Sicurezza personale On-line: Problemi Correnti e Buone PraticheFurto di credenziali online e problemi di privacy sono problemi che stanno diventando sempre più temi di animata discussione in tutti i media. Non passa settimana senza una storia di un “hack” o “leak” che si scatena sulle news, creando enorme frustrazione e preoccupazione per gli utenti affetti, ma anche per i non colpiti i quali possono solo sperare che la stessa cosa non succeda anche a loro.
Da un lato abbiamo problemi con le credenziali online rubate dagli hacker per accedere ai dati privati, di solito a scopo di lucro; mentre dall’altra parte gli enti governativi hanno l'autorità per richiedere accesso a informazioni personali memorizzate online attraverso mandati di comparizione al cloud service provider, social networks, reti di messaggistica e cellulari. Qui sotto ne presentiamo tre di tali recenti discussioni ed eventi. Vogliamo assicurarci che il pubblico è a conoscenza di ciò che Storj e la sua piattaforma può fare per proteggere la privacy dei dati e inoltre raccomandiamo le migliori pratiche su come proteggere le vostre credenziali online.
Edward Snowden sulla crittografia L'anno scorso Edward Snowden ha tenuto una sorta di "conferenza stampa" sul sito del Guardian [1], ricevendo quesiti scritti dai lettori e rispondendo online. Siamo stati molto colpiti dalla sua risposta a una domanda sulla crittografia. La risposta di Snowden: “La crittografia funziona. Forti sistemi crittografici correttamente implementati sono una delle poche cose su cui si possa contare. Purtroppo, la sicurezza degli endpoint è così terribilmente debole che l’NSA può spesso trovare il modo di aggirarla."
Celebgate Quello che sembravano essere foto private ed esplicite di oltre 100 celebrità sono state pubblicate online durante il weekend del Labor Day 2014, in un attacco di massa soprannominato "Celebgate". Le foto sono state prima pubblicate sul forum 4chan e poi sono state distribuite sul subreddit r/TheFappening. Le foto presumibilmente provenivano dagli acconti icloud delle vittime. Apple ha detto che l'hack è stato causato "da un attacco molto mirato sui nomi utente, password e domande di sicurezza" e non una violazione dei suoi sistemi. L'incidente ha scatenato una discussione sulla sicurezza del cloud. Molto probabilmente la colpa in questo caso va attribuita alle povere pratiche nella scelta delle credenziali per l’acconto da parte degli utenti colpiti, insieme ad un modo facile per gli hacker per riuscire ad accedere agli acconti di iCloud [2].
5 milioni di credenziali Google trapelano online Quasi 5 milioni di nomi utente e password presumibilmente per gli acconti di Google sono stati caricati su un forum online russo da hackers il 9 settembre 2014 [3]. Google ha inizialmente negato che vi fosse alcuna prova di un hack dei propri sistemi, ma poi in seguito lo ha confermato in un post sul suo stesso blog [4]. La maggior parte degli utenti non hanno molta cura nella scelta di una password per proteggere i loro acconti online. L'uso continuo di password deboli, basate su parole di dizionario che le rendono vulnerabili, è evidenziata anche in un post sul blog di LastPass che prende in esame la realtà delle nostre cattive pratiche con un’eccellente infografica [5].
Storj, MetaDisk e DriveShare: una ricetta per una privacy sui dati realeStorj sta lavorando sodo per risolvere i problemi di sicurezza dei dati, con l'aiuto della propria applicazione web, MetaDisk e un'applicazione client, DriveShare. È il primo provider di cloud storage decentralizzato con crittografata end-to-end che utilizza la tecnologia blockchain e la crittografia per proteggere i files online. Non c'è bisogno di fidarsi di una società, i loro server vulnerabili o i loro dipendenti con i tuoi dati. Questo rimuove completamente la fiducia dall'equazione. Per proteggere meglio i files, essi vengono crittografati client-side sul computer prima che vengano caricati. Inoltre, ogni file viene suddiviso in blocchi che vengono prima crittografati e poi distribuiti per l'archiviazione sulla rete di Storj. Questa è composta da nodi DriveShare gestiti dagli utenti di tutto il mondo che affittano il loro spazio su disco inutilizzato in cambio di Storjcoin X (SJCX).
La crittografia client-side assicura che tutti i dati, compresi i nomi dei file e il metadata, vengono criptati prima che qualsiasi trasferimento avvenga, ciò serve inoltre come un meccanismo a prova di manomissione. Se il file viene in qualche modo manipolato durante la conservazione, una funzione di hash crittografico aiuterà a dimostrare che il file manomesso non è l’originale. Poiché tutti i dati possono essere verificati, programmi dannosi non possono spiare, contraffare o modificare tali dati. Anche se qualcuno è stato in grado di accedere a un nodo DriveShare, sarebbe quasi impossibile decifrare gli algoritmi di crittografia e capire ciò che viene memorizzato.
L'aspetto decentrato di Storj significa che non ci sono server centrali ad essere compromessi, e visto l'uso della crittografia client-side, solo gli utenti finali hanno accesso ai loro files decriptati e alle proprie chiavi di crittografia.
Il cloud storage può essere solo sicuro quanto l'utente - se si dà via la password il cloud storage non può fare molto per proteggere i vostri dati. Nel caso di MetaDisk, non ci sarà una password, ma invece un "hash" e una "chiave privata" per ogni file. L'hash è come un identificatore univoco per un file, che permette di poterlo individuare con una ricerca della stringa di caratteri che compongono il vostro hash (ad esempio a07b4fdd12a56a7a78e61ce12b1a...). Inoltre ogni file avrà una chiave privata che vi permetterà di decifrare il file e accedere al suo contenuto. Gli utenti possono condividere i loro hashes e chiavi private per condividere i loro files con persone di fiducia o semplicemente perché vogliono che i loro files siano pubblicamente disponibili a tutti. Nei casi in cui gli utenti desiderano mantenere i dati privati, devono prestare molta attenzione a memorizzare i propri hashes e chiavi private in modo sicuro, lontano da occhi indiscreti,
malware e
spyware.
Raccomandazioni per password Qui di seguito sono alcune semplici regole che consentono di essere più attenti con le vostre credenziali.
Cambiare la password regolarmente e non riutilizzare la stessa password su vari siti web o acconti. Se si riutilizza lo stesso nome utente e password su tutti i siti web, e uno di loro viene compromesso, le credenziali potrebbero essere utilizzate per accedere ai vostri altri acconti. I pirati informatici potrebbero inoltre utilizzare sistemi di malware o
phishing per acquisire credenziali di accesso.
Non usare Parole di Dizionario, Nomi Propri o Parole Straniere: gli strumenti di “password cracking” sono molto efficaci nell'elaborazione di grandi quantità di combinazioni di lettere e numeri finquando un match per la password viene trovato, perciò tali utenti dovrebbero evitare di usare parole convenzionali per la password. Per lo stesso motivo, essi dovrebbero anche evitare parole regolari con numeri aggiunti alla fine e parole convenzionali che sono semplicemente scritte all'indietro, come "Nimda". Anche se queste password possano rivelarsi difficili per un semplice utente da scoprire, non lo sono assolutamente per gli attacchi a “forza bruta” con strumenti di decodifica.
Non usare Informazioni Personali: una delle cose più frustranti circa le passwords è che hanno bisogno di essere facile per gli utenti da ricordare. Naturalmente, questo porta molti utenti a inserire dati personali nella loro password. È incredibilmente facile per gli hackers di ottenere informazioni personali su potenziali obiettivi come è successo nel caso Celebgate citato sopra. Ciò significa che la password non deve includere niente di lontanamente relativo al nome dell'utente, soprannome, il nome di un membro della famiglia o animale domestico; né numeri facilmente riconoscibili come numeri di telefono, indirizzi o altre informazioni che qualcuno possa indovinare guardando alla vostra posta.
Lunghezza, Larghezza e Profondità:
Lunghezza significa che più lunga la password, più è difficile da decifrare. In poche parole, più lunga è meglio. In generale si raccomanda che le password siano tra i sei e i nove caratteri. Lunghezza maggiore è accettabile, ma le password più brevi dovrebbero essere evitate. La
larghezza è un modo di descrivere i diversi tipi di caratteri che vengono utilizzati. Non basta considerare l'alfabeto. Come regola generale, i seguenti tipi di caratteri dovrebbero essere inclusi in ogni parola:
- lettere maiuscole come A, B, C
- lettere minuscole come a, b, c
- numeri come 1, 2, 3
- caratteri speciali come $,?, &
- caratteri alternativi quali μ, £, Æ
Profondità si riferisce alla scelta di una password con un significato impegnativo - qualcosa non facilmente indovinabile. Bisogna smettere di pensare in termini di password e cominciare a pensare in termini di frasi. Una buona password è facile da ricordare, ma difficile da indovinare. Esempi di una frase mnemonica possono includere una frase compilata foneticamente, come "ImuKat!" (Invece di "I’m a cat!") o le prime lettere di una frase memorabile come "qbfjold *" = "quick brown fox jumped over lazy dog" [6].
Gestori di passwords Ci sono molti gestori di password disponibili: gratis, a pagamento, e anche open source. Ne abbiamo discusso anche su
StorjTalk. I gestori di password più consigliati dai nostri utenti sono elencati di seguito, ma non intendono essere un elenco esaustivo né gli unici disponibili, quindi fate sempre un pò di ricerca all’inizio.
- LastPass: gratuito per desktop a pagamento per cellulare, disponibile per Mac, Windows, Linux, Android e iOS. Sincronizzazione del password database è possibile tra desktop e cellulare.
- KeePass: gratuito e open source, disponibile per Windows, Mac, Linux e versioni "non ufficiali" per Android e iOS. Non semplice per utenti non tecnici, può essere eseguito da una chiavetta USB o un HD esterno, ma la sincronizzazione tra desktop e cellulare non è facile da eseguire.
- 1Password: a pagamento, disponibile per Mac, Windows, Android e iOS. Offre l’archivizione del password database crittografato su un disco locale, cloud, chiavetta usb, ecc. Facile da usare e offre la sincronizzazione di passwords tra dispositivi, tra cui desktop e cellulare.
I gestori di password di cui sopra possono essere utilizzati per memorizzare gli hashes e le chiavi private dei vostri files. È possibile utilizzarli per creare “note sicure" in cui è possibile salvare tutti i vostri hashes e chiavi richiamandoli quando necessario, ad occasione. Alcuni sono più sicuri di altri in quanto non sincronizzati a un server centrale che potrebbe essere violato. Alcune persone credono che i gestori di password open source sono migliori. È a vostra discrezione trovare quello che funziona per voi in termini di facilità di utilizzo, caratteristiche di sicurezza e di budget.
Sistemi di protezione Si consiglia inoltre un sistema di protezione completa con antivirus e protezione Internet, non solo su computer desktop o laptop, ma anche su smartphone. Software di protezione Internet e un antivirus previene l’infezione di qualsiasi malware conosciuto sul computer quando si naviga il Web o installano applicazioni scaricate da fonti "non così ben note”. Non dimenticare di tenere la suite di protezione aggiornata scaricando le ultime definizioni dei virus regolarmente perché nuovi virus e malware vengono rilasciati ogni giorno. Ancora una volta, fate la vostra ricerca e vedete quale prodotto si addice meglio a voi e al vostro sistema. Una rapida ricerca su Google per "antivirus" o “protezione Internet” vi presenterà numerose opzioni.
Referenze[1] The Guardian, “Edward Snowden: NSA whistleblower answers reader questions”,
http://www.theguardian.com/world/2013/jun/17/edward-snowden-nsa-files-whistleblower, June 17, 2013
[2] The Next Web, “This could be the iCloud flaw that led to celebrity photos being leaked“,
http://thenextweb.com/apple/2014/09/01/this-could-be-the-apple-icloud-flaw-that-led-to-celebrity-photos-being-leaked/, September 9, 2014
[3] The Next Web, “4.93 million Gmail usernames and passwords published, Google says ‘no evidence’ its systems were compromised”,
http://thenextweb.com/google/2014/09/10/4-93-million-gmail-usernames-passwords-published-google-says-evidence-systems-compromised/, September 9, 2014
[4] Google Online Security Blog, “Cleaning up after password dumps”,
http://googleonlinesecurity.blogspot.co.uk/2014/09/cleaning-up-after-password-dumps.html, September 10, 2014
[5] LastPass, “The Scary Truth About Your Passwords: An Analysis of the Gmail Leak”,
http://blog.lastpass.com/2014/09/the-scary-truth-about-your-passwords.html, September 16, 2014
[6] Symantec, “The Simplest Security: A Guide To Better Password Practices”,
http://www.symantec.com/connect/articles/simplest-security-guide-better-password-practices, January 17, 2002
Articolo Originale:
http://blog.storj.io/post/98182880593/personal-security-online-current-issues-and-best
