Spia nella Rete

La sicurezza. è stato detto, non è una decisione ma un cammino. Riccardo Meggiato ha messo in luce un aspetto della sicurezza meno passivo del solito: trovare informazioni che una normale ricerca con Google non rivela?

Tracciare la provenienza di una email sospetta? Verificare l’attendibilità di una fotografia? Anche questo vuol dire essere sicuri. E, per altri aspetti del tema, facciamo riferimento all’intervista che segue.

Apogeonline: In quarta di copertina di Spia nella Rete si parla di trucchi tecno-psicologici per rendere il tutto più credibile. Dai tempi di Kevin Mitnick, l’ingegneria sociale è diventata problematica fondamentale per la sicurezza dei sistemi. Oggi che il computer sta sempre con noi, in tasca se non al polso o in borsetta, l’ingegneria sociale è diventata più o meno rilevante?

Riccardo Meggiato: Molto, moltissimo, di più. Le tecnologie di attacco e intrusione si sono evolute, ma pure i sistemi che ci difendono. E sono così sofisticati e “sul pezzo”, che a un criminale informatico conviene puntare proprio sull’ingegneria sociale. Un esempio veloce: perché dedicare una rete di computer, per settimane o addirittura mesi, a craccare una password, se è possibile ottenerla ingaggiando una prorompente escort pronta ad adescare il pollo di turno ed estorcergliela con modi gentili, con qualche semplice telefonata e una foto sexy?

Si percepisce una grande esigenza di sicurezza, ma – a sentire i produttori di hardware e quelli di software – tutto è già blindato, supercifrato, ultrasicuro. Come mai questa discrepanza tra gli annunci, le funzioni a disposizione e la realtà fattuale?

Domanda splendida. I produttori di software e hardware di difesa vedono il mondo della sicurezza dal punto di vista tecnologico. Quindi è vero, se dicono che ci sono sistemi di difesa molto sicuri. Ma nel momento in cui sono messi in campo, poi vengono depotenziati, o a volte annullati, dal fattore umano. Posso mettere l’antivirus più sicuro del mondo nel computer, ma se poi credo a una email che mi dice di disattivarlo per godermi al meglio un video su come guadagnare moltissimo denaro in poco tempo, ecco che la tecnologia non conta più nulla.

Ci sono differenze effettive nel livello di sicurezza offerto dalle varie piattaforme tecnologiche, desktop, laptop, smartphone…?

Sì, nel modo più assoluto. I computer, Mac o Windows che siano (non cadetemi nello sbaglio di considerare i Mac più sicuri, non è così ormai da anni), rimangono tutt’oggi molto a rischio. Va molto meglio con gli smartphone: qui i dispositivi meno diffusi sono anche i più sicuri, quindi quelli basati su Windows Phone e i BlackBerry ante Android. Poi quelli iOS. Su Android, per esperienza, ci sono più rischi, ma più per il fatto che consente di scaricare di tutto e di più senza guidare i meno esperti.

Ma è solo questione di tecnologia? Gli intrusori di una volta facevano dumpster diving: trovavano informazioni preziose nella spazzatura delle aziende. Dobbiamo fare attenzione particolare alla nostra raccolta differenziata?

La criminalità informatica e le sue derivazioni dipendono sempre dal rapporto benefici/costi. Se un obiettivo è molto goloso, anche il buon vecchio dumpster diving può essere un’ottima idea. Se il piano mira invece a prelevare piccole somme da tanti utenti, allora si sparacchia nel mucchio e un approccio vecchia maniera non ha molto senso. Considera, però, che un criminale informatico ha la possibilità di effettuare un dumpster diving in chiave moderna: pensa alla quantità d’informazioni che lasciamo sui social. Enorme, molto più grande di quella che è possibile trovare nella spazzatura. E Spia nella Rete punta molto anche su questo aspetto.

Il piccolo manuale sulla sicurezza per il 2017.

Svelto: ho in tasca uno smartphone. Quali sono le prime tre priorità per sentirmi in sicurezza?

Spegnilo e sei a posto. Scherzi a parte, ti direi:

• Accertati di non essere collegato a un hotspot gratuito di cui non conosci l’affidabilità (hai presente tutte quelle belle reti free wifi che trovi scandagliando un aeroporto? Molte sono farlocche e messe in piedi per fregarti i dati).
• Disattiva il Bluetooth.
• Metteresti la mano sul fuoco che non hai installato app strane, stranamente gratuite, o che non hai prestato il telefono per qualche minuto a uno sconosciuto, per fargli fare una veloce telefonata d’emergenza? Se la risposta è no, ecco, valuterei la possibilità di ripristinare il telefono alle condizioni di fabbrica, che è un’opzione presente di sicuro nel tuo smartphone.

Nel libro si spiega come Google può aiutarci a reperire informazioni oltre la comune ricerca. Puoi fare un esempio?

Per motivi tecnici che spiego nel libro, Google memorizza temporaneamente anche pagine web che vengono poi cancellate. In molte investigazioni, o semplicemente per curiosità personale (pensa a una pagina di un blog che magari parla male di te e che poi “sparisce”), accedendo alla cache di Google è possibile recuperare quel materiale. Nel libro spiego molte tecniche come questa.

Qual è il caso di intrusione nella sicurezza più eclatante, bislacco, incredibile che ti sia accaduto di vedere?

Ho un’agenzia che si occupa di analisi informatiche forensi e indagini digitali e i casi strani sono quasi all’ordine del giorno. Di recente, uno studio di architetti ci ha contattato perché sospettava che un concorrente gli avesse rubato dei progetti. Perdevano gare e appalti, per poi accorgersi che il vincitore era sempre lo stesso e che questo proponeva progetti molto, troppo, simili. Il boss dello studio mi dice, per prima cosa, che il loro sistema informatico è supersicuro perché noi qui abbiamo tutti Mac. Così gli chiedo se avesse ricevuto email strane negli ultimi tempi e lui nega, a parte una email vuota. Mi faccio mostrare l’email ed effettivamente era vuota: nessun mittente, nessun messaggio, niente. Morale: una scansione del sistema con un antivirus ha fatto saltare fuori quattordici diversi trojan, che venivano utilizzati come programmi spia. Con un lavoro a ritroso, sono riuscito a collegare due di quei software malevoli con lo studio concorrente.

Come separare i timori concreti sulla sicurezza personale dalle teorie cospiratorie che fanno solo perdere tempo?

Ci sono due ordini di gradezza da considerare. Il timore per la sicurezza fisica o comunque relativa ai nostri beni. E poi quella in merito alla privacy, di cui parlo per prima. E qui, ahi ahi, caschi male: sono noto per avere un’opinione diametralmente opposta a quella di tanti colleghi, sia in ambito di sicurezza che giornalistico, forse perché collaboro spesso con le Forze dell’Ordine e vedo le cose anche dall’altra parte della barricata. Sono sincero: se vogliamo la sicurezza, dobbiamo scendere a grossi compromessi con il nostro concetto di privacy, che dopo aver vissuto anni di gloria si merita un bel pensionamento per lasciare spazio a una nuova, più moderna e morbida leva.

Un tema a me molto caro per esempio, è la protezione dei bimbi, tant’è che spesso mi trovo ad affrontare casi di pedopornografia online. Ti rendi conto che frotte di persone che invocano la privacy, terrorizzate dall’idea che un agente li osservi, e poi pubblicano su Facebook le foto dei figlioletti nudi? Il timore per la propria privacy è spesso rivolto proprio contro gli unici strumenti che vorrebbero tutelarci, mentre su social network o siti di shopping lasciamo qualsiasi informazione personale perché li troviamo più empatici e pronti a soddisfare le nostre esigenze. Che è come preoccuparsi di acquistare solo insalata biologica, mentre ci ingozziamo di patatine fritte.

In merito a una sicurezza più fisica, la regola è sempre la stessa: hai qualcosa da temere? Sei un VIP, ricicli denaro losco, sei un criminale che deve far perdere le proprie tracce? Allora hai buoni motivi per temere un attacco diretto e importante. Negli altri casi, in genere, corri rischi minori: certo, minore può essere anche ritrovarsi un conto bancario svuotato, ma spero di aver spiegato quel che intendo.

Il dubbio dell’avvocato del diavolo: ma se rubano un miliardo di password a Yahoo (che mica per niente va a sparire), perché dovrei mettere attenzione alla mia password, visto che l’anello debole del servizio spesso sta nella sede di chi lo fornisce?

Risposta breve: perché le Yahoo, grazie al cielo, sono sempre meno.

Risposta articolata: Yahoo è un caso molto particolare. Si tratta di un ex colosso del web che, anno dopo anno, è andato spegnendosi e impoverendosi. Un crollo verticale di una struttura enorme, e vecchia, porta a tagli drastici, e spesso questi tagli riguardano proprio i sistemi di sicurezza. Ora, immagina di avere un piccolo appartamento e di decidere di togliere l’antifurto per qualche motivo (è assurdo, lo so, ma lo è anche limitare gli investimenti in fatto di sicurezza!). Ovviamente è sbagliato, ma riusciresti comunque a tenere sotto controllo la casa, in un modo o nell’altro. Adesso immagina di avere a che fare con un condominio di dodici appartamenti, senza antifurto: è chiaro che se controlli un appartamento non puoi tenere d’occhio gli altri undici. I ladri troveranno sempre il modo di fregarti.

Yahoo è un dinosauro del web. A oggi, tante altre realtà a cui affidiamo i nostri dati sono molto ben protette. E poi, ti dirò: scegliersi una password decente non è così faticoso e aggiunge un livello di protezione in più per i tuoi dati. Davvero sei così pigro e lamentoso da voler rinunciare a un bel po’ di sicurezza in più? E poi ci preoccupiamo della privacy? Come vedi, si torna sempre lì.