Download - DOCFLOW Personal Cybersecurity 2015
www.docflow.com
Personal Cybersecurity Come difendersi nei nuovi scenari del Cybercrime
UGO MICCI
13 settembre 2015
2 Personal Cybersecurity 2
Cybersecurity? Non mi riguarda!!
Non uso la carta di credito su internet, e
sul mio PC non ho nulla di segreto!
Ne siamo sicuri?
Personal Cybersecurity 3
Alcuni dati
Personal Cybersecurity 4
La diffusione del fenomeno Cybercrime
Personal Cybersecurity 5
La diffusione del fenomeno Cybercrime
3.000.000 di attacchi informatici al giorno nel mondo https://cybermap.kaspersky.com/
http://map.norsecorp.com/
Personal Cybersecurity 6
Personal Cybersecurity 7
La «rete» sa molte cose di noi
https://maps.google.com/locationhistory/b/0/
Dentro google resta traccia di tutti i vostri spostamenti…
8 Personal Cybersecurity 8
Il profilo degli attaccanti si è spostato dai ragazzini
«nerd» (se mai ci sono stati) alle organizzazioni
criminali. E’ diventato un business come la droga e le
armi.
Com’è cambiato lo scenario
Il bersaglio principale non
sono più i codici delle carte
di credito, ma i dati
personali e il controllo dei
PC per poi usarli per attività
criminali
Personal Cybersecurity 9
#ilbersagliosiamonoi
10 Personal Cybersecurity 10
Non importa chi sei
Non importa cosa fai
Non importa con cosa lo fai
Ti attaccheranno
E se non ti sarai protetto in modo adeguato subirai dei danni
(A. «Mayhem» Pennasilico)
Personal Cybersecurity 11
Cosa rischiamo?
12 Personal Cybersecurity 12
Con il furto di identità i tuoi
dati personali vengono
usati per attività illecite.
Furto di identità
Questo può farti trovare invischiato in procedure
legali che, pur risolvendosi, si trascinano per anni, e
nel frattempo creano disagi enormi: impossibilità di
accedere a finanziamenti, carte di credito bloccate,
etc.
13 Personal Cybersecurity 13
Il tuo computer personale viene usato come «testa di
ponte» per svolgere attività criminali in totale
anonimato, o per sottrarre e diffondere informazioni
riservate presenti non solo sul tuo PC, ma anche sui
sistemi a cui ti connetti (lavoro, clienti, etc.)
Malware
Questo può avere gravi
conseguenze penali e
professionali (se ad esempio
tramite il nostro PC viene recato
un danno all’azienda in cui
lavoriamo, o ad un nostro
cliente)
14 Personal Cybersecurity 14
Tutti i tuoi dati (foto, documenti, posta) vengono
cifrati, e ti viene chiesto di pagare un riscatto per
avere la chiave per decifrarli
In alcuni casi possono essere addirittura effettuati foto
e video a tua insaputa, che poi vengono usati per
ricattarti
Cryptolocker e Ransomware
#ilbersagliosiamonoi
15 Personal Cybersecurity 15
Tramite l’analisi dei nostri social (Facebook, LinkedIn,
Twitter), ma anche attraverso mail o telefonate mirate,
l’aggressore viene in possesso di informazioni riservate,
che può poi usare per il furto di identità e per
l’accesso a sistemi protetti
Social Engineering e Phishing
16 Personal Cybersecurity 16
Come mi proteggo?
17 Personal Cybersecurity 17
Innanzitutto la consapevolezza:
#ilbersagliosiamonoi
Personal Cybersecurity 18
Le credenziali di accesso (username e password) sono
il vostro tesoro più prezioso:
NON comunicatele MAI a nessuno.
Nessuna eccezione
Mai
Personal Cybersecurity 19
Per le vostre password NON usate nulla che sia
facilmente riconducibile a voi (date di nascita vostre,
dei figli, nomi degli animali domestici, etc)
Password di questo tipo sono normalmente
«crackabili» in massimo10 minuti.
Sostituire lettere con numeri simili (S3GR3T0 invece di
SEGRETO) era un trucco molto valido…
Negli anni 80.
E per favore.. Non scrivete le
password sui post-it attaccati al
PC. Nel mio lavoro ne vedo
almeno un paio da ogni Cliente in
cui vado.
Personal Cybersecurity 20
Non usate la stessa password per tutti i vostri account
(facebook, posta elettronica, banca…) ma separatele
almeno per ambito. Meglio sarebbe una password per
ogni account.
Prestate attenzione alla
domanda segreta in caso
dimenticaste la password:
«la mia squadra preferita»
oppure «il nome del mio cane»
sono oggettivamente banali…
Titolo presentazione 21
Recentemente sono state crackate 11 milioni di
password del sito Ashley Madison, e sono state rese
pubbliche
120.000 persone avevano come password «123456»
Personal Cybersecurity 22
Le regole d’oro per
creare la password:
+ di 8 caratteri (meglio 14)
Alterna maiuscole e minuscole
Inserisci almeno due tra numeri e caratteri speciali
(es. @#$%^& )
Niente parti del nome o dello username
Niente parole di uso comune
E cambia le tue password almeno ogni 6 mesi, o se hai
il dubbio che siano state compromesse
Personal Cybersecurity 23
Per aiutarti a ricordare una password diversa per ogni
sito, un piccolo trucco:
Crea (e memorizza) una sola password sicura, ad
esempio:
LioMe#560eRR
A questo punto aggiungi, in fondo, un carattere
speciale (es. $) e poi la prima lettera del sito, ad es.
per la posta gmail, una «g»
La tua password per la posta sarà ora:
LioMe#560eRR$g
24 Personal Cybersecurity 24
Subito dopo le credenziali, i vostri dati personali sono il
secondo tesoro da proteggere!
Non dateli a nessuno, a meno che non siate
ASSOLUTAMENTE sicuri che la richiesta sia legittima.
Riconoscere le email sospette
Via email e al telefono non avere dubbi sul reale
interlocutore è molto difficile…
Se c’è qualche dubbio,
non ci sono dubbi
(De Niro, Ronin)
Personal Cybersecurity 25
Potete riconoscere le mail di phishing perché
normalmente contengono errori grammaticali, hanno
toni allarmistici, e vi chiedono di cliccare su dei link o di
aprire documenti allegati.
Non cliccate mai sui link, ma digitate manualmente gli
indirizzi nel browser
Ad esempio, per accedere al vostro conto Intesa,
digitate sempre manualmente nel browser
https://www.intesasanpaolo.com
invece di cliccare su questo link:
www.intesasanpaolo.com
http://sitocattivissimo.org
Personal Cybersecurity 26
Un esempio di mail di phishing
http://sitocattivissimo.org
Generico
Link di phishing
Caratteri «speciali»
Minacce
Link di phishing
Errori grammaticali
Personal Cybersecurity 27
Spesso degli apparentemente innocui documenti PDF
nascondono in realtà dei virus.
Non apriteli mai direttamente, ma piuttosto scaricateli
sul desktop ed eseguite, prima di aprirli, una scansione
con l’antivirus
Avete un antivirus, vero?
E’ aggiornato, vero?
Effettuate regolarmente una scansione del PC,
vero?
#ilbersagliosiamonoi
Personal Cybersecurity 28
Aggiornate costantemente il sistema operativo
applicando prima possibile tutte le patch di sicurezza
che escono
Le aziende produttrici di software spendono milioni di
dollari per rilasciare tempestivamente gli
aggiornamenti che «tappano» le falle di sicurezza.
NON VANIFICATE I LORO SFORZI!
Il 99% delle intrusioni nei sistemi avviene attraverso
falle conosciute e per le quali è già disponibile la
patch
Personal Cybersecurity 29
Non siete soli!
Istruite la vostra famiglia, soprattutto i vostri figli, sui
rischi correlati alla Cybersecurity, e condividete con
loro le nozioni base di protezione
#ilbersagliosiamonoi
Personal Cybersecurity 30
Separate il più possibile le sessioni di lavoro navigando
in internet. Evitate ad esempio di collegarvi al sito del
remote banking mentre avete aperto un sito di dubbia
provenienza, oppure di navigare per diletto mentre
avete attiva la VPN aziendale
Se possibile, non utilizzate servizi quali Torrent per
scaricare materiale dalla rete, e se lo fate usate PC
dedicati, scollegati dal resto della vostra rete (e MAI
dal PC aziendale!)
In generale…
Personal Cybersecurity 31
Installate solo programmi della cui provenienza e sul
cui reale funzionamento non avete dubbi
Sui social, condividete il minor numero possibile di
informazioni, e sfruttate appieno le opzioni di privacy e
security per limitare le informazioni che rendete
accessibili a tutto il mondo
Siate sospettosi in caso di contatti da parte di persone
sconosciute (è la versione moderna del «non
accettare caramelle dagli sconosciuti») e non fornite
MAI loro informazioni personali, nemmeno le più
innocue
In generale…
#ilbersagliosiamonoi
Personal Cybersecurity 32
In caso di comportamenti sospetti del PC (finestre che
si aprono da sole, eccessiva e improvvisa lentezza, o
anche solo una mail sospetta) non abbiate remore a
chiedere, il prima possibile, il supporto del vostro
reparto IT o comunque di un esperto.
Prevenire è molto più economico che rimediare, e un
minimo di paranoia può farvi risparmiare molti soldi,
tempo e grattacapi
In generale…
Personal Cybersecurity 33
E se nonostante tutti i vostri sforzi un’intrusione dovesse
riuscire (e prima o poi capiterà) ricordate un aspetto
fondamentale:
#ilbersagliosiamonoi
Effettuate regolarmente
un backup
dei vostri dati più importanti, soprattutto quelli in
«copia unica» come ad esempio le foto di famiglia,
ormai sempre più spesso esclusivamente in digitale
Personal Cybersecurity 34
http://www.dhs.gov/cybersecurity-tips
http://www.difesa.it/SMD_/Staff/Reparti/II/CERT/Tips_Tri
cks/Pagine/Cyber_Security_Tips.aspx
http://clusit.it/download/Rapporto_Clusit%202014.pdf
Per approfondire:
www.docflow.com
DocFlow Italia S.p.A.
Centro Direzionale Milanofiori
Strada 4 Palazzo Q8 | 20089 Rozzano (MI)
Tel. 02.57503366 | [email protected]
Ugo Micci [email protected]
Mob. 335 1234567