“Il grande fratello vi guarda” recitava il famoso slogan presente nel mondo distopico di 1984. Tuttavia oggi, con i casi sempre più frequenti di furti di dati, come quelli più recenti della società israeliana Paragon e di quella milanese Equalize, abbiamo scoperto che la nostra realtà non è così distante da quella immaginata da George Orwell.
Per cercare di capirci qualcosa di più abbiamo intervistato Enrico Marcolini, perito informatico, esperto di cybersecurity, data protection e compliance normativa, ovvero un sostegno legale alle aziende nella protezione dei dati.
I casi Paragon-Equalize
Come riusciva a ottenere questi dati Equalize?
Equalize svolgeva le funzioni di investigazione e di dossieraggio, quindi riusciva a mettere insieme una serie di dati al fine di schedare delle persone per diversi motivi. Spesso queste attività vengono fatte per poter ricattare la persona e quindi trarne un vantaggio. Si è parlato a lungo sui giornali della presenza all’interno del gruppo di persone che appartenevano in passato alle forze dell’ordine, magari potevano avere dei canali preferenziali per accedere a queste informazioni. Sappiamo benissimo che per funzionare lo Stato italiano ha bisogno di conservare casellari giudiziari, o comunque di poter accedere a una serie di informazioni sui singoli individui. È un male se quelle informazioni poi vengono utilizzate per fare dossieraggio, in quel caso specifico c’era anche un sistema di società all’estero.
L’essere umano è la prima barriera
Troppo spesso ci sentiamo dire “tanto sanno già tutto di me e non ho niente da nascondere”. Questi sono falsi miti, perché non è vero che sanno tutto di noi, sanno quello che noi gli permettiamo di sapere. Chiaramente un organo statale sa anche di più. Tutte quelle checkbox, tutti quegli “accetta” che clicchiamo non fanno altro che portarci a una divulgazione del dato che abbiamo consapevolmente voluto condividere. Ci sono, d’altro canto, aziende e persone che dicono: “no ma io ho l’antivirus, le password lunghe e quindi sono al sicuro”. Anche questo tipo di affermazioni è pericoloso, perché bisognerebbe avere sempre un punto di vista autocritico, anche perché gli hacker sono sempre un passo avanti.
Pensiamo a un attacco di tipo phishing, “ricevo un e-mail, vengo convinto dal testo che c’è all’interno, apro il link e vengo portato su una pagina che ancora una volta mi convince di essere legittima e così incappo in questa truffa”. In questo caso c’è bisogno dell’utente per riuscire a portare a termine questo tipo di attacco.
Gli attacchi zero click
E per quanto riguarda Paragon?
In questo caso è stato fatto uso di software malevoli, come gli exploit zero click. Virus che possono essere attivati su una vittima senza che questa compia affettivamente un’azione. Questi si servono di vulnerabilità definite zero day che neanche gli sviluppatori conoscono. E se queste vulnerabilità hanno anche la caratteristica di essere attivabili senza un’operazione da parte dell’utente ecco che diventano molto pericolose. Nel caso di Graphite, il software sviluppato da Paragon l’utente veniva inserito in un gruppo di WhatsApp dove veniva condiviso un PDF e lo smartphone, cercando di interpretare questi dati, andava a permettere l’esecuzione di un codice malevolo eseguibile da remoto per poi fare quello che vuole.
Dobbiamo ricordarci che gli smartphone possiedono tutti i nostri dati, dalla banca, le password, le e-mail che possono essere usate per recuperare l’accesso a diversi servizi. Si possono attivare microfoni, GPS, fotocamere. Quindi, dal momento che un attaccante prende possesso di un dispositivo può fare tante operazioni diverse.
Come difendersi
Quali sono i modi più comuni per cui si può essere hackerati?
Per evitare gli attacchi più banali come il phishing l’attenzione è la principale difesa. Davanti alle truffe zero click invece non si può fare molto, bisognerebbe non avere uno smartphone. Questo tipo di virus è molto difficile da reperire. Infatti si parla spesso di attacchi Nation State, originati da stati che hanno la disponibilità economica per acquisire questi strumenti e poterli usare a loro piacimento. Chi viene colpito da un attacco con strumenti molto avanzati spesso è perché l’hacker vuole investire su quel tipo di attacco per ottenere informazioni che hanno un valore ancora più alto rispetto all’arma che viene utilizzata. Un pezzo di codice malevolo è particolarmente prezioso quando non è ancora di pubblico dominio. Ogni volta che il codice viene utilizzato l’hacker rischia di essere scoperto.
Le regole da adottare
Quali sono le regole che una persona deve tenere sempre a mente mentre naviga sul web o mentre usa il proprio dispositivo?
Il fattore umano è lo scudo principale di un privato e di un’azienda perché se gli umani rispondono bene ai tentativi di attacco è veramente la prima barriera e la più efficace.
La prima regola è mantenere aggiornati i dispositivi, i software e le app che sono su questi dispositivi. È noioso fare questi aggiornamenti, ma se la casa produttrice di un software decide che vuole divulgare questi aggiornamenti spesso di sicurezza, un motivo c’è. Il secondo passo è sicuramente quello di sviluppare della consapevolezza a livello personale, conoscere quelli che sono i metodi di raggiro più comuni. Per questo spesso le vittime sono gli anziani perché non hanno accesso a questo livello di consapevolezza. Paranoia e sospetto aiutano sempre.
Un’altra attività che può aiutare a evitare di subire attacchi, anche gli zero click tante volte è riavviare il telefono almeno una volta al giorno. Questo perché gli zero click o altri tipi di attacchi analoghi vengono attivati nel momento in cui si riceve la minaccia. Il riavvio del dispositivo fa perdere il collegamento con l’attaccante.
