“PRIMA DI CONDIVIDERE QUALCOSA ONLINE, BISOGNA PORSI DELLE DOMANDE” - I CONSIGLI DI STEPHANIE CARRUTHERS, HACKER "BUONA": “BISOGNA CHIEDERSI SEMPRE: CHE TIPO DI INFORMAZIONE STO METTENDO ONLINE? COSA C'È SULLO SFONDO DELLA MIA IMMAGINE? SE VOLESSI VENDICARMI, IN CHE MODO USEREI QUESTA INFORMAZIONE CONTRO DI ME?" - "SI DEVONO ADOTTARE ABITUDINI SANE CON LE PASSWORD. NON RICICLARLE, CAMBIARLE SPESSO E MENTIRE QUANDO SI RISPONDE ALLE DOMANDE DI SICUREZZA” - “IL SOCIAL CHE RIVELA PIÙ INFORMAZIONI IN ASSOLUTO È FACEBOOK, PERCHÉ…”
Ann Brenoff per www.huffingtonpost.it
Stephanie Carruthers è una hacker buona, una white hat conosciuta come Snow, che annovera tra i suoi clienti aziende e startup di successo. Nel 2014, ha vinto la gara Social Engineering Capture the Flag, in occasione del DEF CON, uno dei congressi sull'hacking più famosi e importanti al mondo. Conduce spesso convention sul mondo dell'hackeraggio e condivide la sua esperienza con le aziende che desiderano potenziare la loro sicurezza online.
Tramite Twitter abbiamo fatto a Snow alcune domande sul lavoro che svolge e sulle dritte da seguire per essere più sicuri in rete.
Chi è un hacker "white hat" di preciso?
Un hacker white hat è un hacker etico. Nello specifico, sono un ingegnere sociale, ovvero una sorta di hacker delle persone. Una delle spiegazioni più semplici per chiarire ciò che faccio è "Mento e mi introduco nei sistemi." Conduco diversi tipi di valutazioni, come quelle sulle campagne di phishing e le stime sulla sicurezza fisica. Svolgo il mio lavoro con l'obiettivo di mostrare ai miei clienti dove si trovano le loro vulnerabilità così che possano porvi rimedio prima che un aggressore vero e proprio le trovi.
Come sei arrivata a farlo?
L'ingegneria sociale è diventata una passione mentre partecipavo alla competizione Social Engineering Capture the Flag al DEF CON, e sono stata così fortunata da continuare a crescere in questa carriera.
Quanto ti senti sicura personalmente online?
Non mi definirei mai "non-hackerabile". Le violazioni dei dati sono ormai all'ordine del giorno, sembra quasi la norma, e per questo motivo non credo che mi sentirò mai del tutto sicura online. Di conseguenza, prendo precauzioni per proteggere me stessa il più possibile.
Potresti svelarci le cose più stupide che hai visto postare dalla gente online?
Cerco di non etichettarle come stupide, ma come poco informate. Voglio sperare che se una persona comprendesse a pieno il rischio del contenuto che sta postando online, ci penserebbe due volte.
Detto questo, ecco alcune delle cose viste online che tradiscono una mancata consapevolezza del rischio:
Neo-patentati: ragazzi entusiasti (o anche genitori) che scattano foto ravvicinate alla patente appena conquistata con tutte le informazioni personali, compreso l'indirizzo di casa.
Nuovi proprietari di casa che scattano foto celebrative alle chiavi della nuova dimora e geotaggano la casa senza rendersi conto che è facile duplicare una chiave da una foto.
Impiegati: impiegati e dipendenti d'azienda spesso si scattano selfie senza curarsi di ciò che compare sullo sfondo o in primo piano, incluse password/informazioni sensibili sulle lavagnette, monitor di computer accesi, password della segreteria attaccate ai telefoni, eccetera. Inoltre, per ragioni incomprensibili, c'è chi posta addirittura le foto della busta paga. Per alcuni saranno anche post innocui, ma gli aggressori sanno come approfittarsi di immagini del genere.
C'è qualcosa che non dovremmo mai fare su social?
Postare senza pensare. Punto. Prima di condividere qualcosa, bisogna porsi delle domande: che tipo di informazione sto mettendo online? Cosa c'è sullo sfondo della mia immagine? Se volessi vendicarmi, in che modo userei questa informazione contro di me?
Dal tuo punto di vista qual è il social che mette più a nudo la nostra vulnerabilità?
Credo che Facebook riveli più informazioni in assoluto – soprattutto perché mette in correlazione una quantità enorme di dati, come i tuoi amici, i colleghi, la famiglia, il lavoro, gli hobby, i figli e via dicendo. Molte risposte alle domande di sicurezza [usate per transazioni bancarie e modifiche di password possono essere dedotte semplicemente osservando il profilo Facebook di un utente. Come se non bastasse, Facebook per sua scelta non dedica grandi sforzi alla protezione della privacy – i social non funzionano bene se sono tutti reticenti e riservati. Per molti utenti non è intuitivo aggiungere impostazioni alla privacy che, invece, dovrebbero avere – sempre che prendano in considerazione la cosa.
Il riconoscimento facciale potrebbe impedire ai truffatori di creare profili falsi?
Il riconoscimento facciale potrebbe contribuire alla diminuzione dei profili truffaldini, ma non alla loro scomparsa. Gli hacker sono molto astuti e si divertono a scovare modi nuovi per aggirare ostacoli di questo tipo. È come il gatto col topo. D'altra parte, per conferire maggiori responsabilità a Facebook, dovremmo fornire anche più informazioni personali. Conosco persone che considerano la loro privacy talmente importante da usare nomi falsi e foto "non umane" suo social. Per evitare un profilo falso, dovrebbero fornire a Facebook nome e volto reali. È simile all'idea di Facebook di combattere la cosiddetta pornografia vendicativa chiedendoti foto di nudo. Entrandone in possesso, per loro è più facile "cercare e distruggere", sotto il profilo dell'automazione. Tuttavia, qui ritorniamo al problema della fiducia e a quale sia il male minore.
Password e domande di sicurezza: perché tutte queste violazioni?
Le violazioni dei dati si verificano per diversi motivi, come attacchi di ingegneria sociale, vulnerabilità delle applicazioni, server senza patch, mancanza di controlli sulla sicurezza fisica, credenziali deboli o rubate, eccetera. Se queste vulnerabilità non cesseranno di esistere, allora continueranno anche le violazioni di dati.
Una misura di cui possono beneficiare tutti è adottare abitudini sane con le password. Le password sono un mix tra responsabilità individuale e aziendale. Ecco cosa si può fare per proteggersi:
Non riciclare le password, cambiarle spesso, e usare un password manager. Si dovrebbe disporre di una password forte e unica per ciascun login.
Mentire quando si risponde alle domande di sicurezza generale. Non c'è bisogno d'inserire correttamente il cognome di vostra madre da nubile. Utilizzate qualcosa che sia difficile da indovinare, come "nutella" o "Disneyland".
Usate l'autenticazione a due fattori. Quasi tutti i siti prevedono impostazioni di sicurezza extra tra le opzioni.
Chi sono tutti questi truffatori/hacker che vogliono le nostre informazioni?
I truffatori sono mossi dall'opportunità. Come in tutte le attività illegali, gravitano intorno alle situazioni in cui la ricompensa supera il rischio, e questo perché le leggi locali non comportano grandi rischi contro l'attività. Alla fine della fiera, non conta chi sono gli aggressori e dove si trovano, ma il fatto che ci sono informazioni di cui vogliono impossessarsi, con mezzi e capacità per riuscirci – a condizione che ne valga la pena. In molti casi hanno fortuna perché, in tanti negozi online, è solo un terno al lotto. Dispongono di un call center pieno di truffatori, molto simile alle campagne di telemarketing. Ricorrono a operazioni di lead-generation, adottano testi di dialogo, escalation interna, formazione e persino quote di vendita.
Qual è la cosa più importante che gli utenti di internet devono tenere a mente?
Ricordarsi semplicemente che i problemi di sicurezza non saranno risolti tanto presto. Inoltre, è impossibile diventare i più inattaccabili al mondo. Tuttavia, possiamo renderci più sicuri degli altri – e, se tutto va bene, gli aggressori desisteranno e passeranno a qualcun altro. Come ha detto qualcuno: "Non devi correre più veloce dell'orso per salvarti la pelle. Ti basta correre più veloce del tizio accanto a te."
