C’è un solo dispositivo che che sa più cose di noi di quante non ne sappiamo noi stessi ed è il nostro telefono. Lo portiamo praticamente ovunque, legge i nostri messaggi conosce la nostra posizione, le nostre abitudini di navigazione ….. La maggior parte degli esperti di sicurezza informatica concorda sul fatto che si tratta del dispositivo che rappresenta il più grande potenziale rischio di sicurezza informatica.
Combinando l’interfaccia comoda e facile da usare di uno smartphone con l’enorme quantità di dati privati disponibili sull’utente, si ottiene un “succulento” bersaglio per chiunque tenti di violare la privacy. Uno dei motivi che ne fortifica il sospetto è la richiesta di molte app all’accesso di praticamente tutto, dalla fotocamera al microfono, dalla posizione ai contatti.
Di seguito 10 consigli sulle abitudini da seguire per evitare spiacevoli inconvenienti o peggio il furto di dati sensibili.
1. Impostare il PIN di sblocco e la protezione biometrica (quando disponibile)
La protezione biometria (come le impronte digitali o il riconoscimento facciale) è comoda, ma più facile da aggirare. I PIN o le password di sblocco sono sicuri e sono più difficili da aggirare ma (a volte) facili da dimenticare. L’utilizzo di entrambi i metodi garantisce una doppia protezione ma soprattutto necessita della presenza fisica del proprietario per sbloccare il telefono.
2. Mantenere le applicazioni e il software aggiornati
Un software è più efficace e performante quando contiene dati in evoluzione sulla base di nuove informazioni. Questo concetto vale anche per il software dannoso. Se gli aggressori e il loro malware diventano ogni giorno più avanzati il software che gestisce e protegge il dispositivo deve essere attuale e “stare al passo”. Gli aggiornamenti servono proprio a questo è quindi consigliato di fare sempre gli aggiornamenti di Sistema ed in caso fare un check manuale dell’eventuale presenza di aggiornamenti o meno di solito in impostazioni / informazioni sul telefono / versione del software / verifica presenza di aggiornamenti.
Questo concetto vale anche per le App installate sul dispositivo generalmente quelle scaricate dal Playstore prevedono gli aggiornamenti automatici da impostazione di default dell’App Playstore ma vale la pena fare un’ulteriore verifica e controllare che siano attivi. Per le App non scaricate dal Playstore ma da eventuali altri market alternativi o da fonti web dirette è bene controllare se per quell’App è previsto od è uscito un aggiornamento ed in caso positivo effettuarlo.
3. Scaricare solo applicazioni da fonti ufficiali o affidabili
I Market ufficiali (Playstore, Aptoide, apkPure …) sono sempre la scelta migliore, le politiche di sicurezza e le verifiche a cui devono sottostare gli sviluppatori prima del rilascio pubblico dell’App sono rigide e restrittive a garanzia di un’App sicura. Un uteriore vantaggio è quello del poter comunicare con lo sviluppatore/Azienda nel caso in cui sorgano problemi o malfunzionamenti a minaccia della sicurezza e privacy.
Alcune App anche di note Aziende non sono presenti sullo Store per molteplici motivi o per scelte Aziendali, in questo caso è suggerito informarsi sul funzonamento dell’App e magari leggere recensioni o Feedback da chi la sta usando. Il concetto di base dev’essere che un’App non debba fare più di quello per cui è nata e cotrollare i permessi è buona abitudine.
4. Controllare i permessi delle app e concederli solo se necessario o solo quando l’App è in uso
Anche le app provenienti dalle fonti più affidabili potrebbero accedere dove non dovrebbero, i dati e le informazioni personali sono estremamente preziosi se rivenduti ai Data-Broker, quindi più se ne ricavano…meglio è !
I quatro permessi più sensibili e che hanno accesso ai nostri dati più privati sono: fotocamera, microfono, posizione e contatti. Può succedere che anche i caso di negazione dei permessi alcune App smettano di funzionare o inviino una notificha di malfunzionamento, in questo caso se l’App è necessaria i permessi vanno agevolati solo per il tempo di utilizzo dell’App. (solo quando usi l’App).
E’ buona norma verificare una tantum i permessi delle App ed in caso disabilitare l’uso in backgroud delle App inutilizzate.
5. Evitare il wi-fi pubblico non protetto
Capita che soggetti malintenzionati utilizzino le reti wi-fi pubbliche e non protette per l’acceso ad altri dispositivi connessi alla stessa rete monitorandone i contenuti. Le reti wi-fi pubbiche prive di password sono decisamente da evitare. Se possibile, limitatevi a connessioni sicure e hotspot personali e non condividete mai dati sensibili su una rete che non conoscete.
6. Eseguire il backup dei contenuti su di un’unità sicura, o sul Cloud ….ma non tutti
I backup nel Cloud sono indubbiamente convenienti ed estremamente pratici ma di base non concedono nessun controllo sull’infrastruttura server che sta dietro al cloud, in poche parole non si può sapere chi ha accesso al proprio materiale archiviato. Attenzione! non significa che i Cloud non debbano essere utilizzati ma bisogna scegliere quello o quelli che garantiscono riservatezza e privacy come i Cloud criptati e che utilizzano Zero knowledge * a garanzia di ulteriore sicurezza e riservatezza. Oppure utilizzare dispositivi di archiviazione esterni di proprietà ed a cui nessun’altro abbia accesso o per chi ha dimestichezza e possibilità può crearsi un Cloud su di un Server privato.
* Zero knowledge è un modello di sicurezza che utilizza una struttura unica di crittografia e segregazione dei dati per proteggere dalle violazioni degli stessi in/da remoto. Il modello zero knowledge si attiene a questi principi:
I dati vengono crittografati e decrittografati a livello di dispositivo, non sul server.
L’applicazione non memorizza mai dati in chiaro (leggibili dall’uomo).
Il server non riceve mai dati in chiaro
Nessun soggetto o intermediario appartenente al provider del servizio può visualizzare i dati non crittografati.
Le chiavi per decifrare e/o criptare i dati derivano dalla password principale dell’utente.
La crittografia multilivello fornisce un controllo degli accessi a livello di utente, gruppo e amministratore.
La condivisione dei dati utilizza la crittografia a chiave pubblica per una distribuzione sicura delle chiavi.
In parole povere, se lo slogan di Zero Trust è “Non fidarti di nessuno”, quello di Zero Knowledge è “Non sappiamo nulla e non possiamo accedere ai tuoi dati”.
7. Spegnere il bluetooth e il wi-fi quando non vengono utilizzati
Il telefono ha tanti modi diversi per inviare e ricevere informazioni, non solo la connessione dati. Quando non si utilizzano se i canali rimangono aperti, diventano canali che i potenziali aggressori possono utilizzare per accedere.
Quando non utilizzate il Bluetooth o il wi-fi è buona norma disattivarli.
8. Possibilmente non utilizzare il proprio indirizzo e-mail principale come Account del telefono
Sempre più provider di posta elettronica consentono agli utenti di utilizzare gli alias o email mascherate che proteggono e nascondono l’indirizzo reale. Questo permette di avere maggior controllo sull’attività email e di proteggerti dallo spam o dall’invio di potenziali files malevoli nascosti nelle Email o negli allegati, un indirizzo anonimo scoraggia certe attività.
9. Usare la messaggistica criptata
Uno dei sistemi più utilizzati dai malintenzionati per l’invio di link o file dannosi è attraverso i messaggi e le chat. A maggiorn ragione se qualcuno ha la possibilità di visualizzare le vostre conversazioni e quindi ha più informazioni che può utilizzare per personalizzare un attacco di phishing. La crittografia end-to-end è una soluzione in quanto garantisce che il destinatario sia l’unica persona in grado di visualizzare il messaggio. Una buona App di messaggistica criptata è Telegram che al contrario di molte altre App ha serie impostazioni di privacy.
10. Utilizzare un servizio VPN affidabile
In TivuStream parliamo spesso dei vantaggi di una VPN e di come affidarsi ad una VPN seria e certificata. Una VPN cripta tutti i dati in entrata ed in uscita dal vostro dispositivo nascondendo tutte le attività di navigaione o di scambio dati, i malintenzionati non saranno in grado di tracciare nessuna delle vostre attività posizione compresa.
