“PRIMA DI CONDIVIDERE QUALCOSA ONLINE, BISOGNA PORSI DELLE DOMANDE” - I CONSIGLI DI STEPHANIE CARRUTHERS, HACKER "BUONA": “BISOGNA CHIEDERSI SEMPRE: CHE TIPO DI INFORMAZIONE STO METTENDO ONLINE? COSA C'È SULLO SFONDO DELLA MIA IMMAGINE? SE VOLESSI VENDICARMI, IN CHE MODO USEREI QUESTA INFORMAZIONE CONTRO DI ME?" - "SI DEVONO ADOTTARE ABITUDINI SANE CON LE PASSWORD. NON RICICLARLE, CAMBIARLE SPESSO E MENTIRE QUANDO SI RISPONDE ALLE DOMANDE DI SICUREZZA” - “IL SOCIAL CHE RIVELA PIÙ INFORMAZIONI IN ASSOLUTO È FACEBOOK, PERCHÉ…”

-

Condividi questo articolo


Ann Brenoff per www.huffingtonpost.it

Stephanie Carruthers Stephanie Carruthers

 

Stephanie Carruthers è una hacker buona, una white hat conosciuta come Snow, che annovera tra i suoi clienti aziende e startup di successo. Nel 2014, ha vinto la gara Social Engineering Capture the Flag, in occasione del DEF CON, uno dei congressi sull'hacking più famosi e importanti al mondo. Conduce spesso convention sul mondo dell'hackeraggio e condivide la sua esperienza con le aziende che desiderano potenziare la loro sicurezza online.

 

Tramite Twitter abbiamo fatto a Snow alcune domande sul lavoro che svolge e sulle dritte da seguire per essere più sicuri in rete.

 

Chi è un hacker "white hat" di preciso?

hacker hacker

Un hacker white hat è un hacker etico. Nello specifico, sono un ingegnere sociale, ovvero una sorta di hacker delle persone. Una delle spiegazioni più semplici per chiarire ciò che faccio è "Mento e mi introduco nei sistemi." Conduco diversi tipi di valutazioni, come quelle sulle campagne di phishing e le stime sulla sicurezza fisica. Svolgo il mio lavoro con l'obiettivo di mostrare ai miei clienti dove si trovano le loro vulnerabilità così che possano porvi rimedio prima che un aggressore vero e proprio le trovi.

 

Come sei arrivata a farlo?

hacker facebook hacker facebook

L'ingegneria sociale è diventata una passione mentre partecipavo alla competizione Social Engineering Capture the Flag al DEF CON, e sono stata così fortunata da continuare a crescere in questa carriera.

 

Quanto ti senti sicura personalmente online?

Non mi definirei mai "non-hackerabile". Le violazioni dei dati sono ormai all'ordine del giorno, sembra quasi la norma, e per questo motivo non credo che mi sentirò mai del tutto sicura online. Di conseguenza, prendo precauzioni per proteggere me stessa il più possibile.

 

hacker 5 hacker 5

Potresti svelarci le cose più stupide che hai visto postare dalla gente online?

Cerco di non etichettarle come stupide, ma come poco informate. Voglio sperare che se una persona comprendesse a pieno il rischio del contenuto che sta postando online, ci penserebbe due volte.

 

Detto questo, ecco alcune delle cose viste online che tradiscono una mancata consapevolezza del rischio:

 

Neo-patentati: ragazzi entusiasti (o anche genitori) che scattano foto ravvicinate alla patente appena conquistata con tutte le informazioni personali, compreso l'indirizzo di casa.

 

Stephanie Carruthers Stephanie Carruthers

Nuovi proprietari di casa che scattano foto celebrative alle chiavi della nuova dimora e geotaggano la casa senza rendersi conto che è facile duplicare una chiave da una foto.

 

Impiegati: impiegati e dipendenti d'azienda spesso si scattano selfie senza curarsi di ciò che compare sullo sfondo o in primo piano, incluse password/informazioni sensibili sulle lavagnette, monitor di computer accesi, password della segreteria attaccate ai telefoni, eccetera. Inoltre, per ragioni incomprensibili, c'è chi posta addirittura le foto della busta paga. Per alcuni saranno anche post innocui, ma gli aggressori sanno come approfittarsi di immagini del genere.

 

C'è qualcosa che non dovremmo mai fare su social?

hacker 4 hacker 4

 

Postare senza pensare. Punto. Prima di condividere qualcosa, bisogna porsi delle domande: che tipo di informazione sto mettendo online? Cosa c'è sullo sfondo della mia immagine? Se volessi vendicarmi, in che modo userei questa informazione contro di me?

 

Dal tuo punto di vista qual è il social che mette più a nudo la nostra vulnerabilità?

 

Credo che Facebook riveli più informazioni in assoluto – soprattutto perché mette in correlazione una quantità enorme di dati, come i tuoi amici, i colleghi, la famiglia, il lavoro, gli hobby, i figli e via dicendo. Molte risposte alle domande di sicurezza [usate per transazioni bancarie e modifiche di password possono essere dedotte semplicemente osservando il profilo Facebook di un utente. Come se non bastasse, Facebook per sua scelta non dedica grandi sforzi alla protezione della privacy – i social non funzionano bene se sono tutti reticenti e riservati. Per molti utenti non è intuitivo aggiungere impostazioni alla privacy che, invece, dovrebbero avere – sempre che prendano in considerazione la cosa.

 

Il riconoscimento facciale potrebbe impedire ai truffatori di creare profili falsi?

 

Stephanie Carruthers. Stephanie Carruthers.

Il riconoscimento facciale potrebbe contribuire alla diminuzione dei profili truffaldini, ma non alla loro scomparsa. Gli hacker sono molto astuti e si divertono a scovare modi nuovi per aggirare ostacoli di questo tipo. È come il gatto col topo. D'altra parte, per conferire maggiori responsabilità a Facebook, dovremmo fornire anche più informazioni personali. Conosco persone che considerano la loro privacy talmente importante da usare nomi falsi e foto "non umane" suo social. Per evitare un profilo falso, dovrebbero fornire a Facebook nome e volto reali. È simile all'idea di Facebook di combattere la cosiddetta pornografia vendicativa chiedendoti foto di nudo. Entrandone in possesso, per loro è più facile "cercare e distruggere", sotto il profilo dell'automazione. Tuttavia, qui ritorniamo al problema della fiducia e a quale sia il male minore.

 

Password e domande di sicurezza: perché tutte queste violazioni?

hacker 2 hacker 2

Le violazioni dei dati si verificano per diversi motivi, come attacchi di ingegneria sociale, vulnerabilità delle applicazioni, server senza patch, mancanza di controlli sulla sicurezza fisica, credenziali deboli o rubate, eccetera. Se queste vulnerabilità non cesseranno di esistere, allora continueranno anche le violazioni di dati.

 

Una misura di cui possono beneficiare tutti è adottare abitudini sane con le password. Le password sono un mix tra responsabilità individuale e aziendale. Ecco cosa si può fare per proteggersi:

 

Non riciclare le password, cambiarle spesso, e usare un password manager. Si dovrebbe disporre di una password forte e unica per ciascun login.

hacker facebook 2 hacker facebook 2

 

Mentire quando si risponde alle domande di sicurezza generale. Non c'è bisogno d'inserire correttamente il cognome di vostra madre da nubile. Utilizzate qualcosa che sia difficile da indovinare, come "nutella" o "Disneyland".

 

Usate l'autenticazione a due fattori. Quasi tutti i siti prevedono impostazioni di sicurezza extra tra le opzioni.

 

Chi sono tutti questi truffatori/hacker che vogliono le nostre informazioni?

facebook hacker 8 facebook hacker 8

I truffatori sono mossi dall'opportunità. Come in tutte le attività illegali, gravitano intorno alle situazioni in cui la ricompensa supera il rischio, e questo perché le leggi locali non comportano grandi rischi contro l'attività. Alla fine della fiera, non conta chi sono gli aggressori e dove si trovano, ma il fatto che ci sono informazioni di cui vogliono impossessarsi, con mezzi e capacità per riuscirci – a condizione che ne valga la pena. In molti casi hanno fortuna perché, in tanti negozi online, è solo un terno al lotto. Dispongono di un call center pieno di truffatori, molto simile alle campagne di telemarketing. Ricorrono a operazioni di lead-generation, adottano testi di dialogo, escalation interna, formazione e persino quote di vendita.

 

Qual è la cosa più importante che gli utenti di internet devono tenere a mente?

android android

Ricordarsi semplicemente che i problemi di sicurezza non saranno risolti tanto presto. Inoltre, è impossibile diventare i più inattaccabili al mondo. Tuttavia, possiamo renderci più sicuri degli altri – e, se tutto va bene, gli aggressori desisteranno e passeranno a qualcun altro. Come ha detto qualcuno: "Non devi correre più veloce dell'orso per salvarti la pelle. Ti basta correre più veloce del tizio accanto a te."

 

Condividi questo articolo

ultimi Dagoreport

VESPA, CHI ERA COSTUI? INDIGNATA LETTERINA DI "BRU-NEO" A DAGOSPIA: “IERI SERA AL PALAZZO DEI CONGRESSI HO ABBANDONATO LA CELEBRAZIONE DEI 100 ANNI DELLA RADIO E DEI 70 DELLA TELEVISIONE, INDIGNATO PER IL TRATTAMENTO RISERVATO A ‘PORTA A PORTA’. ACCANTO ALL'OMAGGIO A MONUMENTI COME ZAVOLI E PIERO ANGELA, SONO STATI RICORDATI ‘MIXER’ E ‘CHI L’HA VISTO’. MA NON UNA PAROLA, NÉ UNA IMMAGINE, SUI 30 ANNI DI PORTA A PORTA” - FATTE LE NOMINE, VESPA NON SERVE PIÙ? È STATO UN GENTILE CADEAU DA PARTE DI CHI È STATO ESTROMESSO? CHI C'È DIETRO? È MAI POSSIBILE CHE LA SCALETTA DI UN PROGRAMMA COSÌ IMPORTANTE, CHE CELEBRA UN SECOLO DI RAI, NON ABBIA AVUTO L’IMPRIMATUR DELL’AMMINISTRATORE DELEGATO DELLA RAI, GIAMPAOLO ROSSI?

PERCHÉ GIORGIA MELONI È COSÌ INCAZZATA CON LA DISGRAZIATA "TALPA" CHE HA SPIFFERATO IL BLITZ SULLA CONSULTA DI MARTEDÌ PROSSIMO? LA DUCETTA SPERAVA DI COGLIERE DI SORPRESA L'OPPOSIZIONE E SPIANARE LA STRADA AL SUO CONSIGLIERE GIURIDICO, FRANCESCO SAVERIO MARINI. GIUSTO IN TEMPO PER IL 12 NOVEMBRE, QUANDO LA CORTE COSTITUZIONALE POTREBBE BOCCIARE L'AUTONOMIA LEGHISTA, CON GRANDE GIUBILO DELLA SORA GIORGIA: SE COSÌ FOSSE, SALTEREBBE IL REFERENDUM CHE NON LA FA DORMIRE LA NOTTE (GLI ITALIANI SONO CONTRARI) - ANCHE FORZA ITALIA HA CHIAMATO IN ADUNATA I SUOI, MA LA LEGA NO. E TE CREDO...

DAGOREPORT - LA FINANZIARIA È UN INCUBO PER IL GOVERNO CAMALEONTE DI GIORGIA MELONI: GRAVATA DAGLI OBBLIGHI EUROPEI SUL DEBITO PUBBLICO, CHE ANDRÀ SFORBICIATO DI ALMENO 12 MILIARDI L’ANNO, E DA UNA CRESCITA STRIMINZITA – EPPURE IL PNRR PIÙ DOVIZIOSO D’EUROPA (QUASI 200 MILIARDI) DOVEVA GARANTIRCI CRESCITA COSTANTE E SOPRA AL 3%. COS’È ANDATO STORTO? TUTTO: IL PIANO È STATO MAL SPESO E PEGGIO INVESTITO. E CON IL TRASLOCO DEL MINISTRO FITTO, CHE HA GIÀ PORTATO ARMI E BAGAGLI A BRUXELLES IN VISTA DELL’ESAME DELL’EUROPARLAMENTO, LA SITUAZIONE POTRÀ SOLO PEGGIORARE. LA MELONA INFATTI VUOLE DIVIDERE IL PORTAFOGLIO TRA CIRIANI E MUSUMECI, NON CERTO DUE FENOMENI DI EFFICIENZA E GESTIONE…

DAGOREPORT – APPROFITTANDO DEL ''VUOTO DI POTERE'' ALLA CASA BIANCA, NETANYAHU STA SERIAMENTE PENSANDO DI COLPIRE TEHERAN - SE DOVESSE ATTACCARE, LA RISPOSTA DELLA MACCHINA BELLICA DI KHAMENEI NON SARA' PIU' DIMOSTRATIVA PERCHE' ISRAELE VERREBBE COLPITA NON SOLO DALL'IRAN MA ANCHE DA SIRIA, IRAK, YEMEN, LIBANO, GAZA, CISGIORDANIA - GLI AMERICANI PROVANO A FRENARE LA FOLLIA DEL DOTTOR STRANAMORE D'ISRAELE CON UN’OFFENSIVA DIPLOMATICA SOTTO TRACCIA: SONO STATI I SERVIZI A STELLE E STRISCE AD AVVISARE KHAMENEI CHE NASRALLAH ERA NEL MIRINO DI TEL AVIV (LA GUIDA SUPREMA HA AVVISATO IL CAPO DI HEZBOLLAH, CHE NON HA ASCOLTATO) E AD ALLERTARE ISRAELE CHE I RAZZI STAVANO PARTENDO DA TEHERAN… - VIDEO