I PERICOLI DI INTERNET Regole di sopravvivenza nella giungla … · 2018. 3. 7. · I PERICOLI DI...
54
I PERICOLI DI INTERNET Regole di sopravvivenza nella giungla digitale Dott. Ing. Fabio Luca Maria Federici
Transcript of I PERICOLI DI INTERNET Regole di sopravvivenza nella giungla … · 2018. 3. 7. · I PERICOLI DI...
I PERICOLI DI INTERNET
Regole di sopravvivenza nella giungla digitale
Dott. Ing. Fabio Luca Maria Federici
Ø Sommario:
- Dati e confidenzialità- Credenziali d’accesso- Gestione dei sistemi- Programmi ed applicazioni- Social Network- Social Engineering
I PERICOLI DI INTERNET ...COMPORTAMENTI e REGOLE di SOPRAVVIVENZA
Internet è a tutti gli effetti come una moderna giungla, costellata di insidie e pericoli.
Come per ogni ambiente ostile, la regola d'oro è: PRUDENZA nel pensare, parlare ed agire.
Oltre a questa, vedremo alcuni comportamenti da mettere in atto per garantire la nostra sicurezza.
I PERICOLI DI INTERNET – DATI e CONFIDENZIALITÀ
In generale, i dati possono essere classificati, secondo il criterio di confidenzialità, come:
● Dati pubblici: dati di pubblico dominio, accessibile a chiunque
● Dati riservati (o confidenziali): dati il cui accesso è circoscritto all'interno di un gruppo di persone
● Dati segreti (o altamente confidenziali): dati il cui accesso è riservato a pochissimi soggetti
I PERICOLI DI INTERNET – DATI PERSONALI
I PERICOLI DI INTERNET – LE CREDENZIALI DI ACCESSO
● Per accedere a un qualsiasi sistema informatico, servono credenziali di accesso (username e password)
● Queste sono le chiavi per certificare la vostra identità nel mondo digitale
LE CREDENZIALI di ACCESSO – USERNAME e PASSWORD
● Lo username, o nome utente, è l'identificativo utilizzato per riconoscere un utente all'interno di un sistema
● Allo username possono essere legati ruoli e livelli di accesso ai dati
● La password, o parola chiave, è il codice di accesso con cui si convalida l'identità di colui che accede al sistema
● È solamente tramite la password che si garantisce l'autenticità di chi sta dietro lo username
LE CREDENZIALI D’ ACCESSO L’ IMPORTANZA DELLA PASSWORD
● Le password devono essere custodite gelosamente e con grande cura
● Il modo più semplice di rubare dati (es: foto) è rubare la password, per poi semplicemente accedere all'account
● Proteggere con cura le proprie password è un primo importante passo per difendersi da minacce, come ad esempio il Social Engineering
LE CREDENZIALI D’ ACCESSO TIPICI ERRORI NELLA GESTIONE DELLE PASSWORD
Alcuni errori molto comuni:
● Riportare la password in posti facilmente visibili (es: post-it sui bordi dello schermo)
● Uso di password estremamente semplici (es:123456, password, admin)
● La password più utilizzata nel 2017 è... 123456
● Usare la stessa password per più accountIn questo caso: rubata una, rubate tutte
Spesso questi errori vengono commessi tutti assieme, con risultati potenzialmente devastanti.
LE CREDENZIALI DI ACCESSO TECNICHE PER RUBARE PASSWORD
Alcuni esempi delle più comuni tecniche usate per rubare le password (e quindi gli accessi agli account)
● Tentare password “comuni”
● Forzare l'account con miriadi di tentativi (Brute Force Attack)
● Astuzia sociale e/o Social Engineering
● Phishing
● False pagine di login
● Packet sniffing
● Keylogger
LE CREDENZIALI D’ ACCESSO LA BUONA GESTIONE DELLA PASSWORD
● Ad ogni sistema la sua password
● Uso di lettere Maiuscole e minuscole
● Traslittera le parole, usando numeri e simboli (es: H3ll0 Fr13nd$)
● Schema mentale Es: BzCMggpcptt4! Come ci arrivo?
● Prendo le iniziali dei giocatori titolari della formazione Campione del Mondo 2006, Maiuscola per Capitano e Giocatori Salienti, minuscola per il resto. 4! finale perché è la quarta vittoria dell'Italia ad un mondiale.
I PERICOLI DI INTERNET STRUMENTI E GESTIONE
Abbiamo visto che esistono strumenti in grado di proteggerci, ma se non vengono gestiti in modo adeguato, il risultato diventa in buona sostanza questo
STRUMENTI E GESTIONE - CONFIGURAZIONI
● Si tende a disattivare strumenti come Antivirus e Firewall, perché rallentano o bloccano la navigazione
● Se questo viene fatto, è come se non avessimo queste protezioni
● Un antivirus/firewall disattivato è efficace come una guardia addormentata
STRUMENTI E GESTIONE - AGGIORNAMENTI
● I sistemi informatici invecchiano molto rapidamente
● Per mantenerli al passo con i tempi, vengono continuamente aggiornati
● Se i sistemi non sono aggiornati, affrontare minacce di ultima generazione può diventare molto difficile
SISTEMI E GESTIONE – LA BUONA GESTIONE
Due regole d'oro:
● Mantenere attivi i sistemi di protezione
● Mantenere aggiornati i sistemi di protezione ed i sistemi operativi
Facile, ma solo all'apparenza...
I PERICOLI DI INTERNET PROGRAMMI ED APPLICAZIONI
● Si possono trovare e scaricare da Internet ormai migliaia e migliaia di programmi ed applicazioni
● La proliferazione è aumentata in maniera esponenziale con l'avvento degli smartphone
● Ma, cosa sappiamo veramente di quello che scarichiamo?
Poco, veramente poco...
PROGRAMMI ED APPLICAZIONI … COSA VEDIAMO?
● Di un programma, vediamo l'interfaccia utente.
● Questa è solo una minima parte, la punta dell'iceberg
● L'elaborazione dati, la parte più grande, è nascosta ai nostri occhi
PROGRAMMI ED APPLICAZIONI … COSA SI CELA DIETRO LE APPARENZE?
● Anche senza intenzioni malevole, i programmi quasi sempre raccolgono ed elaborano dati a nostra insaputa
● Accessi, ricerche, posizioni, immagini... sono solo alcuni dei dati che un programma può gestire “dietro le quinte”
PROGRAMMI ED APPLICAZIONI TRAFFICO DATI
● I programmi scambiano tra loro moltissimi dati ma... lo fanno in maniera sicura?
● Se non vengono usati canali sicuri, chiunque può “mettersi in ascolto” mentre trasmettiamo i nostri dati
PROGRAMMI ED APPLICAZIONI ERRORI E VULNERABILITÀ
● Il programma perfetto non esiste
● Alcuni errori (bug) possono aprire dei punti deboli nelle nostre applicazioni
● Anche una piccola falla può esporre a grandi pericoli
PROGRAMMI ED APPLICAZIONI – REGOLE di BUON UTILIZZO #1
Programmi “sicuri e certificati”
● Scaricare da pagine “ufficiali”
● Chiedere informazioni a qualcuno più esperto
● Feedback utenti
Aggiornamenti e correzioni
● Usare versioni “vive” dei programmi
● Controllare periodicamente aggiornamenti e contenuti
PROGRAMMI ed APPLICAZIONI… REGOLE di BUON UTILIZZO #2
Canali di comunicazione “sicuri”
● http: NO
● https: OK
Strumenti di navigazione sicura
● Add-in protettivi
● VPN
I PERICOLI DI INTERNET – SOCIAL NETWORK
● I social network sono una delle classi di applicativi più utilizzate, sia da giovani e meno giovani
● Facebook, Twitter, Instagram... sono le nuove agorà digitali
● Ma sono anche posti sicuri? Assolutamente no
SOCIAL NETWORK - NETIQUETTE
La Netiquette è un insieme di regole che disciplinano il comportamento degli utenti in Internet
Anche se non formalizzate, sono regole ampiamente riconosciute nella comunità on-line
Il mancato rispetto di queste regole può portare l’utente «maleducato» ad essere cacciato dalla comunità: ban dell’account
SOCIAL NETWORK – NETIQUETTE #2
La Netiquette riprende l’educazione ed il senso civico in ambito on-line
Spesso siti e provider incoraggiano esplicitamente l’adesione alla Netiquette, e talvolta prevedono punizioni per chi non la rispetta
Questo tipo di controllo può essere un forte argine a comportamenti virtuali scorretti, quali spam, trolling, flames e addirittura cyberbullismo
SOCIAL NETWORK – PERICOLI PRINCIPALI
Gli utenti dei social network rischiano principalmente di incorrere in:
Interazione con utenti fittizi (falsi profili e BOT)
Cyberbullismo
Click-Baiting
Notizie false
SOCIAL NETWORK – ACCOUNT FITTIZI #1
● È spaventosamente facile creare un account fittizio sui social media
● Spesso basta avere un indirizzo email da utilizzare, un pizzico di fantasia, ed il gioco è fatto
● Diventa possibile per chiunque indossare il volto di qualcun'altro
SOCIAL NETWORK – ACCOUNT FITTIZI #2
● Addirittura, è possibile che dietro un profilo utente si celi un programma, detto Bot
● Questi Bot sono in grado di simulare i comportamenti di una persona sui social, a volte con una verosimiglianza sconcertante
● Riconoscere questi Bot spesso è tutt'altro che facile, anche se possibile ad utenti abbastanza esperti
● Il riconoscimento si basa spesso sull’individuazione di schemi ricorrenti
SOCIAL NETWORK – ACCOUNT FITTIZI #3
Per quali scopi vengono creati gli account fittizi
● Nel caso dei Bot, le applicazioni sono molteplici, e possono essere sia positive (es: servizi per fornire informazioni) che negative (es: spambot)
● Nel caso di account “fittizi” creati da persone, anche qui gli scopi possono essere molteplici, sia positivi (es: promozione prodotti) che negativi (es: truffe)
● Purtroppo, non di rado gli account fittizi vengono utilizzati per fare Social Engineering, portare avanti truffe o attacchi informatici veri e propri (Phishing, diffusione malware)
SOCIAL NETWORK – CYBERBULLISMO
● Può capitare che alcuni utenti vengano presi di mira da altri, per i più disparati motivi
● Il fatto di essere «nascosti» dietro una tastiera può portare a comportamenti scorretti con maggiore facilità
● Se non vengono fermati, i bulli virtuali possono danneggiare le loro vittime anche peggio che i bulli nella vita reale
SOCIAL NETWORK – CYBERBULLISMO #2
Come arginare il fenomeno?
● Un bullo è tale fuori e dentro il mondo Social Network
● Esiste la possibilità di segnalare utenti che portano avanti comportamenti scorretti
● I moderatori e gli amministratori delle pagine social hanno un ruolo chiave nell’arginare questa piaga
SOCIAL NETWORK – CLICK BAITING
Spesso vengono diffusi contenuti il cui scopo è invogliare a visualizzare determinate pagine
Possono essere video, pubblicità, notizie (spesso false). Hanno sempre titoli accattivanti e/o curiosi, il cui scopo è quello di invogliare l’utente a cliccare ed approfondire
Questa tecnica è nota come Click Baiting
Uno dei principali obiettivi è quello di aumentare gli accessi ad una pagina, spesso con scopi di lucro. Non di rado tuttavia si usa il Click Baiting per diffondere malware
SOCIAL NETWORK – CLICK BAITING #2
I titoli dei contenuti vengono creati a regola d’arte per adescare gli utenti
È possibile verificare se un sito fa tipicamente Click Baiting, con opportune ricerche sul web
SOCIAL NETWORK – NOTIZIE FASULLE
Molto spesso girano sui Social Network notizie completamente false e prive di fondamento
Non di rado si usano per fare clickbaiting
Vengono diffuse molto spesso per manipolare l’opinione pubblica, diffondendo idee spesso pericolose
SOCIAL NETWORK – NOTIZIE FASULLE #2
Possiamo individuare tre principali categorie di notizie fasulle
Falsi Satirici: finti articoli di giornale, ironici e/o satirici. Sono notizie palesemente false (o perlomeno, dovrebbero…)
Fabbricazioni serie: notizie false create con il preciso scopo di ingannare il lettore ed instillare un certo tipo di pensieri
Bufale su larga scala: notizie diffuse lentamente ma capillarmente, fino ad influenzare larghe fasce della popolazione. Uno dei più famosi (e dannosi) esempi è l’associazione autismo-vaccini
SOCIAL NETWORK – NOTIZIE FASULLE #3
Perché cadiamo così facilmente nella trappola delle bufale?
Spesso diamo una lettura molto superficiale della notizia
Anche quando ci prendiamo il tempo di leggerle, tendiamo a confermare le nostre idee piuttosto che metterle in discussione
Si tende a ricordare i fatti che confermano le nostre opinioni, scartando quelli che le contrastano
SOCIAL NETWORK – NOTIZIE FASULLE #4
Le notizie false sono spesso studiate per colpire la sfera emotiva
Si tende a sentirsi più competenti proprio laddove si è in realtà più carenti (effetto Dunning-Krueger)
La combinazione di questi fattori ha portato (e tuttora porta) a dei risultati incredibili
ESEMPIO: SAPEVATE CHE SPIELBERG HA UCCISO UN TRICERATOPO?
SOCIAL NETWORK – NOTIZIE FASULLE #5
Come difendersi? Non è per niente facile
Il segreto è: SPIRITO CRITICO
Diffidare dei sensazionalismi o degli allarmismi eccessivi
Difficile conoscere, facile dubitare
I PERICOLI DI INTERNET – SOCIAL ENGINEERING
Definizione (nell’ambito di sicurezza informatica): studio e manipolazione del comportamento individuale di una persona al fine di carpirne informazioni confidenziali e/o personali al fine di organizzare attacchi informatici
Si tratta di una tecnica di hackeraggio che punta tutto sul fattore umano. Questo la rende particolarmente insidiosa e spesso efficace
SOCIAL ENGINEERING – TECNICHE PSICOLOGICHE
Si usano tecniche psicologiche per manipolare il pensiero e l’azione del bersaglio
Autorevolezza: si induce a credere che un certo tipo di informazione provenga da una particolare azienda/ente governativo. Questo ne aumenta la credibilità.
Colpa: si induce il soggetto a sentirsi responsabile di aver provocato danno tramite il suo operato, spingendolo a fare quanto in suo potere per riparare ai torti causati e condizionando le sue scelte.
Panico: si crea una condizione che sconvolge la normale routine della vittima, suggerendo poi rapide contromisure per ritornare alla normalità
SOCIAL ENGINEERING – TECNICHE PSICOLOGICHE #2
Ignoranza: si sfruttano le scarse competenze del soggetto in determinati campi per indurlo a valutazioni e comportamenti errati
Desiderio: si fa leva sui desideri del soggetto per indurlo a visitare certi tipi di pagine
Avidità: si porta il soggetto a credere di poter conseguire facili guadagni
Compassione: ci si finge soggetti in difficoltà o enti benefici per far leva sui buoni sentimenti che animano il bersaglio
SOCIAL ENGINEERING – PRETEXTING
Si crea una falsa ambientazione e ci si immedesima in una certa entità, sfruttando alcuni dati acquisiti in precedenza (es: data di nascita, numero documento di identità).
Spesso chi attacca si spaccia per autorità quali polizia o banche, condizionando maggiormente la vittima nel rispondere alle domande che vengono poste.
La diffusione di Fake News può aiutare a rendere questo tipo di attacco molto più efficace.
A volte questo viene fatto per telefono, in modo da rendere il tutto ancora più verosimile per la vittima.
SOCIAL ENGINEERING – PHISHING
Tipicamente la vittima riceve una mail che assomiglia in tutto e per tutto un messaggio inviato da una persona fidata oppure da un’azienda/banca/ente molto noto.
La mail in questione contiene un allegato, o molto più spesso un link, che porta a scaricare malware.
In alternativa, può ridirigere verso una pagina che simula un preciso contesto (social network, homebanking) al fine di rubare credenziali
Può essere effettuato anche tramite telefono, simulando chiamate di call center, in tale caso è detto Vishing.
SOCIAL ENGINEERING – BAITING
Si lascia incustodito un dispositivo di archiviazione dati (es: Hard Disk, chiavetta USB) in un luogo comunemente frequentato dalle vittime
Questo è tipicamente infettato con malware che consentono successivamente all’hacker di introdursi o prendere il controllo dei sistemi infettati
Se questi oggetti presentano marchi o loghi «rassicuranti» (es: ditta in cui sta avvenendo l’attacco) le possibilità di successo aumentano
SOCIAL ENGINEERING – QUID PRO QUO
L’attaccante contatta telefonicamente la vittima, fingendosi fornitore di un servizio
Tipicamente viene simulata una chiamata da parte di un servizio tecnico o di helpdesk informatico
Se la vittima si trova in condizioni di reale difficoltà, o sa di aver causato qualche problema al sistema, cadrà più facilmente nell’attacco
SOCIAL ENGINEERING – TAILGATING
A differenza di altri attacchi, avviene nel mondo reale
L’attaccante finge di aver dimenticato password o dispositivo di accesso, e chiede aiuto ad un «collega»
Un altro metodo che può usare è di chiedere in prestito il PC della vittima, e sfruttare l’occasione per rubare i dati
Spesso l’attaccante si mostra cortese e gentile, offrendo anche doni alle vittime
SOCIAL ENGINEERING – COME DIFENDERSI
Alcuni consigli per difendersi:
Diffidare da mail o telefonate non richieste.
Non diffondere informazioni sensibili nella rete.
Controllare sempre le URL dei link, e non aprirle se non siete sicuri al 100% del contenuto.
Se si riceve un messaggio, documentarsi sul mittente.
Evitare di aprire allegati o file eseguibili di dubbia provenienza.
SOCIAL ENGINEERING – COME DIFENDERSI
Se pensate di essere vittime di attacchi di Social Engineering:
In azienda: comunicate il tutto al reparto IT ed ai responsabili della sicurezza.
Se fossero coinvolti dei conti bancari: contattate la banca di interesse e mettete sotto controllo il saldo e i movimenti.
Se sospettate il furto di una password, cambiatela in tutti i siti in cui la utilizzate.
Potete sempre denunciare l’avvenuto alle autorità competenti (es: polizia postale).
I PERICOLI DI INTERNET – TAKE HOME MESSAGES
Ogni cosa esistente ha una natura giovevole ed una nefasta.Quale di queste si manifesti, dipende dall’uso che se ne fa.
Antico detto vichingo
I PERICOLI DI INTERNET – TAKE HOME MESSAGES #2
"Crea, connetti e condividi il rispetto: un Internet
migliore comincia da TE"
"Crea, connetti e condividi il rispetto: un Internet migliore comincia da TE"
GRAZIE PER L’ ATTENZIONE
