Web Security, Celeste Tabita intervista l’ingegnere Giuseppe Cofone
– Intervista di Celeste Tabita –
Dal GDPR alle relative violazioni. Oggi la web security non solo è di fondamentale importanza, è anche obbligatoria. Va detto comunque che le grandi aziende dispongono di sistemi di sicurezza tali da non far correre, o quasi, rischi ai propri utenti, i quali spesso si ritrovano violati della propria identità più per negligenza e mancata informazione piuttosto che per attacchi frontali veri e propri.
Dal lavoro in azienda a una startup innovativa che nasce in Calabria con la premessa educativa. Perché?
“Le conoscenze apprese in ambito Privacy e digitale in generale, possono essere utilizzate in ambiti in cui c’è un forte bisogno di digitale e di riduzione del digital gap, e questo è il caso della Calabria, la regione da cui provengo, in cui c’è estrema necessità di educazione digitale.
La Calabria, infatti, oltre ad essere ultima in Europa come competenze digitali, si trova tristemente in cima alle classifiche europee anche per il numero elevato di giovani NEET (Not in education, employment or training) – Persona, cioè, soprattutto di giovane età, che non ha, né cerca, un impiego e non frequenta una scuola né un corso di formazione o di aggiornamento professionale.
Da qui, insieme ad altri 3 amici, abbiamo sentito il bisogno di fare qualcosa di concreto per la nostra amata regione, cercando di dare una spinta ai nostri giovani conterranei.
Così nasce l’idea di realizzare Alteredu, una startup calabrese ad alto impatto sociale creata in un piccolo paesino della provincia di Cosenza, con l’obiettivo di fornire competenze e certificazioni ai giovani calabresi e renderli competitivi nel mercato del lavoro. Alteredu nel suo Polo Formativo offre numerosi corsi e-learning certificati, dedicati a chiunque voglia ampliare le proprie competenze, arricchire il proprio CV o ottenere punti per concorsi.
Alteredu nasce dall’associazione di promozione sociale Futuro Digitale, diventata ormai importante no-profit riconosciuta a livello europeo e membro della digital skills and job coalition della Commissione Europea.
Grazie al nostro network europeo, ogni anno ospitiamo decine di giovani europei grazie al progetto Erasmus Tranineeship, permettendo da un lato di aumentare le loro competenze effettuando dei tirocini in Calabria, dall’altro di rendere la Calabria una regione più europea e internazionale.
Inoltre, grazie alle nostre competenze digitali, offriamo un prezioso supporto alle aziende del territorio con l’obiettivo di colmare il digital gap con il resto d’Europa.
Ci teniamo costantemente aggiornati sulle ultime tecnologie, cercando di mantenere la nostra regione alla velocità italiana e europea. Il nostro team di Ricerca&Sviluppo sta realizzando degli innovativi progetti su diversi fronti: in tema OpenCoesione, la realizzazione di DemOpen, una APP per permettere ad ogni cittadino di visualizzare l’albo pretorio del proprio comune direttamente dallo smartphone. In tema Blockchain, un’interessante iniziativa che lega questa tecnologia con il riciclo sostenibile dei rifiuti.
Inoltre, siamo costantemente in contatto con le piccole imprese del food calabrese per realizzare un network che faccia conoscere le nostre bontà a tutti, grazie ovviamente alla rete”.
Cosa si intende per data breach?
“Data breach è un termine che è iniziato a prendere sempre più piede in concomitanza con l’arrivo del GDPR. Prima, infatti, era difficile sentirne parlare.
In termini spiccioli il data breach è tutto quello che concerne la violazione o la perdita dei dati personali, che può essere dolosa o accidentale. Quindi potrebbe riguardare la perdita dei dati per via di una calamità naturale come un incendio, oppure un furto di una chiavetta USB o l’eliminazione involontaria di contenuto protetto. Oppure potrebbe riguardare un evento voluto, quindi doloso, come il furto di un hard disk o di un notebook con dati sensibili all’interno.
Per avere una definizione più formale, possiamo riferirci direttamente al GDPR. Infatti, L’art. 4 del regolamento europeo lo definisce come ‘la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati’.
Nel caso avvenga un episodio di Data Breach, il responsabile del trattamento, se designato, deve avvertire il titolare dell’avvenuta violazione dei dati. Quest’ultimo titolare dovrà, a quel punto, notificare l’evento all’autorità di controllo.
È importante ricordare che, secondo il nuovo regolamento europeo sulla privacy, la notifica di eventuali violazioni di dati dovrà avvenire possibilmente senza ingiustificato ritardo e, ove possibile, entro 72 ore, dal momento in cui si è venuti a conoscenza della violazione”.
Quali sono i principali cyberattack?
“Rispetto a qualche anno fa gli attacchi informatici sono triplicati e quelli già esistenti si sono rafforzati. Questo perché le nuove tecnologie, oltre ad aiutarci nel creare nuovi software e strumenti sempre più potenti, aiuta anche gli hacker a creare malware e tecniche di attacco sempre più raffinate.
Tecnicismi a parte, un attacco informatico può nascere da svariate motivazioni che siano di natura ideologica, economica, di spionaggio o diffamatoria.
Ecco che l’azione può mettere in circolazione informazioni segrete, private o addirittura fake news, creando un illecito a fini ideologici e divulgatori, così come può togliere dalla rete informazioni ad esempio a fini propagandistici o viceversa.
Gli attacchi possono essere quindi volti ad un’azione militare o politica, danneggiando temporaneamente servizi di natura sociale, (la società per come la conosciamo e fruiamo oggi è interamente governata da sistemi informatici), tali da rendere non tanto distopici i futuri apocalittici dei nostri film preferiti!
Il Defacing ad esempio, dall’inglese deturpare, è l’azione attraverso la quale una home page viene modificata, ciò può avvenire sia a scopo ideologico, come nel noto caso dell’’hacktivism’ sociale e politico del gruppo Anonymus per citarne uno, così come a scopo fraudolento, al fine di estorsione, spamming, phishing, diffamazione.
Tra i vari metodi possiamo trovare l’utilizzo di Bots e web scraping, ovvero software che eseguono azioni automatizzate tali da reperire ‘informazioni’ di interesse del ‘mittente’ (Non ti nascondo che in passato anche io mi sono dilettato a realizzare una sorta di strumento che effettuasse il web scraping, ovviamente rispettando tutti i limiti legali ed etici, ed è stato molto divertente testarlo e appurarne le potenzialità). I bots non sono necessariamente cattivi, anche se si stima che circa il 20% di tutto il traffico sia dovuto a bots di natura malevola.
DDoS, l’acronimo di Distributed Denial of Service, il cui fine, volendo semplificare, è rendere inutilizzabile un sistema (tale attacco come detto precedentemente può essere utilizzato per fini ideologici o politici)
I dati personali possono essere oltremodo ottenuti con altri strumenti quali ad esempio il Cross Site Scripting, utilizzato per modificare il contenuto di una pagina al fine di reindirizzare l’utente a un’altra applicazione Web infetta, l’SQL Injection, dove SQL non è una parolaccia ma il linguaggio standard per quanto riguarda i database che in questo caso sono l’oggetto del desiderio dell’attacco informatico. Infine i Malware, letteralmente ‘software malintenzionato’, la cui lista è infinita e il quale scopo fondamentalmente è quello di andare contro la volontà dell’utente. I Malware possono essere utilizzati ad esempio per rubare informazioni sensibili e avere accesso a sistemi informatici privati. La vittima può essere oggetto di frode, diffamazione o molto più semplicemente può essere, ahimè, spiata”.
Cosa si intende per social engineering e come contrastarlo?
“Il social engineering, oltre ad essere una modalità di attacco nata da poco rispetto a quelle storiche appena citate, è una delle tecniche più astute e intelligenti, per cui anche più difficili da stanare, di attacco informatico. Possiamo capirne il funzionamento a partire dall’etimologia del nome: Ingegneria Sociale. L’esperto hacker, come un ingegnere vissuto, studia la vittima alla stregua di un palazzo da costruire: interessi, affetti e passioni come se fossero fondamenta, pilastri e travi di una costruzione. Per cui una volta studiata la vittima, e aver trovato i suoi punti deboli, sferra l’attacco: l’obiettivo è ottenere i dati personali della vittima fingendosi qualcuno di cui il malcapitato si fida ciecamente: può essere il figlio, un amico, il capo. Potremmo mai pensare che dietro la richiesta innocua da parte di nostro figlio di acquistargli online l’ultimo videogioco uscito, si cela in realtà un hacker pronto ad acquisire i dati della nostra carta di credito?
L’attacco appena menzionato viene chiamato pretexting, e viene effettuato impersonando qualcuno per ottenere l’accesso a dati privilegiati. L’anello debole di qualsiasi catena di sicurezza è rappresentato dagli esseri umani. Il social engineering cerca di sfruttare tale anello debole facendo appello alla vanità, all’avidità, alla curiosità, all’altruismo, al rispetto o al timore nei confronti dell’autorità, al fine di spingere le persone a rivelare determinate informazioni o consentire l’accesso a un sistema informatico. Purtroppo, oltre il pretexting, sono molte le tecniche utilizzate dagli esperti di social engineering. Tra queste, vi è il baiting (offrire qualcosa al fine di consentire il download di un file dannoso), il phishing (una mail realizzata appositamente per favorire l’inserimento di informazioni personali), o lo scareware (spingere l’utente a credere che il proprio computer sia infetto per poi offrire una soluzione con cui infettarlo veramente).
Dato che il social engineering è una tecnica e non qualcosa di fisico, non è possibile rimuoverlo dal computer. L’unico modo per evitare di essere vittima del social engineering è non farsi truffare. Detto questo, se ci accorgiamo di essere stati vittime di una tecnica di social engineering, l’opzione migliore è utilizzare un programma antivirus per rimuovere qualsiasi file dannoso e modificare tutte le proprie password utilizzando una valida app, in grado di creare e memorizzare password inviolabili”.
Tra i reati commessi una grave piaga è anche quella del cyberbullismo e del revenge porn. È così difficile risalire alle fonti nel caso in cui il materiale messo in rete diventi virale?
“Altro tema scottante e tristemente attuale. È una piaga che sta diventando sempre più grave soprattutto nelle nuove generazioni, e ancora purtroppo non si percepisce l’importanza che riveste in tema sociale. Uno dei casi di revenge porn che più mi ha colpito è stato quello di Tiziana Cantone. Ragazza vittima di cyberbullismo sessuale da parte dell’ex fidanzato che, per goliardia e troppa ingenuità, ha iniziato a far girare su Whatsapp e altri social i video di Tiziana in atteggiamenti intimi. Purtroppo i video hanno raggiunto presto una portata nazionale, e la povera ragazza si è ritrovata riconosciuta e vezzeggiata da tutta Italia. Nonostante le denunce, eliminare tutti i video che la ritraevano non è stato facile e ci sono voluti diversi anni, soprattutto perché essendo salvati in privato potevano essere rimessi in circolazione in qualunque momento. Purtroppo la ragazza, che ormai non riusciva più a vivere per la vergogna e l’imbarazzo che provava a causa dei suoi video diventati pubblici, non ce l’ha fatta a sostenere un macigno così pesante e si è tolta la vita.
Questa storia deve farci riflettere su quanto è importante avere il rispetto della privacy nostra e delle persone con cui condividiamo contenuti: le conseguenze delle condivisione hanno una portata ben oltre la nostra immaginazione.
Per fortuna, qualche mese fa, il parlamento ha approvato all’unanimità l’emendamento al disegno di legge sul codice rosso che istituisce il reato di revenge porn: chi mette in pratica il cyberbullismo in ambito sessuale potrà essere accusato di molestia, violazione della privacy, diffamazione. Ma anche di istigazione al suicidio, qualora dalla pubblicazione dei video o delle immagini dovessero derivare atti tragici”.
Responsabilità aziendale ma anche personale. Senza educazione digitale il rischio di essere frodati diventa alto, quali sono i principali accorgimenti da tener presente?
“Bisogna innanzitutto capire l’importanza del tema. Ancora oggi non si ha contezza di quanto sia importante avere gli occhi aperti quando si naviga sul web: anche il link più innocuo può riservare brutte sorprese per il navigatore meno esperto.
I primi accorgimenti da tener presente riguardano innanzitutto l’analisi del sito web che si sta visualizzando: controllare che abbia un certificato di sicurezza in corso di validità (cioè verificare che le prime lettere della url – l’indirizzo del sito web – siano https, con la s finale e l’immagine di un lucchetto verde di fianco).
Bisogna inoltre stare attenti quando si effettuano i pagamenti: preferire sempre le transazioni con paypal, che permettono di non inserire i dati della carta e che, in caso di truffa, offrono la protezione acquisti PayPal.
Un altro consiglio personale che posso dare, e che attuo da quando ho iniziato a effettuare i primi acquisti online, è quello di avere una carta riservata solo per gli acquisti via web, da tenere sempre a zero e da ricaricare solo quando si sta per effettuare l’acquisto: in questo modo, anche se un hacker dovesse reperire i dati, troverebbe una carta con saldo a zero :D”.