Alcuni consigli pratici per migliorare la sicurezza dello smart working

Immagine di mohamed mahmoud hassan con licenza CC0 Public Domain

In questo periodo di emergenza per la pandemia Covid-19, in cui si è costretti al “distanziamento sociale”, si lavora e si comunica da remoto.

Ma così come dobbiamo cercare di proteggerci dal virus, allo stesso modo dobbiamo cercare di proteggere le nostre comunicazioni ed il nostro lavoro.

A causa dell’emergenza, molte persone sono state improvvisamente costrette ad adottare nuove modalità di comunicazione e di lavoro a distanza, spesso utilizzando gli strumenti informatici che aveva a disposizione (computer fissi e portatili, tablet, smartphone, etc.) che non erano pensati ed utilizzati per un uso lavorativo.

Un uso lavorativo che impone una maggior protezione di quello che facciamo online.

In realtà, le buone pratiche per la sicurezza online dovrebbero essere adottate sempre. Ma forse risulta più facile capire che la videoconferenza con i colleghi di lavoro in cui si trattano argomenti riservati, deve risultare più protetta della videochiamata all’amico o al parente che non si può incontrare di persona.

Per comprendere i rischi delle comunicazioni da remoto, può essere utile prendere ad esempio quanto accaduto a Zoom in questi ultimi giorni.

Zoom è uno strumento per le videochiamate di gruppo che ha avuto un incredibile successo in queste ultime settimane, vedendo crescere in maniera esponenziale il numero di utenti.

Purtroppo, dopo  qualche tempo si è scoperto che la versione per iPhone condivideva dati degli utenti con Facebook, a scopo pubblicitario, senza specificare la tipologia di informazioni e senza chiedere il consenso degli utenti. E dopo qualche giorno è emerso un fenomeno detto zoombombing: la pratica di interrompere videolezioni e riunioni di vario genere in corso con messaggi stupidi o offensivi da parte di estranei che sono venuti a conoscenza del link per partecipare alla videochiamata.

Questo esempio dimostra che:

  • occorre prestare attenzione agli strumenti che utilizziamo online e sarebbe bene cercare di informarsi prima di utilizzarli
  • occorre alzare il livello di sicurezza nostro e degli strumenti che utilizziamo.

In queste ultime settimane sono usciti vari suggerimenti per alzare il livello di protezione degli strumenti informatici che utilizziamo; cerco qui di riassumere i consigli che ritengo più utili e più pratici. Eventuali esempi pratici sono pensati per un computer con Windows 10.

 

Multiutenza

Se utilizzate un computer condiviso (magari è l’unico computer della famigli e viene utilizzato anche dal figlio/a per seguire le lezioni on line, o dal marito/moglie per il proprio lavoro) è necessario avere un account per ogni utilizzatore del computer, in modo che “gli spazi di lavoro” risultino distinti e separati.

Per farlo, andate su Impostazioni / Account / Famiglia e altri utenti.


Aggiornamenti

Il sistema operativo ed i programmi che utilizzate devono essere aggiornati.

I programmi vengono costantemente aggiornati sia per apportare miglioramenti nelle funzioni, sia per risolvere bug o vulnerabilità. Un programma vecchio spesso contiene vulnerabilità note che lo rendono meno sicuro.

Lo stesso vale per il sistema operativo.

Il sistema operativo dovrebbe aggiornarsi automaticamente, ma è bene verificare in Impostazioni / Aggiornamento e Sicurezza / Verifica disponibilità aggiornamenti.

Per tutti gli altri programmi, cercate la funzione Verifica aggiornamenti o simile.

 

Antivirus

Impensabile non averlo. Installatelo e basta.

Windows ha già installato un antivirus (Windows Defender).

Ci sono poi molti antivirus gratuiti (cercateli su Aranzulla…).

 

Connessione sicura

È necessario utilizzare una connessione internet sicura. Il che significa:

  • non utilizzate una connessione wi-fi pubblica, ma la vostra connessione
  • verificate che il vostro modem/router sia aggiornato: di norma il firmware si dovrebbe aggiornare automaticamente, ma provate a verificare accedendo alle impostazioni del modem.

Normalmente per accedere al modem si digita nella barra indirizzi del browser 192.168.1.1 e ci si collega con Userid e password. Spesso nei modem entrambi sono admin: se non l’avete ancora fatto, cambiate queste credenziali di accesso (e appuntatele per non dimenicarle). Se non lo fate, chiunque potrebbe accedere al vostro modem.

  • verificate la sicurezza della connessione al servizio che utilizzate

Quando vi collegate alla vostra banca, pretendete che nessuno possa vedere quello che state facendo. Lo stesso deve valere per gli altri servizi che utilizziamo online, soprattutto se ci servono per condividere il lavoro con altri. Verificate quindi di utilizzare una connessione https (e non la semplice http! controllate la prima parte dell’indirizzo) e che nella barra del vsotro browser vi sia l’immagine di un lucchetto che indica che la connessione è sicura.


Backup

La definizione migliore di backup è: “quella cosa che doveva essere fatta prima“.

Nel momento in cui il computer si rompe o non funziona o per qualsiasi motivo non riuscite più ad eccedere ai vostri dati, alla posta, alle cartelle ed ai files su cui lavorate, si capisce l’importanza del backup.

Una memoria esterna su cui copiare i files e le cartelle più importanti costa poche decine di euro e vi permetterà di risparmiare tempo ed imprecazioni nel momento in cui avrete bisogno di recuperare e ripristinare i dati.

Nei backup si dovrebbe rispettare la regola del 3-2-1: 3 copie di backup, su 2 supporti diversi (ad esempio una chiavetta USB ed un hard disk esterno), di cui 1 da tenere in un posto diverso dalle altre (poco utile tenere un backup nella borsa del computer se poi vi rubano borsa, computer e backup; per questo una copia dovrebbe essere conservata in un altro posto). 

Attenzione ai servizi ed ai programmi online

Abbiamo visto sopra l’esempio di Zoom, un servizio per videoconferenze che ha avuto un incredibile successo nei primi giorni di lockdown e che poco dopo ha dimostrato di presentare gravi falle relative a sicurezza e privacy.

Quando usate un servizio online non affidatevi al primo servizio che trovate, ma cercate di informarvi su quello che offre, tenedo presente anche lo scopo per cui  lo utilizzate (per chattare con gli amici o per comunicazioni di lavoro che devono restare confidenziali?) e valutandone le caratteristiche anche in termini di privacy e sicurezza.

Inoltre, valutate anche se potrete utilizzarlo alla fine di questo periodo di emergenza. Molti grandi player in questo periodo stanno mettendo a disposizione gratuitamente servizi che normalmente sono a pagamento e che torneranno a pagamento alla fine dell’emergenza. Valutate se in futuro sarete disposti a pagare o valutate alternative che potrete utilizzare anche successivamente.

Ad esempio, invece di utilizzare Zoom è possibile utilizzare Jitsi, un srvizio di videoconferenza open source che può essere anche ospitato su un proprio server, garantendo sicurezza e privacy nelle conversazioni. Se vi risulta difficile gestire in proprio tale servizio, è possibile usarlo gratuitamente ed in sicurezza da qui. È sufficiente dare un nome alla vostra videochiamata (magari cercando un nome o un codice non troppo banale: se usate “prova” rischiate di trovarvi in videoconferenza con altri che hanno usato la stessa parola). Potete anche aggiungere una password per regolare l’accesso alla vidoeconferenza.

In questi giorni sono stati messi a disposizione altri server con installato Jitsi. Questo è italiano e questo è svizzero.


Altre alternative ai più comuni programmi collaborativi possono essere trovati qui (particolarmente interessante Cryptpad, simile a documenti Google per lavorare su documenti condivisi con il massimo di sicurezza e privacy.)


Password Manager

Quando lavoriamo online ed usiamo molteplici servizi, abbiamo bisogno di ricordare nomi e password di ciascun servizio.

Purtroppo, sappiamo che molto spesso vengono utilizzate le stesse password per molti – se non tutti – i servizi, e che spesso la password è di una banalità e semplicità disarmante (la più comune resta ancora 123456).

Molti servizi hanno subito nel corso del tempo dei data breach e nomi utenti e password sono stati resi pubblici. Se usate un nome utente e password uguali per il servizio A e per il servizio B ed il servizio A viene “bucato” esponendo nomi utenti e password, anche il servizio B diventa vulnerabile. Se poi avete usato la stessa password del servizio A per tutti gli altri servizi, allora avete un grosso problema.

Se volete verificare se siete stati coinvolti in qualche violazione di dati, potete controllare:
https://haveibeenpwned.com/
https://monitor.firefox.com/

Se invece volete verificare la sicurezza della vostra password, controllate qui.

D’altra parte ricordare tutte le password non è sempre facile.

Per risolvere questo problema basta utilizzare un password manager, cioè un programma o un estensione per il browser che memorizza tutte le vostre password (e volendo le può creare).

Sarà sufficiente memorizzare una sola password, quella per accedere al programma: tutte le altre password saranno memorizzate in modo sicuro in una sorta di cassaforte informatica a cui potrete accedere solo voi. E visto che non dovrete più ricordarle, potrete utilizzare password diverse e complicatissime per ogni servizio. O ancora meglio: lasciarle generare al password manager che si preoccuperà anche di memorizzarle per voi.

LastPass e 1Password sono i servizi più noti.

Un ottimo servizio open source che può essere utilizzato come programma del pc, come estensione del browser e come app sullo smartphone è Bitwarden, un password manager che consiglio vivamente.


Autenticazione a due fattori

Si tratta di un argomento strettamente collegato alla sicurezza ed all’utilizzo di credenziali (come la password) per accedere ai siti.

Come spiega Wikipedia, per autenticarsi ai sistemi informatici, si possono utilizzare metodi diversi:

  • “Una cosa che conosci”, per esempio una password o il PIN.

  • “Una cosa che hai”, come un telefono cellulare, una carta di credito o un oggetto fisico come un token.

  • “Una cosa che sei”, come l’impronta digitale, il timbro vocale, la retina o l’iride, o altre caratteristiche di riconoscimento attraverso caratteristiche uniche del corpo umano

Si parla di autenticazione a due fattori quando l’accesso si basa su due diversi metodi di autenticazione tra quelli sopra elencati. Una autenticazione a due fattori si contrappone dunque ad una comune autenticazione basata sulla sola password. L’autenticazione a due fattori viene definita un’autenticazione forte.

La pratica è molto più semplice della teoria. Ad esempio, nel momento in cui accedete ad un sito, inserite Userid e Password, ma vi viene chiesto anche un codice che vi arriva sul cellulare (“Una cosa che hai”).

Spesso, questo codice viene richiesto solo la prima volta che si accede da un dispositivo (ad es. il vostro PC), e non viene più richiesto se accedete ancora dallo stesso dispositivo.

Ma se un malintenzionato che è venuto a conoscenza dei vostri Userid e password (magari oggetto di un data breach e che “girano” sul web) cerca di utilizzarli, gli viene richiesto il codice che arriva sul vostro cellulare e quindi non riesce a completare l’accesso. Il vostro account rimane sicuro e spesso a voi viene inviata una notifica.

 

Una sana paranoia

Si dice che l’anello più debole della catena di sicurezza informatica, sia la persona che usa il computer. I computer non vengono infettati da virus da soli, ma siamo noi che apriamo una mail o l’allegato di una mail o inseriamo una chiavetta USB di dubbia provenienza.

Perciò, come consiglia il prof. Ziccardi occorre una sana paranoia: perché mi è arrivata questa mail? chi me la manda? sto aspettando un allegato?

Facciamo attenzione alle mail, vediamo come sono scritte (si tratta di un italiano corretto?), se il contenuto è plausibile (quante mail che ci comunicavano di essere eredi di migliaia di dollari da parte di uno sconosciuto benefattore morto!) se effettivamente aspettavamo una fattura o un rimborso.

Non clicchiamo su link “a caso”, prendiamoci un attimo per pensare e – nel dubbio – non apriamo link o allegati.

 

Un “decalogo” riassuntivo

Questi i consigli generali degli esperti, come riportati da Carola Frediani, nella sua newsletter “Guerre di rete“:

  1. Non accettare richieste di amicizia alla cieca da la qualunque

  2. Nessuno ti manderà mai dei soldi, mi spiace

  3. Non inserire la tua password dopo aver seguito un link nella prima mail che ti arriva o ti taglio le dita

  4. Usa un password manager. E’ facile. Mi ringrazierai

  5. Usa l’autenticazione a due fattori ovunque, anche al citofono

  6. Piuttosto che riusare le stesse password, scrivile su carta (e tienile al sicuro però, non su un dannato post-it!)

  7. Non usare software/apparecchi che non si possono aggiornare (sigh)

  8. Verifica l’identità di chi ti contatta. Better paranoid than sorry.

  9. Qualcosa di strano? Segnalalo al team della sicurezza in azienda (non temere, non sembra, ma sono umani anche loro).

 

 

Fonti:

Enisa (https://www.enisa.europa.eu/tips-for-cybersecurity-when-working-from-home; https://www.enisa.europa.eu/news/executive-news/top-tips-for-cybersecurity-when-working-remotely)

Prof. Giovanni Ziccardi (Webinair ” Lo studio «delocalizzato» in
periodo di emergenza”  di Giuffré Francis Lefebvre del 25.03.2020 e in generale:
https://ziccardi.ghost.io/


https://lealternative.net/

Carola Frediani: newsletter “Guerre di Rete”

Questa voce è stata pubblicata in informazioni pratiche, internet, privacy, Senza categoria. Aggiungi ai segnalibri il permalink.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *