Acquisti e pagamenti
Non ci sono rischi per il passaggio dei dati se nell'angolo della finestra del
browser (Mozilla, Explorer, Safari…) compare un lucchetto: indica che la
transazione e' protetta da un codice cifrato. Resta naturalmente da chiedersi:
chi gestisce il pagamento fornira' il servizio promesso? Senza contare che, se
il computer e' infettato, i caratteri digitati sulla tastiera non sono al
sicuro.
Come difendersi Acquistare solo da siti e societa' di cui si possano controllare
le referenze anche su motori di ricerca e forum. Esaminare gli estratti conto
delle carte di credito: chi subisce frodi online ed e' in buona fede viene
rimborsato dai gestori delle carte. Inoltre sarebbe consigliabile utilizzare un
indirizzo di posta elettronica differente per ciascun sito da cui si effettuano
acquisti.
Home banking
Siamo ormai alla fase due del phishing, termine inglese che indica i metodi per
carpire informazioni personali. La fase uno permette di sottrarre le password d'accesso,
per esempio ai conti online: l'allettamento viene da email truffaldine, tipo
«stiamo controllando la sua chiave d'accesso», «digiti la password scaduta
e poi la nuova»… La fase due serve anzitutto a riciclare il denaro sottratto
ai correntisti. Finte societa' straniere chiedono la collaborazione di persone
in paesi in cui tali imprese affermano di essere prive di rappresentanza. Chi
abbocca si vede piovere ogni settimana sul conto corrente alcune centinaia di
euro: ne puo' trattenere una percentuale e in cambio si impegna a girare il
resto in contanti a destinatari (dell'Est europeo) attraverso servizi di
trasferimento monetario. Un'operazione di riciclaggio, meglio diffidare delle
proposte di guadagnare denaro facile.
Come difendersi Preferire i conti online che utilizzano i cosiddetti token,
apparecchi simili a portachiavi che generano password casuali con validita'
limitata nel tempo e ogni volta diverse. Diffidare di ogni richiesta di dati
bancari che giunga via email. Non accettare mai denaro senza avere eseguito una
vera prestazione professionale.
Navigazione internet
Aprendo una pagina web si consegnano ai gestori del sito molti dati personali:
ora di collegamento, indirizzo Ip (quello che identifica il proprio computer),
localizzazione geografica, tipo e versione del software usato. Se non si
frequentano solamente siti affidabili, il rischio di infezioni online e' reale.
Nel codice di programmazione di una pagina potrebbero essere state inserite
alcune righe in grado di inoculare nel pc un trojan, cioe' un programma che fa
del computer uno zombie: si risveglia con un comando remoto impartito via
internet da malintenzionati. Allora il computer diventa una macchina per inviare
posta spazzatura (spam) o per attaccare siti internet sovraccaricandoli.
Come difendersi Installare antivirus, firewall, aggiornare costantemente sistema
operativo e motore di ricerca internet. Puo' essere efficace l'utilizzo di
browser meno diffusi, perche' comportano, statisticamente, un pericolo minore.
Motori di ricerca
Le informazioni private disseminate in ogni angolo della rete vengono raccolte
da alcuni motori di ricerca in una sorta di archivio. Pipl.com e' un
investigatore informatico che rovista nelle profondita' di internet. Per
esempio, scrivendo Mario Rossi (nome di fantasia), scopriamo migliaia di pagine
online che contengono questo nome: social network, siti internet di
informazione, documenti ufficiali. Un sistema di ricerca famoso come Google puo'
diventare uno strumento formidabile per scovare dati personali che normalmente
sarebbero custoditi gelosamente. Basta cercare fotografie (con Google immagini)
usando le parole chiave «carta d'identita'» o «passaporto». In pochi
secondi appaiono decine di documenti originali con foto, nomi, date di nascita,
luogo di residenza. Spesso si tratta di informazioni pubblicate in rete
incautamente dai possessori, in siti internet e blog.
Come difendersi Limitare le informazioni pubblicate su internet.
Posta elettronica
L'intestazione di ogni messaggio di posta fornisce informazioni tecniche sul
mittente sufficienti a un malintenzionato per rispondere con una email studiata
apposta per prendere il controllo del sistema. Tutti i messaggi scritti e
ricevuti risiedono nel computer: stabilmente nel programma di posta,
temporaneamente nella memoria temporanea (cache) del browser se si usa una
webmail. Bastano programmi come Net-Analysis o R-Mail per leggere tutto.
Come difendersi La cifratura delle e-mail con sistemi come Pgp o S/mime
impedisce che vengano lette da chi non ha le chiavi per decrittare il testo e
garantisce che il mittente sia davvero chi sostiene di essere. Ci sono inoltre
sistemi per rendere anonimo chi naviga: per esempio, Tor.
Social network
I ragazzi raccontano viaggi, incontri, serate con gli amici in social network e
blog che diventano cosi' diari pubblici. Eppure, sul web non sono soltanto i
loro conoscenti a leggerli: qualsiasi persona di passaggio puo' gettare uno
sguardo. E in alcuni casi diventa un rischio. Non e' difficile trovare minuziose
descrizioni di ubriacature notturne, di droga party, di bravate. E si diffonde l'abitudine
(non soltanto oltreoceano) di cercare nelle reti sociali online le informazioni
sui candidati per i colloqui di lavoro.
Come difendersi Ridurre al minimo i dati immessi nelle reti sociali.
Gestione di un sito web
Basta interrogare il motore Whois per conoscere i dati dell'intestatario di un
dominio. Un sito puo' subire attacchi dall'esterno, sia per danneggiare le
pagine sia per sottrarre dati.
Come difendersi L'unico modo di preservare la privacy e' registrare il dominio
all'estero attraverso un servizio di anonimizzazione, per esempio Godaddy,
Servage o Webair. Per proteggere il proprio sito da assalti serve una serie di
test, secondo un metodo standard, l'Owasp (open web application security
project). Meglio evitare di inserire sulle proprie pagine web dati riservati che
possano attirare l'attenzione, e collegamenti a servizi statistici come
Shinestat o Google analytics, servizi chat gestiti da terzi o altri contenuti
interattivi. Sono tutti canali di comunicazione con altri server e quindi altre
societa', il che aumenta i rischi.
Telefonia tradizionale e voip
Il passaggio dalla telefonia tradizionale a quella voip, via internet, sta
avvenendo anche all'insaputa degli utenti. Le compagnie per risparmiare (e
guadagnare di piu') deviano via internet le chiamate da telefoni normali. Per
esempio, chiamando un cellulare italiano in Italia da un cellulare italiano in
Svizzera la telefonata puo' passare dal Brasile o dalla Cina, perche' la
compagnia dell'ignaro cliente ha acquistato a basso costo una certa quantita'
di tempo di trasmissione in voip da un broker di telefonia di quei paesi. E per
la privacy siamo alle solite: le confidenze professionali o amorose si ritrovano
in balia di chiunque in un paese lontano. Basta una piccola falla nei punti meno
protetti perche' qualcuno, con un software aspiratutto, si inserisca nel
traffico dati ed estrapoli le chiamate voip ascoltandole poi con calma.
Come difendersi Utilizzare un sistema di crittografia applicato alle telefonate.
La Skype, il fornitore di telefonia voip piu' celebre, ha una cifratura dei
dati, ma le chiavi sono detenute dalla societa', quindi qualcuno le controlla.
Buona garanzia sono le chiavi personali, su cui si basa per esempio la
tecnologia Zrtp ideata dallo stesso Philip Zimmermann che invento' la tecnologia
Pretty good privacy (Pgp) per le email.
I nuovi rischi del mobile
Proliferano le microspie-software che, installate su un cellulare, consentono a
terzi di leggere sms, controllare contatti, ascoltare chiamate e rumori
ambientali. Le piu' recenti sfruttano i ricevitori Gps contenuti nei telefoni di
ultima generazione e localizzano il chiamante su una mappa satellitare. Per
installare il software basta un sms, apparentemente inviato da un operatore di
telefonia.
Come difendersi Accettare l'idea che i rischi informatici arrivino anche dal
cellulare. Installare un antivirus per telefonino.
Wi-fi
Navigare a sbafo attaccandosi alle reti wireless non protette e' diventata un'abitudine
per molti giovani nelle grandi citta'. Ma resta un reato. D'altronde chi vuole
accedere a dati riservati disponibili su una rete puo' usare la stessa porta d'accesso.
Negli aeroporti, per esempio, sono soprattutto i manager a connettersi al web
senza fili. Ebbene, in tempo reale qualcuno, dalla poltrona accanto, potrebbe
entrare nel loro portatile e sottrarre dati e informazioni.
Come difendersi Sulla propria rete impostare sempre una password di protezione,
preferendo il protocollo Wpa al Wep, che ormai e' considerato sorpassato e
violabile in pochi minuti. E