appetibile; inoltre, il pagamento normalmente è piuttosto complesso (viene richiesto di effettuarlo in bitcoin, una moneta virtuale ma dal valore reale, attraverso la cosiddetta "darknet", cioè quella porzione di internet usata soprattutto, non a caso, per commettere crimini).

Nella mia esperienza, una volta colpiti, resta poco da fare: estirparlo è complicato, e quasi sempre è necessario reinizializzare completamente il dispositivo, operazione lunga e non alla portata di tutti. In più, i dati spesso vengono persi, per effetto della reinizializzazione o perché vengono cifrati (è infatti questa la tecnica più diffusa per il blocco). In rari casi (solo se  i criminali sono degli sprovveduti) esiste la possibilità di decifrare i file; ma è comunque un'operazione non banale e lunghissima.

L'unica possibilità è difendersi ed essere pronti a questa eventualità.

La prima  e più importante difesa è il nostro comportamento! I ransomware (e più in generale tutti i virus) al giorno d'oggi si diffondono come allegati alle mail, come falsi avvisi di sicurezza o finti programmi da scaricare che si trovano sui siti web (attenzione: non solo quelli pornografici o per trovare materiale privato, capita anche su siti assolutamente normali), sulle chat, e solo raramente diffondendosi via rete da un dispositivo ad un altro. Esistono anche altri metodi di diffusione, ma in ogni caso è assolutamente necessario che siamo tutti in grado di riconoscere questi pericoli e quindi evitare di fare operazioni di cui non siamo assolutamente certi. Non dobbiamo  fidarci se non delle fonti che conosciamo con assoluta certezza, sapendo che i criminali fanno a gara per trovare il modo di confonderci e ingannarci! In definitiva, mai fidarsi, su internet.

Dal punto di vista tecnico, le difese ci sono. La più ovvia è l'antivirus: averlo e tenerlo aggiornato è indispensabile! Ma anche il miglior antivirus ha delle limitazioni, la prima delle quali è che tra l'uscita di un nuovo virus e l'aggiornamento che lo riconosce passano alcune ore, durante le quali siamo indifesi (succede; esperienza personale).

Ma cosa facciamo se tutto ciò non basta? Mettiamoci l'animo in pace e ripartiamo da zero. In realtà se siamo stati previdenti possiamo non ripartire proprio da zero, e limitare i danni in termini di tempo e dati persi. Essere previdenti significa avere salvato il contenuto del nostro dispositivo da "un'altra parte": i backup. Argomento questo talmente importante da meritare un post dedicato. Adesso mi preme sottolineare che dobbiamo averci pensato prima che si presenti il problema. Tra poco quel "prima" potrebbe diventare "tardi".