I giorni in cui i newscaster che si preoccupano dell'intera Internet potrebbero essere chiusi da un semplice (ma efficace) worm informatico sono finiti, ma ciò non significa che la sicurezza online non sia più una preoccupazione. Le minacce sono diventate più complesse e, peggio, ora provengono da luoghi che la maggior parte non si aspetterebbe mai, come il governo. Qui ci sono 5 lezioni difficili che abbiamo imparato sulla sicurezza online nel 2013.
Il governo ti sta guardando ...
Il più grande punto di discussione sulla sicurezza informatica del 2013 è stata, ovviamente, la rivelazione che parti del governo degli Stati Uniti (principalmente l'Agenzia per la sicurezza nazionale) hanno spiato i cittadini senza moderazione.
Secondo i documenti trapelati dall'ex contraente della NSA Edward Snowden e rafforzati da altre fonti come William Binney, ex funzionario dell'NSA, i servizi di intelligence americani hanno accesso non solo ai record telefonici e ai metadati dei social network ma possono anche accedere a una vasta gamma di servizi tra cui il cellulare chiamate, e-mail e conversazioni online, tramite intercettazioni telefoniche dirette o tramite mandati segreti.
Che cosa significa questo per te? È difficile da dire perché la NSA insiste che il programma è un segreto di sicurezza nazionale. Mentre gli informatori hanno sottolineato che le dimensioni dei data center della NSA implicano che il governo registra e mantiene un volume piuttosto elevato di dati video e audio, non c'è modo di sapere con certezza cosa è stato registrato e memorizzato finché gli spyder americani continuano per mettere in ridicolo il pubblico.
La conclusione preoccupante è che non c'è nulla che tu possa fare per garantire la tua privacy, perché la misura in cui può essere compromessa e il modo in cui potrebbe essere compromessa è solo parzialmente nota.
... E così è chiunque altro
Non solo il governo è interessato a spiare le persone. Gli individui possono anche fare uso di video o audio nascosti presi dal computer di una vittima. Spesso ha meno a che fare con le frodi di quanto abbia a che fare con scherzi e porno, anche se i due possono convergere.
Il mondo sotterraneo di guardare le ignare vittime, chiamato "ratting", è stato brillantemente esposto in un articolo di Ars Technica. Anche se accendere la webcam di una persona e registrarla da remoto è spesso pensata come un hacking, ora può essere eseguita con relativa facilità usando programmi con nomi come Fun Manager. Una volta che un client di ratting è stato installato sul PC di una vittima, i ratters possono accedere e vedere cosa sta succedendo.
Spesso, "ciò che sta accadendo" si traduce direttamente nella possibilità di vedere le donne ignari con i loro vestiti spenti, anche se il software può anche essere usato per fare scherzi come l'apertura casuale di immagini disturbanti per vedere la reazione della vittima. Nei casi peggiori, il ratting può direttamente tradurre in ricatto, in quanto il ratter cattura immagini imbarazzanti o nude di una vittima e minaccia di rilasciarle se non vengono pagate un riscatto.
Le tue password non sono ancora protette
La sicurezza della password è una preoccupazione comune, e per una buona ragione. Fintanto che una singola stringa di testo è tutto ciò che si frappone tra il mondo e il tuo conto bancario, mantenere il segreto del testo sarà della massima importanza. Sfortunatamente, le aziende che ci chiedono di accedere con una password non sono così preoccupate e le stanno perdendo ad un ritmo allarmante.
La principale violazione di quest'anno è stata la cortesia di Adobe, che ha perso oltre 150 milioni di password in un enorme attacco che (secondo la compagnia) ha permesso agli aggressori di svincolarsi con il codice per software ancora in fase di sviluppo e rubare informazioni di fatturazione per alcuni clienti. Mentre le password sono state crittografate, sono state tutte protette utilizzando un metodo di crittografia obsoleto e la stessa chiave di crittografia. Il che significa che decodificarli era molto più facile di quanto avrebbe dovuto essere.
Mentre simili violazioni sono già avvenute in precedenza, Adobe è il più grande in termini di numero di password perse, il che dimostra che esistono ancora società che non prendono seriamente la sicurezza. Fortunatamente, c'è un modo semplice per sapere se i dati della password sono stati violati; vai su HaveIBeenPwned.com e inserisci il tuo indirizzo email.
L'hacking è un business
Poiché i computer sono diventati più complessi, anche i criminali che cercano di usarli come mezzo per realizzare un profitto illegale sono diventati più sofisticati. I giorni in cui un hacker solitario rilasciò sfacciatamente un virus solo per vedere cosa sembra essere finito, sostituito da gruppi che lavorano insieme per fare soldi.
Un esempio è Paunch, un hacker in Russia che ha diretto la vendita di un kit di exploit noto come Blackhole. Il kit, creato da Paunch e diversi co-cospiratori, è stato sviluppato in parte tattiche di business intelligenti. Piuttosto che cercare di inventare exploit zero-day da soli, il gruppo di Paunch ha acquistato exploit zero-day da altri hacker. Questi sono stati poi aggiunti al kit, che è stato venduto come un abbonamento da $ 500 a $ 700 al mese. Una parte dei profitti è stata reinvestita nell'acquisto di ulteriori exploit, cosa che ha reso Blackhole ancora più capace.
Questo è come ogni azienda funziona. Un prodotto viene sviluppato e, in caso di successo, parte del profitto viene reinvestito per rendere il prodotto migliore e, auspicabilmente, ancora più interessante. Ripeti fino a ricco. Sfortunatamente per Paunch, il suo piano è stato rintracciato dalla polizia russa e ora è sotto custodia.
Anche il tuo numero di previdenza sociale è di pochi clic
L'esistenza di botnet è nota da tempo, ma il loro uso è spesso associato a attacchi relativamente semplici ma massicci, come il diniego del servizio. Cos'è un attacco DDoS? [MakeUseOf Explains] Che cos'è un attacco DDoS? [MakeUseOf Explains] Il termine DDoS sibila quando il cyber-attivismo impenna la sua testa in massa. Questi tipi di attacchi fanno notizia internazionale a causa di molteplici ragioni. I problemi che scatenano quegli attacchi DDoS sono spesso controversi o altamente ... Leggi di più o invia email allo spamming, piuttosto che al furto di dati. Un team di hacker russi ci ha ricordato che possono fare di più che riempire le nostre caselle di posta con le pubblicità del Viagra quando sono riusciti a installare una botnet nei principali data broker (come LexisNexis) e a rubare volumi di dati sensibili.
Ciò ha portato a un "servizio" chiamato SSNDOB che ha venduto informazioni sui residenti degli Stati Uniti. Il prezzo? Solo un paio di dollari per un record di base e fino a $ 15 dollari per il controllo completo del credito o dello sfondo. Giusto; se sei cittadino statunitense, il numero di previdenza sociale e le informazioni sul credito potrebbero essere ottenuti a un prezzo inferiore al prezzo di un pasto presso The Olive Garden.
E peggiora. Oltre a memorizzare le informazioni, alcune società di intermediazione dei dati vengono anche utilizzate per autenticarsi. Potresti averlo analizzato da solo se hai mai provato a richiedere un prestito solo per essere stato accolto da domande del tipo "Qual era il tuo indirizzo cinque anni fa?" Dal momento che gli stessi mediatori di dati erano stati compromessi, tali domande potevano essere risolte con facilità.
Conclusione
Il 2013 non è stato un anno eccezionale per la sicurezza online. In effetti, è stato un po 'un incubo. Spionaggio del governo, numeri di sicurezza sociale rubati, ricatto di webcam da parte di estranei; molti li immaginano come scenari peggiori che potrebbero verificarsi solo nelle circostanze più estreme, ma quest'anno hanno dimostrato tutto ciò che è possibile con uno sforzo sorprendentemente piccolo. Si spera che il 2014 vedrà i passi necessari per risolvere questi problemi evidenti, anche se personalmente dubito che saremo così fortunati.
Immagine di credito: Flickr / Shane Becker, Flickr / Steve Rhodes