Siamo Sicuri di essere Sicuri?

Siamo davvero al sicuro?

Ormai i sistemi informatici sono penetrati nelle nostre vite, con una profondità e velocità spaventosa: mi sembra davvero un millennio differente se penso a quando ero bambino (wait, effettivamente il 1900 era un millennio differente ) e la cosa più tecnologica in casa mia era il televisore a colori (nel vicinato c'era un Amiga che ci batteva però è.é).
Da soddisfazione pensare quanto siamo progrediti rapidamente (persino nell'arretratezza italiana), anche se le paure e i dubbi almeno per me non sono pochi: tralasciando i classici problemi ambientali e quelli riguardanti la salute, in questi giorni mi sto sempre più rendendo conto che la sicurezza informatica è un miraggio davvero lontano.
Come mai? Beh...

Just Hackers

Ormai tutti hanno sentito parlare ai telegiornali di questi esseri apparentemente umani: in realtà come ben saprete sono delle creature diverse, in grado di decifrare parole crittografate a mente, di violare computer e siti web semplicemente fissando lo schermo, di entrare in stabilimenti governativi e militari per accedere fisicamente alle macchine senza farsi scoprire, di collegarsi a Matrix senza cavi e impossibili da uccidere persino con pallottole d'argento: insomma, se dovessimo credere a tutto quello che viene detto l'unica speranza che abbiamo contro un hacker (tra parentesi, dovreste preoccuparvi dei cracker piuttosto) è fare gli scongiuri almeno 3 volte al giorno, in modo tale che non vi prenda di mira.
Esagerazioni a parte, la più grande paura informatica è che qualche omino malvagio riesca a sabotare la vostra fedele macchina con qualche malware o ad accedervi senza il vostro permesso: per questo ormai è prassi comune mettere password e lucchetti a tutto, riempirsi di programmi anti malware e hardware dedicato alla nostra protezione; ci sono persone e aziende che spendono migliaia (se non milioni) di euro per forgiare queste armature dei tempi moderni, ed essere finalmente al sicuro da quelle malvagie creature.

Security in Real Life

Dato che l'argomento sicurezza è così tanto sentito, pensavo che ormai la sicurezza old school (quella che si impara sulla propria pelle) fosse diventata una prassi comune, ma qualche divertente episodio di recente mi sta convincendo che la situazione non è proprio rosea.
Causa feste, sono dovuto andare a fare da facchino per mia nonna e il resto del parentame trovare diversi parenti: uno di questi, mi chiede siccome sono un informatico di aiutarlo sul computer (almeno non mi hanno chiesto il solito "configura/rendi più veloce il mio telefono" ); tra le varie cose, a un certo punto ho dovuto gironzolare per un paio di account, e questo mio parente tutto orgoglioso mi mostra una maxi tabella con scritti sito web, nome utente su quel sito e LA password (sì, uguale per tutti i siti); la leggo una volta per loggarmi sotto al suo sguardo compiaciuto, che però diventa sempre più preoccupato man mano che continuo a loggarmi in siti differenti senza più guardare la tabella, finchè al sesto login trova il coraggio di chiedere "ma come hai fatto a memorizzare così velocemente la mia password?".
Sono rimasto fermo una ventina di secondi a pensare ad un modo cortese ed elegante per fargli capire che "qwertyasdfgh123456" è sì una password lunga, ma non propriamente sicura.
Probabilmente l'insicurezza di questa situazione è dovuta al fatto che questo mio parente è un po avanti negli anni e non è proprio abilissimo coi dispositivi tecnologici: questo è ciò che continuo a ripetermi, ma un'evento forse ancora più divertente è avvenuto negli ultimi 2-3 giorni.
Il simpatico omino panciuto vestito di rosso ha portato a mio fratello come regalo uno smartphone; il mio consiglio è stato subito quello di inserire, sull'account Google che si stava creando, una password lunga e sicura: per fortuna lo smartphone non era prodotto da LG, altrimenti "marcamodello" avrebbe violato anche il mio primo consiglio.
È stato altrettanto istruttivo vedere quanto si preoccupa per i suoi dati personali: ha messo un pin numerico per evitare che i suoi messaggi non vengano letti da me o dai miei genitori in un momento di noia, e addirittura sta attento che io non sia alle sue spalle mentre lo digita (non capisco perchè così tanta segretezza poi, dato che in circa 10 secondi da recovery o da adb si può togliere questo controllo ).
Ho scoperto però che in realtà fa così perchè vuole mantenermi in allenamento: siccome è troppo facile per me leggere gli SMS localmente sul telefono, ha installato diverse applicazioni consigliate dai suoi compagni di classe, che ovviamente avevano i permessi per accedere all'archivio dei messaggi e al web; purtroppo per lui il piano non è riuscito, sono troppo pigro per mettermi a scandagliare il deep web alla ricerca degli SMS di bambini che avvisano la propria madre di essere in ritardo per la cena (e anche se sto qualche minuto a pensarci sopra non mi viene in mente nessuno a cui possano interessare queste informazioni, quindi probabilmente non le troverò nemmeno in qualche asta, bit coin risparmiati che di questi tempi son preziosi...).
Sarò stato io ad aver trovato 2 cavie, non proprio fortunate, abbastanza negligenti, o è effettivamente un'andazzo comune questa scarsa preoccupazione per la propria sicurezza?
Purtroppo al momento non ho sottomano ulteriori cavie, ma nel prossimo semestre giuro solennemente di non avere buone intenzioni di controllare anche persone differenti per vedere quanto si preoccupano della propria sicurezza: se volete aiutarmi a documentare i casi di negligenza/superficialità lasciate i vostri portatili incustoditi in biblioteca, apprezzerò molto il vostro gesto .

Qualche Consiglio

Per concludere in bellezza l'articolo, vi do qualche consiglio, grazie al quale potreste rendere più difficile la vita agli omini diabolici; prima però, ricordo una cosa molto importante, la sicurezza è come una catena: sarà sempre l'anello più debole a rompersi e a rendervi vulnerabili, perciò è perfettamente inutile concentrarsi solo su un aspetto della propria sicurezza tralasciando il resto (diciamocelo chiaramente, chi è il masochista che si mette a decifrare una chiave RSA se lasciate la password scritta su un post It?).
Ci sono molte cose che si imparano più o meno brutalmente quando ci preoccupiamo della nostra sicurezza, ma la prima da ricordare è il non lasciare mai incustoditi i propri device, o loggarsi su terminali pubblici e non sloggarsi dopo; detto così sembra assurdo, da veri e propri idioti, ma provate a fare un giro in qualche biblioteca, università, internet cafè (anche se ormai stanno sparendo T.T), aeroporto o qualsiasi luogo pubblico, e contate quanti device incustoditi ci sono: cambierete idea (e temo che la vecchia prassi di amoreggiare con brasiliani dal dubbio sesso con gli account di chi lascia incustodito il proprio computer stia scomparendo, in genere si rivelava una terapia molto efficace).
Passiamo poi alle password: è stato ripetuto allo sfinimento che dovrebbero essere sempre lunghe e con caratteri alfanumerici alternati (e se possibile anche qualche carattere speciale), ma a quanto sembra la regola per cui la password non dovrebbe essere una parola facilmente prevedibile fa ancora fatica ad essere digerita; mi consolo pensando che almeno la fantasia della gente sta aumentando, perciò sta diventando leggermente più raro trovare come password "password" o "default".
Anche se avete fatto una bella password difficile da indovinare, state comunque attenti: il caro vecchio post It attaccato al monitor con scritte le password, o la tabella con le password lasciata sulla scrivania non aiutano di certo a rendere più sicura la vostra password, così come il digitarla senza avere l'accuratezza di controllare se avete qualcuno alle spalle: non sempre la persona alle vostre spalle è interessata solo al vostro nome e cognome per aggiungervi come amico su Facebook (se siete una bella ragazza però è molto probabile ).
Questi 2 consigli come potrete notare portano di fatto ad una sola cosa: fare attenzione quando usiamo i nostri device.

My Own Enemy

I più seri problemi di sicurezza infatti in realtà non sono legati all'insicurezza delle tecnologie, bensì alla distrazione/sbadataggine/menefreghismo di chi utilizza i vari dispositivi: ci possono essere migliaia di procedure di sicurezza per proteggere i vostri documenti, ma se poi voi li andate a salvare nella cartella di condivisione di un qualsiasi software P2P assieme ai vostri porno file meno importanti non potete di certo incolpare chi ha pensato alle varie procedure di sicurezza.
Il vero problema della nostra sicurezza quindi non è che i sistemi per difenderci sono inadeguati, ma che non vogliamo difenderci (o informarci su come difenderci): come ormai avrete capito il vostro peggiore nemico non sono ipotetici hacker malvagi che vogliono accedere ai vostri dati, è quell'omino che vedete quando vi specchiate (se può aiutarvi a percepire meglio il pericolo, fate una faccia cattiva quando vi specchiate); 30 secondi di riflessione in più quando installate un software o scegliete una password, se già non li fate, possono aumentare esponenzialmente la vostra sicurezza e rendere effettivamente sensato l'acquisto di software/hardware anti malware/intrusione.