fb

Smartphone e privacy – punti di partenza

by

È difficile fidarsi ciecamente della riservatezza delle app che installiamo nello smartphone. Anche quando diamo istruzione ad un’applicazione di non tracciare le nostre attività o di non accedere ai contatti o altre limitazioni, non c’è un modo semplice per verificare che i limiti siano rispettati. Non c’è nemmeno certezza che una app affidabile fino a oggi, da domani non lo sia più, nel tempo le app vengono aggiornate e subiscono modifiche o cambi di proprietà, i controlli degli “store” non possono garantire sicurezza al cento per cento (come si è visto nel celebre caso del furto tramite cryptocurrency wallet app). I nostri dati spesso sono distribuiti in diverse aree di memoria in cloud e molto spesso se ne perde il controllo. Se non si può fare molto in caso di violazione dei dati di un fornitore di servizi cloud, ci sono delle semplici attività che elevano il livello di protezione dei nostri dati raccolti dagli smartphone.

1. PASSWORD MANAGER

Per evitare di riutilizzare la stessa password (o password simili) per più servizi, l’uso di un password manager è quasi indispensabile. Una password robusta deve essere abbastanza lunga (indicativamente almeno 12 caratteri) e deve essere composta da una sequenza casuale di caratteri, numeri e simboli. Una password non riconducibile a termini presenti in un dizionario o a nostre caratteristiche personali (es. la data di nascita) è molto difficile da trovare con attacchi “brute force”, ma è anche difficile da ricordare. Un password manager archivia le nostre password in un’unica app cifrata. La stessa app può anche generare password robuste per i nostri account online e ci permette di memorizzare password diverse per i diversi account. Le principali app di questo tipo possono anche essere configurate in modo da autocompletare i campi “username” e “password” in un sito o in un’altra app nel momento in cui dobbiamo accedervi.

2. AUTENTICAZIONE A DUE FATTORI

Quando accediamo ad un’app o un account veniamo identificati tramite lo username e autenticati tramite la password. L’autenticazione tramite la sola password oggi non è più sufficiente per garantire la sicurezza delle nostre informazioni, quantomeno se parliamo di account che contengono molti dati e/o informazioni critiche (ad es. gli account email, gli spazi di memoria in cloud ecc…), perché troppi sono i rischi di violazione delle nostre password. L’autenticazione a due fattori aggiunge alla password (ovvero l’informazione che conosco solo io) un secondo fattore di autenticazione, ovvero una OTP (one time password) generata da un oggetto che ho solo io, perché l’otp viene inviata via sms al mio numeto di telefono o, ancora più sicuro, generata da una app che può essere installata solo sul mio telefono. A breve i servizi cloud di Google e Microsoft imporranno l’uso dell’autenticazione a due fattori ai propri utenti. La procedura per attivare la generazione delle OTP è simile per tutti i servizi che ne permettono l’utilizzo e l’OTP può essere visualizzato, oltre che via SMS, tramite le applicazioni chiamate “Authenticator”. A questo LINK si trovano le istruzioni per proteggere l’account Google con l’autenticazione a due fattori.

3. BLOCCO SCHERMO

Attivare sullo smartphone un blocco dello schermo con impronta digitale o altro dato biometrico o con un codice di almeno 6 cifre non facile da individuare e verificare che sul sistema del telefono sia attivo il blocco dopo un certo numero ti tentativi falliti. Meglio evitare lo sblocco tramite “traccia” sul monitor, troppo facile da spiare, e i codici di sblocco che fanno riferimento a nostri dati personali (data di nascita o simili). Perdere un telefono faciile da sbloccare rischia di annullare tutte le altre sicurezze messe in atto sui vari account.

4. USARE UNA VPN CON RETI WI-FI PUBBLICHE

Le reti Wi-Fi pubbliche espongono al rischio di intercettazione delle informazioni che scambiamo tramite la rete. In più, quando mi collego ad una Wi-Fi pubblica, non ho certezza che si tratti di una rete autentica o di un servizio truffa con un nome contraffatto, è molto facile configurare un hotspot con un nome rassicurante (ad esempio quello di un ente pubblico) per indurre persone a collegarsi. Se non si può utilizzare la propria rete dati mobile, il collegamento a una Wi-Fi pubblica deve avvenire con la preventiva attivazione di una VPN (Virtual Private Network). La VPN si può attivare scaricando una app e attivando un account con il fornitore del servizio. Negli app store si trovano molti servizi di questo tipo, ma le VPN affidabili solitamente non sono gratuite o offrono gratuitamente un traffico dati giornaliero limitato. Meglio informarsi prima sulla qualità del servizio e della app che stiamo per utilizzare. A questo LINK si trovano informazioni utili su alcuni servizi.

5. ATTENZIONE AI PERMESSI RICHIESTI DALLE APP

Quando installiamo una app sul telefono, uno dei passaggi chiede se autorizziamo l’applicazione ad accedere a determinate risorse o dati presenti del dispositivo (ad esempio microfono, fotocamera, geolocalizzazione, contatti…). Nel corso dell’installazione verifichiamo se la richiesta ha senso. Ad esempio, se installo una calcolatrice e la app mi chiede il permesso di accedere ai contatti, devo negare il permesso. Se le richieste sembrano strane o eccessive, prima di installare è bene cercare informazioni sull’applicazione e sullo sviluppatore (vedi il successivo punto 8).

6. AGGIORNARE IL SOFTWARE

Quasi tutti gli aggiornamenti del sistema operativo di uno smartphone sono rilasciati principalmente per chiudere falle di sicurezza. È bene impostare il sistema in modo che gli aggiornamenti vengano scaricati e installati automaticamente. Anche per le app vale lo stesso criterio, meglio fare sì che gli aggiornamenti vengano installati non appena disponibili.

7. SCARICARE APP SOLO DAGLI STORE UFFICIALI

Anche se il Google Play Store e l’App Store di Apple non contengono app sicure al 100%, le app da installare sullo smartphone devono provenire dagli store ufficiali. Scaricare e installare una app proveniente da una fonte sconosciuta aumenta molto il rischio di infezione del nostro dispositivo.

8. VERIFICARE L’AFFIDABILITÀ DELLE APPLICAZIONI

Premesso che nessun metodo di verifica darà la certezza sull’affidabilità di un’applicazione, ci sono dei controlli preliminari che possono aiutare ad evitare rischi. Ad esempio, si può provare a verificare l’affidabilità di uno sviluppatore guardando le app che ha pubblicato, da quanto sono pubblicate, quante volte sono state scaricate, quante recensioni hanno e il livello delle recensioni. Il livello di guardia deve essere più alto in caso di applicazioni recenti, con scarsi volumi e pubblicate da sviluppatori che non hanno altre app nello store. Si può fare anche una ricerca su Internet sullo sviluppatore e sui suoi lavori e una ricerca con il nome della app assieme alle parole “scam” o “data breach” per controllare se non siano già noti episodi dubbi associati all’applicazione. Meglio evitare di affidarsi al rating delle applicazioni come unico parametro di valutazione, i rating possono essere falsi (specie se sono pochi).

In Portogallo divieto al trasferimento dati in paesi terzi

by

L’autorità per la protezione dei dati personali portoghese (CNPD) ha ordinato all’istituto di statistica nazionale (INE) di sospendere ore tutti i trasferimenti di dati personali negli Stati Uniti e in qualunque altra nazione al di fuori dello spazio economico europeo in mancanza di adeguati livelli di protezione, dando 12 ore di tempo per cessare tali trasferimento.

INE trasferisce diversi dati personali di cittadini portoghesi negli USA nell’utilizzo del servizio di Cloudflare a supporto delle valutazione di soddisfazione degli utenti.

In seguito a diversi reclami, l’autorità portoghese ha effettuato delle indagini sui trasferimenti di dati da parte di INE verso paesi terzi, concludendo che Cloudflare Inc. è direttamente sottoposta alle leggi di sorveglianza nordamericane in materia di sicurezza nazionale, in particolare la FISA 702. Tali leggi impongono alle compagnie come Cloudflare di dare accesso illimitato alle autorità pubbliche USA senza informare gli interessati.

Nel motivare il provvedimento, il CNPD fa riferimento alla sentenza della Corte di Giustizia UE (cosiddetta “Schrems II”) e mette in evidenza come il solo ricorso a clausole contrattuali standard (SCC) approvate dalla Commissione, in mancanza di adeguate garanzie che rendano la protezione dei dati equivalente a quella previsa all’interno dell’EEA (European Economic Area) non sia sufficiente per giustificare i trasferimenti. Si tratta del secondo provvedimento dopo quello dell’autorità di controllo bavarese che, a marzo, ha sostanzialmente imposto di cessare l’utilizzo del tool Mailchimp a Fogs Magazin Munich (qui la notizia) con motivazioni simili.

(fonte: EDPB)

Ransomware blocca oleodotto USA

by

Un attacco di tipo “ransomware” ha lasciato senza carburante diverse aree degli Stati Uniti d’America. il 7 maggio la compagnia Colonial Pipeline ha dovuto bloccare i propri sistemi informatici a causa di un attacco informatico che ha avuto come conseguenza il furto di dati (circa 100GB, secondo il Washington Post) e la propagazione di un ransomware che ha cifrato i sistemi informatici. In questo modo i criminali mettono in atto una doppia estorsione e se la vittima riesce a ripristinare i sistemi da backup adeguati, rimane comunque sotto la minaccia di una divulgazione dei dati rubati se il riscatto non viene pagato. La compagnia fornisce il 45% del carburante della costa est statunitense e molte aree sono rimaste prive di carburante per alcuni giorni. Non sono stati divulgati dettagli tecnici e non ci sono certezze su quale sia stato il primo vettore dell’attacco, sembra comunque che la compagnia abbia potuto attivare il piano di ripristino dei sistemi rapidamente. A questo possono avere contribuito sia il distacco dei sistemi dalla rete che le indagini che hanno identificato e isolato i server nei quali sono stati archiviati i dati rubati, indebolendo l’azione dei criminali. Responsabile dell’attacco sembra essere il gruppo “Darkside”, un’organizzazione recente che fornisce un “ransomware as a service”, ovvero un’infrastruttura completa da vendere a “partner” che organizzano gli attacchi potendo contare sul supporto del gruppo Darkside (completo di assistenza “clienti”) per utilizzare al meglio il sistema di attacco.

La protezione contro questi attacchi passa dalla formazione e sensibilizzazione del personale, dal costante aggiornamento di tutti i sistemi informatici e dall’adozione di sistemi di backup e piani di continuità testati nonché di sistemi di sicurezza moderni basati su protezione degli endpoint e dati di threat intelligence.