Skip Navigation

Vademecum di Privacy & Sicurezza - pt1 Sicurezza

Post originariamente condiviso su Reddit, che ora ho eliminato e trasferito qui.

Siccome i due argomenti sono in realtà distinti, in questo primo capitolo parleremo esclusivamente di sicurezza e nel prossimo, se ci sarà interesse, parleremo invece di privacy.

Introduzione

Prima di tutto, è importante far presente che la sicurezza non è una metrica binaria, ma è uno spettro. Esistono misure di sicurezza graduali, che vanno applicate a contesti diversi, sulla base di valutazioni di merito. Ogni misura di sicurezza, che possiamo chiamare "controllo", ha un costo: economico o di usabilità. Per questa ragione, è importante che i controlli di sicurezza adotatti siano adeguati al livello di rischio, di competenze e di compromessi che ognuno di noi possiede o è disposto ad accettare.

Nel campo della sicurezza informatica esiste un concetto che si chiama "Threat Model", cioè modello di minaccia. Questo è un processo che in realtà facciamo istintivamente tutti i giorni, identificando alcune cose che vogliamo proteggere (asset), chi vuole mettere in pericolo quelle cose (threat actor) e cosa queste persone possono fare (threat). Una volta identificato ciò, si passa a cosa possiamo fare per prevenire tali minacce (control). Il classico esempio pratico è quello della casa e dei ladri. Io posso avere degli oggetti molto preziosi e voglio proteggerli dai ladri. A questo punto inizio a pensare all'argenteria della nonna come asset, e a chi può volersene impadronire o danneggiarli. Sicuramente una possibile minaccia sono i zingari i ladri, ma non l'unica: magari avete un maggiordomo dentro casa del quale non vi fidate e avete paura che li rubi, oppure la vostra collaboratrice domestica non è molto esperta, e avete paura che lavi l'argenteria col prodotto sbagliato e la rovini. A questo punto, abbiamo:

  • Asset: l'argenteria di pora nonna
  • Threat actor: i ladri, il maggiordomo, la collaboratrice domestica
  • Threat: furto in casa con effrazione, furto in casa (da dentro) e danno da lavaggio improprio

Possiamo dunque stabilire alcuni controlli, per esempio:

  • Chiudere la porta a chiave ogni volta che si esce, e chiudere le finestre e tirare giù le serrande (per mitigare il furto con effrazione)
  • Nascondere l'argenteria quando il maggiordomo lavora (per mitigare il furto da dentro)
  • Dare esplicite istruzioni alla collaboratrice domestica di non lavare l'argenteria

Questi non sono che alcuni esempi, e non essendo esperto nel gestire un castello di fine '800 potrei sbagliarmi. Tuttavia, perchè parlare di tutta questa roba in un post che dovrebbe essere sulla sicurezza informatica?

Perchè questo processo è più o meno quello che ci dovrebbe guidare quando decidiamo "fino a che punto" spingerci nella nostra missione sulla sicurezza. Molte persone non hanno competenze tecniche sufficienti per fare questo tipo di analisi, non sanno quali minacce esistono, nè che tipo di attori operano nel mondo, perciò si devono fidare di Aranzulla o - in questo caso - di stronzi come me.

Motivazione

La motivazione principale per la quale nel 2023 dobbiamo prenderci cura della nostra sicurezza (e di quella di chi ci è vicino e non sa come fare) è che ovviamente la nostra vita si basa più e più su attività digitali. Avere gli account violati (magari con contenuti privati), vedersi una carta di credito rubata o cose simili sono tanto all'ordine del giorno quanto una tragedia, specie per persone povere e che non hanno i mezzi per difendersi. Per quanto spesso ciò si traduce in conversazioni con i miei genitori che mi permettono di palleggiare con lo scroto come Cristiano Ronaldo, è responsabilità di chi ne sa di più aiutare chi ne sa di meno a proteggersi, perchè mentre chiunque sa cos'è una chiave o una serratura, nel mondo digitale molte persone vivono completamente nell'oscurità.

Metodologia

Questo manualetto sarà strutturato in maniera molto semplice: 3 livelli, da quello base a quello avanzato. Ogni livello presuppone un certo modello di minaccia e corrispondenti controlli. I dettagli diminuiscono al crescere del livello, perchè per chi ha un livello sufficientemente avanzato, post come questo sono sostanzialmente inutili.

Ovviamente la qui presente guida non è completa, ci sono ovviamente altre cose da aggiungere, ma l'obbiettivo è quello di gettare le basi. Se dovessi essermi perso qualcosa di sostanziale, lo aggiungerò con un EDIT (dando opportuno credito).

Livello 1 - Piccole accortezze sulle attività quotidiane

Attori: Principe nigeriano che vi manda le email, 15 enne curioso che abita nella casa accanto. In altre parole, criminali informatici che fanno pesca a strascico senza grandi competenze.

Minacce: Attacchi in genere poco sofisticati e non diretti specificatamente contro di voi. Scam via email, phishing piuttosto ovvio, vicino che vi scrocca il WiFi, Malware scaricato sorprendemente aprendo VideoDiBelen-LoSaiQuale.exe. Account compromessi grazie ad altri data breach (un sito viene compromesso -> le vostre credenziali vengono rivelate -> account su altri siti dove usate quelle credenziali vengono compromessi).

In questo livello ci concentriamo sulle basi. Questo è un livello a cui tutti possono aspirare, specie se siete su Reddit Lemmy a leggere. Adottare le pratiche scritte qui richiede pochissimi cambiamenti delle proprie abitudini, quasi nessun servizio aggiuntivo (a pagamento o meno) e consiste principalmente nell'essere al corrente dei rischi esistenti e nell'adottare controlli facili e comodi. La comodità è la chiave, perchè chi è a questo livello non ha in genere il minimo interesse verso la sicurezza, non percependone i pericoli.

Password

Password semplici, facilmente indovinabili e riutilizzate sono il modo più facile con il quale i vostri account preferiti sono violati. Usare password solide tuttavia richiede notevole sforzo, quindi prima di parlare di come le vostre password dovrebbero essere da 64 caratteri, parliamo di come rendere tutto ciò non solo facile, ma più comodo di ora.

Esistono dei programmi, chiamati password manager (gestori di password), che si comportano come delle casseforti: hanno una chiave (la password principale) e dentro contengono un sacco di altra roba preziosa (le vostre password, i numeri delle vostre carte di credito/debito, etc.). Personalmente, non posso che raccomandare Bitwarden, ma ce ne sono altri, come 1password, Keepass, etc.. Altre opzioni potete trovarle qui, Googlando o chiedendo allo schiavo pagato 2 euro/1000 parole ad Aranzulla.

Il primo passo è quello di creare un account sul password manager di vostra scelta, usando una password lunga, ma facile da ricordare. Questa è l'ultima password che dovrete ricordarvi nella vita, perciò sceglietela bene. Se state pensando ad una qualsiasi password già usata da un'altra parte, PEEEH, no. Una password che non avete mai usato, lunga, possibilmente con un paio di maiuscole, numeri e se ci esce qualche simbolo. Almeno 16 caratteri. Potete usare una passphrase, cioè una frase con parole a caso che potete ricordarvi. Tipo "finisci edoardo di dare il tonno!", che potete ricordavi pensando alla prima lettera di ogni parola: feddit.

Una volta creato un account, prima di fare qualsiasi cosa, installate l'applicazione sui vostri computer, telefoni e -nel caso di Bitwarden (come in molti altri casi)- il plugin del browser corrispondente.

Da oggi in poi, ogni volta che create un nuovo account, lo farete mettendo prima le informazioni nel password manager, usando il generatore automatico che questo vi offre per le password, generando password da 100 caratteri casuali, inclusi numeri, simboli e maiuscole dovunque potete, e occasionalmente limitandole al numero massimo di caratteri permessi. Questo non perchè 100 caratteri sono tanto meglio di 20 o 30, ma perchè con 100 caratteri sapete che non avrete mai la capacità di ricordarvele e quindi non sarete tentati. Ogni sito dovrà avere una password unica: non dovete ricordarvele, non c'è guadagno nel riutilizzarle.

La parte noiosa consiste nel riempire il password manager con tutte le password che avete in giro. Per questo, ci sono varie opzioni: la prima è che, se usate le funzioni di Chrome/Firefox per salvare le password, potete esportarle e importarle in molti password manager (nota, una volta fatto, smettete di salvare le password nel vostro browser!). La seconda è che quando fate il login in un sito, aggiungete la password al manager (molti manager ve lo chiederanno loro se volete salvare le credenziali). Il mio consiglio è una terza via, nella quale se state per fare il login in un sito/applicazione, usate la funzione "password dimenticata" e cambiate la password, salvando quella nuova nel manager. Questo farà in modo che in relativamente poco tempo avrete sia le password nel manager, sia password sicure ovunque.

Ovvia domanda? Ma che palle, ogni volta che devo fare un login devo entrare nel manager e copiare la password? Si, ma è più facile di così. Prima di tutto, una volta "sbloccato" il manager, questo rimane aperto per qualche tempo (configurabile). Secondo, sia su telefono che su computer, il password manager può compilare i form al posto vostro. Ciò significa che con una password (quella del manager), vi risparmierete lo sforzo sia di ricordare le altre password, sia di doverle scrivere!

C'è anche un punto bonus! Per sapere in quale sito usare quale password, i manager in genere vi permettono di associare ad ogni entrata uno o più URL (indirizzi). Non solo questo permette al manager di proporvi le password giuste da auto-compilare (tipo quella di Facebook se state su Facebook.com), ma è anche un ottimo modo per evitare di subire phishing. Se siete abituati a farvi autocompilare la password e un giorno il manager non ve la propone, è possibile che l'indirizzo non corrisponda perchè qualcuno vi sta provando a fregare (tipo fac3book.com).

Ricordatevi non c'è modo di recuperare la password del password manager, perciò dovrete ricordarvela. Se proprio non ce la fate, scrivetevela e mettetela in un posto sicuro dentro casa, ma non lo diciamo a nessuno.

Email

Un altro dei modi più comuni con il quale finiamo sotto attacco sono le email. Di solito, la maggior parte dei filtri anti-spam riescono a beccare gran parte delle email di phishing o simili, ma ciò non accade sempre. Perciò, quando ricevete una mail, ricordatevi poche semplici accortezze:

  • La maggior parte degli attacchi vogliono farvi cliccare su qualche link che vi porterà a una qualche pagina di login. Se voi metterete le vostre informazioni lì dentro, quelle verranno compromesse.
  • Prima di cliccare un link, assicuratevi di controllare dove questo punti. Per farlo, basta passarci sopra col mouse e guardare in basso a sinistra. Se una mail della banca punta a "http://propriolatuabanca.it.tk", è giusto insospettirsi.
  • Se la mail consiste in ricatto, premio, trasferimento di denaro, prodotto acquistato (che non ricordate), eredità o in genere vi sembra che voi abbiate molto da guadagnarci o da perderci, e c'è un grande senso di urgenza, la probabilità che sia una truffa o un tentativo di phishing è molto alta.
  • Controllate il mittente. Una mail della banca verrà da [email protected], non da [email protected].
  • Le mail di truffa in epoca pre-ChatGPT avevano spesso errori di grammatica e altro, questo probabilmente ora non sarà più il caso, ma comunque tenete a mente che le poste difficilmente faranno grandi errori di grammatica 20 volte in 10 righe.
  • Le email che non vogliono farvi cliccare su link vari, vogliono che voi scarichiate degli allegati. Questi sono di solito file Word, PDF o Excel. La regola qui è semplice. Non scaricate mai un allegato (ma soprattutto non apritelo) a meno che non siete sicuri al 100% che la mail venga da un mittente fidato. Se siete nel dubbio, non apritelo. Se non ve l'aspettavate (una fattura ma non avete fatto acquisti), non scaricatelo.

Scaricare File

L'ultimo vettore di compromissione è quello di scaricare file a caso via internet. Magari state cercando un film, magari un crack di un programma (non vi giudico), quello che sia. A questo punto, siate coscienti che scaricare file a caso da internet pone gli stessi rischi di scaricare allegati a caso. Windows di default usa Defender, che è un antivirus tutto sommato decente, e probabilmente vi avviserà se qualcosa va storto. Nella consapevolezza che un antivirus non beccherà tutto, aprite con cautela. A volte le crack richiedono explicitamente di disabilitare l'antivirus. Ecco, se fate questo genere di attività, passate al livello 2.

Ricordatevi che un film, canzone, etc. non sarà mail un file .exe, .vba, .doc o .xls (e simili). Non aprite mai un file che ha un'estensione che non vi aspettate. Se siete in dubbio, googlate l'estensione.

Antivirus

Come citato nella sezione precedente, avere un antivirus aggiornato può essere efficace contro semplici attacchi. Assicuratevi che l'aggiornamento sia configurato in automatico e che Defender sia attivo. Se non usate Windows dovrete usare un prodotto esterno per la vostra piattaforma (è Mac, lo so).

Password del WiFi

L'ultimo suggerimento, che è già molto meno importante degli altri, riguarda la password del WiFi. Assicuratevi che questa sia lunga e che non sia quella di default che vi hanno dato insieme al router. Le configurazioni di default dovrebbero essere sufficienti, ma cambiare la password non è un'operazione banale, e se non siete in grado di farlo potete farvi aiutare dal supporto del vostro fornitore.

Riassunto

  • Usate un Password Manager, che vi permette di usare solo password lunghe e sicure, e che compilerà le password per voi.
  • Diffidate di email con link o allegati, che vi chiedono di fare qualcosa di urgenza, che non provengono da indirizzi fidati
  • Non scaricate file a caso. Se trafficate con attività che richiedono di disabilitare l'antivirus, passate al livello 2. Non aprite file con estensioni che non conoscete o vi aspettate.
  • Usate un antivirus, su Windows Defender basta. Tenetelo aggiornato.
  • Se riuscite, cambiate la password del WiFi con qualcosa di più complesso.

Livello 2 - Sforzo Personale nella Sicurezza

Attori: Scammer più dedicato, autori di malware di massa, autori di siti malevoli.

Minacce: Truffe più sofisticate, spear phishing, siti vulnerabili e o malevoli, malware in file disseminati su Torrent etc.

In questo livello ci sarà uno sforzo attivo nel sacrificare un minimo di comodità per avere migliore sicurezza e si utilizzeranno servizi esterni, che fanno gran parte del lavoro per noi. Siccome le competenze di chi è a questo livello sono più alte, il livello di dettaglio viene ridotto.

Password

  • A questo punto ogni sito che abbia valore deve essere configurato con un secondo fattore di autenticazione (2FA). La preferenza è sul TOTP (Authy > Google Authenticator) piuttosto che SMS/Email.
  • Periodicamente controllate su https://haveibeenpwned.com se la vostra email è comparsa in una qualche data breach (molti password manager offrono il servizio integrato). In quel caso, cambiate la password per quel sito, ovviamente. La password non dovrebbe essere utilizzata altrove avendo completato il livello 1.

Plugin del Browser

  • Potete usare noscript per bloccare il codice Javascript di molti siti. Spesso i siti non funzioneranno, e dovrete disabilitare noscript a mano. Fatelo per i siti di cui vi fidate.
  • Installate uBlock Origin o Ghostery (o quello che preferite).
  • Potete installare VT4Browsers, l'estensione di Virustotal, che permette di fare la scansione al volo di link mentre navigate.

Email & File Scaricati

  • Prima di aprire allegati o file scaricati, se non siete certi del contenuto, fate uno scan manuale del file su Virustotal o con il vostro antivirus di fiducia.
  • Per registrarvi a siti a caso, usate indirizzi di posta "unici". Con gmail potete usare il trucco del punto o del "+": nome.cognome = n.o.m.e.cognome = nome.cognome+testo. A volte alcuni siti si rompono con le email con il "+" (specie quando uno vuole cancellare la sottoscrizione alle email). Questo non solo rende più facile individuare chi vende i propri dati, ma riduce un minimo la probabilità di associare facilmente indirizzo email/password a voi nei diversi account. Chiaramente se utilizzate le mail col vostro dominio la cosa è ancora più facile. In più, potete mandare in spam email che arrivano all'indirizzo con il quale vi registrate sui siti più "mondezza".

WiFi & Rete Domestica

  • Assicuratevi che il router usi WPA2.
  • Disabilitate WPS e UPnP.
  • Aggiornate il router periodicamente.
  • Verificate che non ci siano porte esposte sul router (che non siete sicuri debbano essere lì).
  • Potete configurare come DNS https://nextdns.io/, e configurarlo per bloccare domini noti per essere malevoli (300.000 query gratuite, 2 euro/mese con query illimitate).
  • Usate una VPN fidata (cioè che pagate) quando vi connettete a reti sconosciute (WiFi del caffè, aereoporto, etc.).

Altro

  • Backup dei propri dispositivi. Servizi come b2 rendono lo sforzo abbastanza semplice. I backup non sono solo importanti in generale, ma sono indispensabili nel caso si finisse vittima di ransomware. Un backup nel cloud a questo livello è sufficiente.
  • Cifratura del disco di ogni dispositivo con informazioni sensibili, specie laptop e telefoni.
  • Riduzione del tempo di durate delle sessioni, per esempio il timeout del password manager.

Livello 3 - Prendere in Mano la Situazione

Attori: Criminali informatici che vi prendono di mira

Minacce: Attacchi contro il vostro particolare modello di hardware (es. router), spear phishing avanzato (tramite social media, OSINT, reclutamento lavorativo), attacco fisico (pedinamento, furto di dispositivo etc.).

In questo livello si prende in mano la responsabilità per alcuni controlli, implementando soluzioni ad-hoc, in particolare nella rete domestica. Chiaramente qui il limite è la vostra paranoia, la lista qui serve solo a dare qualche idea.

Misure di Sicurezza

  • DNS con DNSSec e liste di malware bloccate, dentro casa (nextDNS oppure DNS locale con liste aggiornate).
  • VPN sul telefono che si connette alla linea domestica (se opportuno) per beneficiare dei controlli della stessa.
  • Sistema Operativo/Firmware più avanzato sul router domestico (pfsense, openWRT, uniFI, etc.), con VPN, malware blocking, supporto VLAN e configurazione firewall più avanzata.
  • Dispositivi IoT su una VLAN separata, possibilmente senza accesso a internet se non lo stretto necessario, e solo in uscita.
  • Dispositivi sensibili su una VLAN separata.
  • Rete WiFi su una VLAN separata, con VLAN aggiuntiva per la rete degli ospiti.
  • IDS out-of-band o IPS (se siete coraggiosi) sul perimetro di rete, con alert.
  • Yubikey o simili dispositivi di sicurezza fisica come secondo fattore di autenticazione.
  • Codici TOTP salvati sulle Yubikey (o dispositivi simili) per evitare che il telefono rappresenti un rischio in caso di furto (contiene i codici TOTP).
  • Passcode sul telefono (e non gesture o PIN).
  • File scaricati da internet su una sandbox (VM isolata, detonation chamber, etc.) e scansionati.
  • Continua informazione sul panorama delle minacce informatiche, per prendere eventuali contromisure straordinarie in maniera rapida (es., recente compromissione di CircleCI con binario per Mac -> forzare la verifica della firma dei binari su Mac).
  • Noscript, uBlock, HTTPS-Everywhere e altri plugin configurati in maniera più aggressiva, aggiungendo alle whitelist solo i componenti necessari dei siti che non funzionano, anzichè l'intero sito/pagina.
  • Backup su dispositivo in rete locale e cloud, cifrato e verificato periodicamente. Regola del 3-2-1.
  • Full-Disk-Encryption di ogni dispositivo, con particolare attenzione a dispositivi mobili (laptop e telefono), inclusa la partizione di Boot.
  • Comunicazioni email sensibili solo tramite cifratura con GPG.

Livello 4

Attori: APT, Servizi segreti, state-sponsored, etc.

Minacce: di morte.

Se siete in questo gruppo e state cercando informazioni su Reddit Lemmy siete già fottuti.

Alcuni Link Utili

2