Quanto segue è una mia sintesi pertanto contiene reinterpretazioni, arricchimenti e omissione di argomenti da me ritenuti non rilevanti.
Innanzitutto l'incontro è stato molto interessante, di molte cose ne ero a conoscenza ma non di tutte. Il fatto che certe leggerezze nella conservazione o nella diffusione dei nostri dati sia palesemente nocivo per noi stessi, spesso ci nascondiamo dietro al pensiero "perché dovrebbe capitare a me...". L'incontro ha avuto una conduzione condita da un sano "terrorismo" che non guasta mai.
Si è parlato degli IOT (Interne Of Things = internet delle cose) ossia di quei congegni, indossabili o meno, che fanno sempre più parte della nostra vita e connessi alla rete: smart-watch, smart-TV, ciclo-computer, braccialetti fitness, lavatrici, condizionatori, auto, apparecchi medicali, termostati intelligenti ecc. Insomma un mondo in cui le macchine parlano tra di loro.
Per quanto belli e affascinati molti di questi prodotti, se intercettati, potrebbero nuocere in quanto inviano dati sensibili come i nostri bio-dati (battito cardiaco, pressione, temperatura) oppure le nostre abitudini, geo-dati (le nostre posizioni GPS) e tanto altro. La sicurezza molto spesso viene messa in secondo piano, talvolta è addirittura assente. Chi progetta questi prodotti molto spesso non ha una conoscenza approfondita di sicurezza informatica. Nel recente passato si è dimostrato che è possibile prendere il controllo di alcune automobili connesse ad internet, disabilitando i freni, bloccando lo sterzo o spegnendo il motore. Se stiamo guidando in autostrada non è cosa simpatica essere vittima di qualche burlone... oppure ci sono delle pompe di insulina o pacemaker controllabili da remoto dal nostro medico di fiducia che se intercettate da un malintenzionato potrebbe ucciderci.
Si è discusso molto dei "Big Data" ossia quella mole di dati dell'ordine dei Zettabyte (miliardi di TeraByte) che vengono gestiti da webfarm o datacenter collocati nei luoghi più disparati nel mondo e che contengono i dati del nostro cloud o dei nostri social network. Aziende di grosso calibro, come Facebook, Google, Apple ecc., offrono servizi gratuiti in cambio dei nostri dati personali. E' noto che Facebook rivende le nostre foto, contatti, preferenze al fine di profilazione commerciale, ossia creare un nostro profilo per la pubblicità mirata. Ci sono software che analizzano le nostre foto alla ricerca di marchi ed abitudini e leggono la nostra posta per questo fine.
Chi ha autorizzato queste aziende ad utilizzare i nostri dati? Noi! Abbiamo accettato l'EULA (il contratto che dobbiamo accettare per l'attivazione del servizio).
Un'informazione che mi ha lasciato a dir poco sbalordito è che WhatsApp sembra che invii due volte al giorno la nostra rubrica telefonica a Facebook.
Skype, da quando è stata acquistata da Microsoft, trasmette in chiaro ossia senza l'utilizzo della crittografia. Idem WhatsApp tra IPhone mentre tra Android è protetta. Paolo Attivissimo lo ha ripetuto più volte: la privacy non è opzionale ma un diritto fondamentale. Quando usiamo questi prodotti dobbiamo renderci conto che è come parlare in piazza, chiunque ci può ascoltare.
A livello aziendale è fondamentale dividere la vita privata da quella lavorativa, nel senso che non bisogna utilizzare i dispositivi aziendali per accedere ai propri social o usare i dispositivi personali connettendosi alla rete aziendale.
Per quanto riguarda il cloud è sempre meglio mantenere i dati sensibili o segreti industriali nei propri server e non affidarsi ad aziende esterne che potrebbe avere delle falle di sicurezza o semplicemente più esposte a furto e rivendita di dati. Va "di moda" il cloud ibrido.
I ricatti o le estorsioni sono all'ordine del giorno. Spesso per accedere ai segreti aziendali non si affrontano le "barricate digitale" erte dall'azienda per difendersi dagli attacchi via Internet ma si colpisce il "ventre molle", il dipendente. Si colpisce l'impiegato che ha qualcosa da nascondere, magari per preferenze sessuali o segreti personali o ancora foto che non vorrebbe fossero diffuse. Mettere a rischio i dati personali con leggerezza potrebbe mettere a rischio anche l'azienda per cui si lavora perché facilmente ricattabili.
Aprire anche email contenenti allegati ZIP o PDF da mittenti dubbi potrebbe nascondere delle insidie: diverse aziende aprendo semplicemente un allegato, fattura.pdf, si sono ritrovate tutti i dati dei loro server inaccessibili perché criptati da un software maligno nascosto nel codice del file di Adobe. O paghi o non rivedi più i tuoi dati...
A livello di sicurezza aziendale è consigliabile affidarsi ad un consulente informatico mentre a livello personale è auspicabile"studiare" sistemi che ci permettano di comunicare in sicurezza usando chat alternative alle più diffuse o criptando i dati più sensibili. Anche viaggiare utilizzando finestre del browser in anonimo è una buona pratica.
Se volete viaggiare in piena sicurezza vi consiglio di utilizzare una distribuzione Linux creata ad hoc che utilizza reti TOR e svariate tecniche informatiche per non renderci identificabili. Vi ricordo, inoltre, che Linux è un Sistema Operativo immune ai virus di Windows. Vedi Tails.
Per quanto riguarda il cloud è sempre meglio mantenere i dati sensibili o segreti industriali nei propri server e non affidarsi ad aziende esterne che potrebbe avere delle falle di sicurezza o semplicemente più esposte a furto e rivendita di dati. Va "di moda" il cloud ibrido.
I ricatti o le estorsioni sono all'ordine del giorno. Spesso per accedere ai segreti aziendali non si affrontano le "barricate digitale" erte dall'azienda per difendersi dagli attacchi via Internet ma si colpisce il "ventre molle", il dipendente. Si colpisce l'impiegato che ha qualcosa da nascondere, magari per preferenze sessuali o segreti personali o ancora foto che non vorrebbe fossero diffuse. Mettere a rischio i dati personali con leggerezza potrebbe mettere a rischio anche l'azienda per cui si lavora perché facilmente ricattabili.
Aprire anche email contenenti allegati ZIP o PDF da mittenti dubbi potrebbe nascondere delle insidie: diverse aziende aprendo semplicemente un allegato, fattura.pdf, si sono ritrovate tutti i dati dei loro server inaccessibili perché criptati da un software maligno nascosto nel codice del file di Adobe. O paghi o non rivedi più i tuoi dati...
A livello di sicurezza aziendale è consigliabile affidarsi ad un consulente informatico mentre a livello personale è auspicabile"studiare" sistemi che ci permettano di comunicare in sicurezza usando chat alternative alle più diffuse o criptando i dati più sensibili. Anche viaggiare utilizzando finestre del browser in anonimo è una buona pratica.
Se volete viaggiare in piena sicurezza vi consiglio di utilizzare una distribuzione Linux creata ad hoc che utilizza reti TOR e svariate tecniche informatiche per non renderci identificabili. Vi ricordo, inoltre, che Linux è un Sistema Operativo immune ai virus di Windows. Vedi Tails.
Nessun commento:
Posta un commento