Chi utilizza un dispositivo elettronico ha subito o subirà un attacco informatico. Su questo dato di fatto si basa un'analisi delle tecniche minime di autodifesa che gli utenti devono mettere in atto per la loro sicurezza come, ad esempio, il cambio della password.
Tutti coloro che usano un dispositivo elettronico hanno subito o subiranno un attacco informatico. Chi nega di avere subito un’intrusione lo fa solamente perché non è consapevole di averla patita. Questi sono i necessari punti di partenza per chiunque usi macchine collegate tramite la rete internet.
L’attuale basso livello della tecnica, per quanto fantasmagorica possa apparire, è tale da non assicurare la distribuzione di macchine tendenzialmente sicure.
Chi calca il pianeta Terra a cavallo del secondo e terzo millennio è, inequivocabilmente, la cavia i cui diritti possono essere sacrificati nei tentativi costanti di avere macchine tendenzialmente sicure.
In questo inizio di 21° secolo si usano macchine tendenzialmente insicure e reti tendenzialmente perforabili. Si potrebbe dire: “rischio calcolato”, che però ha la necessità di avere qualcuno che si accolla i danni collaterali.
Non è un giudizio di valore né una critica: è un fatto.
Tecniche minime di autodifesa contro gli attacchi informatici
Ovviamente gli esseri umani che usano apparecchi tecnici, e ormai, non se ne può fare a meno, hanno necessità, devono avere apparecchi tendenzialmente sicuri, ma così ancora non è.
Per usare un’immagine, l’industria ci fornisce automobili senza freni e ciascun automobilista è responsabilizzato a individuare questa criticità (“assessment”), a individuare le misure di precauzione e a dimostrare di essere in grado di arrestare il veicolo per non investire un pedone (“accountability”).
Nella naturale evoluzione delle cose umane, tra un po’, ci saranno macchine connesse in rete che hanno sistemi automatici e intrinseci di protezione, cioè macchine tendenzialmente sicure, di per se stesse tendenzialmente sicure, concentrandosi, allora, la fonte di pericolo nella dolosa o colposa condotta umana.
Nel frattempo chiunque di noi può subire un attacco, per quanto attento possa cercare di essere o credere di essere.
È notorio che solo una piccola fascia di coloro che usano gli strumenti elettronici connessi in rete è in grado di erigere tutte le possibili barriere note allo stato dell’arte e che, invece, la quasi totalità degli utenti, annebbiata dalla apparente facilità di utilizzo e abbagliata da possibili risultati che hanno il sapore della fantasia realizzata, neppure si renda conto dei pericoli che corre da hacker e intruder.
È altrettanto oggettivo, per quanto amaro, constatare che l’utente è abbandonato a se stesso e deve aiutarsi da sé.
A questo punto qualche avvertenza, anche se può sembrare piccola cosa.
La prima cosa è avere consapevolezza del fatto che quando si va in rete non si è sicuri, si è nudi in mezzo a una piazza con tutti potenzialmente affacciati al balcone a guardarci.
La seconda cosa è vincere l’oziosa inerzia e dare retta a chi ci consiglia cautele preventive, che possono riassumersi, almeno, in password e credenziali rigorosamente diverse per servizi diversi e predisposizione delle opzioni di sicurezza sugli elaboratori elettronici. È umano, tuttavia, dare retta alla fretta e all’abitudine, con la illusione fideistica di poter scansare i pericoli.
La terza cosa è avere un minimo idea di come scoprire se qualcuno ha abusato degli strumenti elettronici che ci paiono innocui, ma sono il nemico dentro casa.
Questo è il grosso problema: l’inconsapevolezza dei rischi e dei danni.
Se ti svaligiano la casa, te ne accorgi dubito perché l’uscio è divelto e le porte sono scardinate; se ti scippano i dati, magari non te ne accorgi per mesi perché l’attacco è occulto anche se è lì sotto i tuoi occhi, ma celato nelle pieghe della memoria del computer.
A questo riguardo ci sono alcuni strumenti di base, che comunque hanno la loro utilità.
Difesa fai-da-te contro gli attacchi informatici
CI sono, ad esempio, siti che contengono i dati rubati nel corso di attacchi informatici. Senza pretesa di completezza si possono citare i servizi HaveIBeenPwned, Avast Hack Check, Firefox Monitor: ci si collega ai rispettivo siti internet, si inseriscono l’indirizzo e-mail o la password e il sito ci risponde se quell’indirizzo o quella password sia stato oggetto di sottrazione.
Attenzione. Questi siti non ci dicono niente di più, cioè non ci dicono dove sono i nostri dati, su quali siti sono andati a finire. Anzi, un servizio di questo tipo, non sembri un paradosso, è contro la privacy. Ovviamente, verrebbe subito da ribattere che questo è un servizio di cui si dovrebbe fare carico, allora, la pubblica autorità, chiunque essa sia. Ma così ancora non è e bisogna farsene una ragione.
Chi riceve, comunque, la ferale notizia che la propria e-mail o la propria password o tutte e due sono presenti nei data base degli attacchi informatici, deve procedere a fare alcune minimali operazioni, che devono riguardare in contemporanea la “sostanza” e i dati, cioè la vita e le informazioni.
Tradotto: bisogna subito fare mente locale e capire se quegli indirizzi e-mail e quelle password sono state usate come credenziali per accedere a conti bancari o servizi in rete che usano dati identificativi, sensibili e comunque delicati e così via. A questo punto si deve controllare subito se la “sostanza” è integra: altrimenti detto, controllare che il saldo del conto corrente sia giusto e che non ci siano addebiti indebiti oppure che i servizi erogati dalle varie piattaforme non presentino anomalie.
In contestualità bisogna anche assicurare le informazioni, cambiando password e altre credenziali e/o dotarsi di credenziali più raffinate (doppie credenziali, ad esempio), eventualmente chiudendo account e così via. Così come occorrerà, a seconda dei casi, segnalare l’eventuale profilo fasullo al gestore del social network per ottenere il blocco dello stesso.
Se dalla prima verifica, quella sostanziale, dovessero emergere brutte notizie, bisogna cercare ripari a posteriori, tra quelli possibili: richiesta di rimborsi, denunce, querele, indennizzi assicurativi.
Bisognerà ricostruire, magari, l’esattezza di una trafila di dati, da cui dipendono effetti giuridici e, quindi, mettersi in contatto diretto con l’interlocutore contrattuale o con la pubblica amministrazione, presso i quali l’identità sia stata alterata.
Non è per nulla semplice, ma è come quando ci rubano il portafoglio con tutti i documenti dentro e anche con le carte di credito e le banconote.
Per l’altro versante, quello degli elaboratori elettronici e della rete internet, ad oggi, dobbiamo mettere una piccola toppa (cambio credenziali e simili) e sperare di essere un metro più in là al prossimo attacco, che è certo che ci sarà, ma non si quando e come.
Lo scenario generale, peraltro, potrà cambiare solo quando la privacy by design e la privacy by default saranno obblighi cogenti (e non solo una raccomandazione) a carico dei produttori e, quindi, non si potranno mettere in commercio beni e servizi tendenzialmente sicuri.
L’utilizzatore, il cittadino, il consumatore, le imprese, le pubbliche amministrazioni, tutti ci meritiamo di avere la sicurezza, non quale optional o quale prodotto della loro diligenza, ma “by default” quale caratteristica “di serie” di elaboratori ed applicativi.
Articolo originale pubblicato su Informazione Fiscale qui: La sicurezza informatica non può attendere