Sicurezza, ICT e altro

Recentemente una mail che sembrava inviata da uno studio legale risulta proporre l’installazione di un trojan. Poi leggo dell’ennesima frode via mail per carpire credenziali e numeri di carte di credito. Ogni giorno una nuova, ma in fondo sempre uguali. Ogni volta mando un avviso a qualche amico, e ogni tanto qualcuno mi risponde “in questa forse ci sarei cascato anch’io”. Eppure, il meccanismo è sempre lo stesso e le soluzioni sono sempre le stesse: non seguire i link nelle mail ma accedere direttamente ai siti tramite i canali abituali, non scaricare programmi indicati nelle mail, non aprire file direttamente ma salvarli e poi se è il caso aprirli, aggiornare l’antivirus e il computer. Magari sono soluzioni che non proteggono al 100%, ma abbastanza da ridurre il problema drasticamente.

Social engineering, chiaramente. Il problema è che anche l’utente che ci sta attento ha segnali contrastanti. Da una parte gli diciamo di non prestare attenzione alle mail che chiedono di autenticarsi, dall’altra la nostra banca ci manda pubblicità in messaggi in HTML con link ai siti. Certo, magari sono link che non richiedono l’autenticazione, ma la distinzione la capiamo noi che sappiamo di cosa parliamo!!! Su quella stessa pagina magari poi c’è un link che richiede subito l’autenticazione. Ci dobbiamo davvero aspettare che l’utente distingua:

• la mail solo testo senza link che la banca ci manda per informazioni critiche, che ci richiede di accedere al sito manualmente;
• la mail con qualche link al sito, che tanto è solo pubblicità, salvo poi proporci l’autenticazione in quella stessa pagina
• la mail fasulla con un link che ci porta ad un sito identico a quello della banca, e che guarda caso ci chiede l’autenticazione

Esempi come questo ne possiamo fare tantissimi, compreso il solito del ‘lucchetto vero – lucchetto fasullo – lucchetto solo su un frame’, ma il problema è sempre lo stesso: nel chiedere all’utente di distinguere casi così simili, gli diamo in realtà segnali contrastanti (non usare i link nelle mail, ma intanto ti mando le mail con i link; dai le credenziali nelle pagine col lucchetto, ma il lucchetto te lo nascondo ben bene), e quindi l’utente non si riesce a creare uno schema e una mentalità che lo difenda dalle truffe.

Ah, ma provate a dirlo al marketing, che non può mettere i link nelle mail…

Un gustoso articolo (lungo però dieci pagine!) che smitizza le capacità delle agenzie a tre lettere, e ne discute i problemi. Mi sembra molto ben fatto, anche se ovviamente io non so niente dei problemi interni di queste agenzie. Pare non riescano a rimanere più avanzate della rete pubblica, almeno in termini di raccolta e scambio di informazioni, perché la raccolta e lo scambio di informazioni è ormai il pane quotidiano per tutti. Con la differenza che è molto difficile scambiare informazioni, ma nel contempo mantenerle segrete. Ci sono molti concetti interessanti. Ad esempio: l’informazione top secret è sempre meno e sempre meno utile, mentre è importante riuscire a trovare l’utile nell’informazione pubblica.

Non siamo gli unici ad avere periodicamente articoli che presentano Internet come luogo di terrore e perversione. Questo articolo di Die Welt spiega come i terroristi utilizzino “l’anarchia di Internet” per scambiare informazioni e reclutare adepti “quasi indisturbati”.
Il New York Times invece ci racconta che i computer rendono più facile il “guardonismo” di cui ho già avuto modo di parlare, ma in questo caso si tratta di dati medici. Assolutamente vero, ma la domanda è: come mai quelle “dozzine di persone” che hanno guardato i dati del bimbo di settte anni, hanno potuto farlo? Il problema e la soluzione sono sempre gli stessi, cioè il controllo degli accessi da parte del personale dipendente, e un audit efficace che scoraggi seriamente queste forme di guardonismo, perché è li`in mezzo che poi si mimetizzano le violazioni gravi.