Post originariamente condiviso su Reddit, che ora ho eliminato e trasferito qui.
Siccome i due argomenti sono in realtà distinti, in questo primo capitolo parleremo esclusivamente di sicurezza e nel prossimo, se ci sarà interesse, parleremo invece di privacy.
Prima di tutto, è importante far presente che la sicurezza non è una metrica binaria, ma è uno spettro. Esistono misure di sicurezza graduali, che vanno applicate a contesti diversi, sulla base di valutazioni di merito. Ogni misura di sicurezza, che possiamo chiamare "controllo", ha un costo: economico o di usabilità. Per questa ragione, è importante che i controlli di sicurezza adotatti siano adeguati al livello di rischio, di competenze e di compromessi che ognuno di noi possiede o è disposto ad accettare.
Nel campo della sicurezza informatica esiste un concetto che si chiama "Threat Model", cioè modello di minaccia. Questo è un processo che in realtà facciamo istintivamente tutti i giorni, identificando alcune cose che vogliamo proteggere (asset), chi vuole mettere in pericolo quelle cose (threat actor) e cosa queste persone possono fare (threat). Una volta identificato ciò, si passa a cosa possiamo fare per prevenire tali minacce (control).
Il classico esempio pratico è quello della casa e dei ladri. Io posso avere degli oggetti molto preziosi e voglio proteggerli dai ladri. A questo punto inizio a pensare all'argenteria della nonna come asset, e a chi può volersene impadronire o danneggiarli. Sicuramente una possibile minaccia sono i zingari i ladri, ma non l'unica: magari avete un maggiordomo dentro casa del quale non vi fidate e avete paura che li rubi, oppure la vostra collaboratrice domestica non è molto esperta, e avete paura che lavi l'argenteria col prodotto sbagliato e la rovini. A questo punto, abbiamo:
Possiamo dunque stabilire alcuni controlli, per esempio:
Questi non sono che alcuni esempi, e non essendo esperto nel gestire un castello di fine '800 potrei sbagliarmi. Tuttavia, perchè parlare di tutta questa roba in un post che dovrebbe essere sulla sicurezza informatica?
Perchè questo processo è più o meno quello che ci dovrebbe guidare quando decidiamo "fino a che punto" spingerci nella nostra missione sulla sicurezza. Molte persone non hanno competenze tecniche sufficienti per fare questo tipo di analisi, non sanno quali minacce esistono, nè che tipo di attori operano nel mondo, perciò si devono fidare di Aranzulla o - in questo caso - di stronzi come me.
La motivazione principale per la quale nel 2023 dobbiamo prenderci cura della nostra sicurezza (e di quella di chi ci è vicino e non sa come fare) è che ovviamente la nostra vita si basa più e più su attività digitali. Avere gli account violati (magari con contenuti privati), vedersi una carta di credito rubata o cose simili sono tanto all'ordine del giorno quanto una tragedia, specie per persone povere e che non hanno i mezzi per difendersi. Per quanto spesso ciò si traduce in conversazioni con i miei genitori che mi permettono di palleggiare con lo scroto come Cristiano Ronaldo, è responsabilità di chi ne sa di più aiutare chi ne sa di meno a proteggersi, perchè mentre chiunque sa cos'è una chiave o una serratura, nel mondo digitale molte persone vivono completamente nell'oscurità.
Questo manualetto sarà strutturato in maniera molto semplice: 3 livelli, da quello base a quello avanzato. Ogni livello presuppone un certo modello di minaccia e corrispondenti controlli. I dettagli diminuiscono al crescere del livello, perchè per chi ha un livello sufficientemente avanzato, post come questo sono sostanzialmente inutili.
Ovviamente la qui presente guida non è completa, ci sono ovviamente altre cose da aggiungere, ma l'obbiettivo è quello di gettare le basi. Se dovessi essermi perso qualcosa di sostanziale, lo aggiungerò con un EDIT (dando opportuno credito).
Attori: Principe nigeriano che vi manda le email, 15 enne curioso che abita nella casa accanto. In altre parole, criminali informatici che fanno pesca a strascico senza grandi competenze.
Minacce: Attacchi in genere poco sofisticati e non diretti specificatamente contro di voi. Scam via email, phishing piuttosto ovvio, vicino che vi scrocca il WiFi, Malware scaricato sorprendemente aprendo VideoDiBelen-LoSaiQuale.exe
. Account compromessi grazie ad altri data breach (un sito viene compromesso -> le vostre credenziali vengono rivelate -> account su altri siti dove usate quelle credenziali vengono compromessi).
In questo livello ci concentriamo sulle basi. Questo è un livello a cui tutti possono aspirare, specie se siete su Reddit Lemmy a leggere. Adottare le pratiche scritte qui richiede pochissimi cambiamenti delle proprie abitudini, quasi nessun servizio aggiuntivo (a pagamento o meno) e consiste principalmente nell'essere al corrente dei rischi esistenti e nell'adottare controlli facili e comodi. La comodità è la chiave, perchè chi è a questo livello non ha in genere il minimo interesse verso la sicurezza, non percependone i pericoli.
Password semplici, facilmente indovinabili e riutilizzate sono il modo più facile con il quale i vostri account preferiti sono violati. Usare password solide tuttavia richiede notevole sforzo, quindi prima di parlare di come le vostre password dovrebbero essere da 64 caratteri, parliamo di come rendere tutto ciò non solo facile, ma più comodo di ora.
Esistono dei programmi, chiamati password manager (gestori di password), che si comportano come delle casseforti: hanno una chiave (la password principale) e dentro contengono un sacco di altra roba preziosa (le vostre password, i numeri delle vostre carte di credito/debito, etc.). Personalmente, non posso che raccomandare Bitwarden, ma ce ne sono altri, come 1password, Keepass, etc.. Altre opzioni potete trovarle qui, Googlando o chiedendo allo schiavo pagato 2 euro/1000 parole ad Aranzulla.
Il primo passo è quello di creare un account sul password manager di vostra scelta, usando una password lunga, ma facile da ricordare. Questa è l'ultima password che dovrete ricordarvi nella vita, perciò sceglietela bene. Se state pensando ad una qualsiasi password già usata da un'altra parte, PEEEH, no. Una password che non avete mai usato, lunga, possibilmente con un paio di maiuscole, numeri e se ci esce qualche simbolo. Almeno 16 caratteri. Potete usare una passphrase, cioè una frase con parole a caso che potete ricordarvi. Tipo "finisci edoardo di dare il tonno!", che potete ricordavi pensando alla prima lettera di ogni parola: feddit.
Una volta creato un account, prima di fare qualsiasi cosa, installate l'applicazione sui vostri computer, telefoni e -nel caso di Bitwarden (come in molti altri casi)- il plugin del browser corrispondente.
Da oggi in poi, ogni volta che create un nuovo account, lo farete mettendo prima le informazioni nel password manager, usando il generatore automatico che questo vi offre per le password, generando password da 100 caratteri casuali, inclusi numeri, simboli e maiuscole dovunque potete, e occasionalmente limitandole al numero massimo di caratteri permessi. Questo non perchè 100 caratteri sono tanto meglio di 20 o 30, ma perchè con 100 caratteri sapete che non avrete mai la capacità di ricordarvele e quindi non sarete tentati. Ogni sito dovrà avere una password unica: non dovete ricordarvele, non c'è guadagno nel riutilizzarle.
La parte noiosa consiste nel riempire il password manager con tutte le password che avete in giro. Per questo, ci sono varie opzioni: la prima è che, se usate le funzioni di Chrome/Firefox per salvare le password, potete esportarle e importarle in molti password manager (nota, una volta fatto, smettete di salvare le password nel vostro browser!). La seconda è che quando fate il login in un sito, aggiungete la password al manager (molti manager ve lo chiederanno loro se volete salvare le credenziali). Il mio consiglio è una terza via, nella quale se state per fare il login in un sito/applicazione, usate la funzione "password dimenticata" e cambiate la password, salvando quella nuova nel manager. Questo farà in modo che in relativamente poco tempo avrete sia le password nel manager, sia password sicure ovunque.
Ovvia domanda? Ma che palle, ogni volta che devo fare un login devo entrare nel manager e copiare la password? Si, ma è più facile di così. Prima di tutto, una volta "sbloccato" il manager, questo rimane aperto per qualche tempo (configurabile). Secondo, sia su telefono che su computer, il password manager può compilare i form al posto vostro. Ciò significa che con una password (quella del manager), vi risparmierete lo sforzo sia di ricordare le altre password, sia di doverle scrivere!
C'è anche un punto bonus! Per sapere in quale sito usare quale password, i manager in genere vi permettono di associare ad ogni entrata uno o più URL (indirizzi). Non solo questo permette al manager di proporvi le password giuste da auto-compilare (tipo quella di Facebook se state su Facebook.com), ma è anche un ottimo modo per evitare di subire phishing. Se siete abituati a farvi autocompilare la password e un giorno il manager non ve la propone, è possibile che l'indirizzo non corrisponda perchè qualcuno vi sta provando a fregare (tipo fac3book.com).
Ricordatevi non c'è modo di recuperare la password del password manager, perciò dovrete ricordarvela. Se proprio non ce la fate, scrivetevela e mettetela in un posto sicuro dentro casa, ma non lo diciamo a nessuno.
Un altro dei modi più comuni con il quale finiamo sotto attacco sono le email. Di solito, la maggior parte dei filtri anti-spam riescono a beccare gran parte delle email di phishing o simili, ma ciò non accade sempre. Perciò, quando ricevete una mail, ricordatevi poche semplici accortezze:
L'ultimo vettore di compromissione è quello di scaricare file a caso via internet. Magari state cercando un film, magari un crack di un programma (non vi giudico), quello che sia. A questo punto, siate coscienti che scaricare file a caso da internet pone gli stessi rischi di scaricare allegati a caso. Windows di default usa Defender, che è un antivirus tutto sommato decente, e probabilmente vi avviserà se qualcosa va storto. Nella consapevolezza che un antivirus non beccherà tutto, aprite con cautela. A volte le crack richiedono explicitamente di disabilitare l'antivirus. Ecco, se fate questo genere di attività, passate al livello 2.
Ricordatevi che un film, canzone, etc. non sarà mail un file .exe
, .vba
, .doc
o .xls
(e simili). Non aprite mai un file che ha un'estensione che non vi aspettate. Se siete in dubbio, googlate l'estensione.
Come citato nella sezione precedente, avere un antivirus aggiornato può essere efficace contro semplici attacchi. Assicuratevi che l'aggiornamento sia configurato in automatico e che Defender sia attivo. Se non usate Windows dovrete usare un prodotto esterno per la vostra piattaforma (è Mac, lo so).
L'ultimo suggerimento, che è già molto meno importante degli altri, riguarda la password del WiFi. Assicuratevi che questa sia lunga e che non sia quella di default che vi hanno dato insieme al router. Le configurazioni di default dovrebbero essere sufficienti, ma cambiare la password non è un'operazione banale, e se non siete in grado di farlo potete farvi aiutare dal supporto del vostro fornitore.
Attori: Scammer più dedicato, autori di malware di massa, autori di siti malevoli.
Minacce: Truffe più sofisticate, spear phishing, siti vulnerabili e o malevoli, malware in file disseminati su Torrent etc.
In questo livello ci sarà uno sforzo attivo nel sacrificare un minimo di comodità per avere migliore sicurezza e si utilizzeranno servizi esterni, che fanno gran parte del lavoro per noi. Siccome le competenze di chi è a questo livello sono più alte, il livello di dettaglio viene ridotto.
noscript
per bloccare il codice Javascript di molti siti. Spesso i siti non funzioneranno, e dovrete disabilitare noscript a mano. Fatelo per i siti di cui vi fidate.Attori: Criminali informatici che vi prendono di mira
Minacce: Attacchi contro il vostro particolare modello di hardware (es. router), spear phishing avanzato (tramite social media, OSINT, reclutamento lavorativo), attacco fisico (pedinamento, furto di dispositivo etc.).
In questo livello si prende in mano la responsabilità per alcuni controlli, implementando soluzioni ad-hoc, in particolare nella rete domestica. Chiaramente qui il limite è la vostra paranoia, la lista qui serve solo a dare qualche idea.
Attori: APT, Servizi segreti, state-sponsored, etc.
Minacce: di morte.
Se siete in questo gruppo e state cercando informazioni su Reddit Lemmy siete già fottuti.
Hello everyone! During one of those illuminated evenings, I got the idea to move my small server in Scaleway to some more powerful server in Hetzner. If I will make the move, I am thinking of splitting the server in various VMs, to host different services that belongs to different trust boundaries, for example:
In order to achieve the best level of separation, I was thinking of using VMs. My default choice would be Proxmox, because I used it in the past, and because I generally trust it, however I am trying to evaluate multiple options, and maybe someone has good or better experiences to share.
Other options I thought about are:
Any idea or recommendation?
https://www.washingtonpost.com/obituaries/2023/06/16/daniel-ellsberg-pentagon-papers-dead/
@sudneo
@lemmy.world