In molti vivono nella convinzione, e alcuni anche nella paura, che i propri strumenti digitali lascino dietro di sé molte tracce che messe insieme da mani malintenzionate consentano di svelare informazioni personali di ogni tipo. È sicuramente tutto vero, al netto delle leggende metropolitane - «se senti l'eco della tua voce sei intercettato» -, tanto che gli esperti lo hanno soprannominato “effetto Pollicino”.
Uno di questi incubi è legato alla possibilità - ormai non più remota e, come vedremo, molto facile da attuare - che qualcuno ci pedini utilizzando il nostro smartphone. Proprio come è accaduto a Sara Di Pietrantonio, la 22enne romana trovata il 29 maggio 2016 semi carbonizzata in via della Magliana, periferia di Roma.
L'assassino nonché suo ex fidanzato Vincenzo Paduano per seguirla e spingerla fino al luogo dove si è consumato il delitto ha utilizzato la funzione “Trova il mio iPhone” e la relativa app per geolocalizzare il cellulare della vittima.
La diffusione della tecnologia ha amplificato enormemente il numero di informazioni che ogni giorno lasciamo in Rete. Basti pensare alle continue connessioni “push” con cui scarichiamo o condividiamo informazioni dai social network, ma anche ad altri strumenti, come bancomat e Telepass, fino ad arrivare alle fidelity card dei supermercati.
Ormai si riescono a ottenere informazioni di diversa natura anche senza violare i dispositivi: basta semplicemente consultare le fonti aperte (social network, forum, blog), dove spontaneamente si pubblicano pezzi di vita e si esprimono opinioni, una tecnica che è chiamata Osint (Open source intelligence).
Due esperti del settore, Nanni Bassetti e Paolo Reale, spiegano a Lettera43.it che «non esiste sistema di sicurezza che tenga se non c’è anche un adeguato comportamento umano, che spesso è il tallone d’Achille di ogni intrusione informatica».
Cioè? «Gli utenti, da sempre, si fanno ingannare da truffatori di vario genere», spiegano i due professionisti, «perché dimenticano, o non ricordano, di aver pubblicato o riferito le informazioni che sono servite al “losco figuro” per mettere in pratica la truffa, quindi, stupiti dal fatto che costui le conosca, pensano alla soluzione più difficile: mi spia il cellulare, il computer, la casa, ha dei poteri sovrannaturali e così via». Vale perciò il detto “se senti rumore di zoccoli pensa a un cavallo e non a una zebra!”, e, su questo argomento, è illuminante anche un video prodotto in Belgio.
In costante agguato, come nel recente caso di Sara Di Pietrantonio, c'è il pericolo concreto che a spiarvi non sia un'agenzia governativa, come la Cia o la Nsa, ma la persona che avete accanto tutti i giorni. Ed è chiaro che questo pericolo è legato, soprattutto, alle leggerezze che commettiamo tutti noi. Per esempio lasciare incustodito il nostro cellulare e senza misure di protezione, anche per pochi minuti, oppure accedere da computer “pubblici”, o di conoscenti, utilizzando le nostre credenziali senza evitare che queste rimangano memorizzate nel sistema che ci ospita.
Partendo proprio dal caso di Sara, è bene ricordare che la funzionalità di geolocalizzazione esiste in tutti gli smartphone di nuova generazione, sebbene il suo scopo non sia quello di consentire a terzi di rintracciare la nostra posizione, bensì di ritrovare il proprio apparato in caso di furto o di smarrimento. È una funzionalità disponibile sia per i sistemi Apple sia per Android, e può essere attivata o meno in qualunque momento dal proprietario.
«È ovvio però», spiegano ancora Nanni Bassetti e Paolo Reale, «che se abbiamo condiviso la nostra password di iCloud (o di Google nel caso di Android), o abbiamo inavvertitamente usato altri pc per accedere a quello spazio internet, il rischio è che qualcuno potrebbe utilizzare questo accesso. E il problema è che questo “qualcuno”, spesso, non è il verosimilmente disinteressato hacker che usa i sistemi spaziali per leggere i nostri post, bensì il fidanzato, l’amico, il convivente».
Dunque se abbiamo il dubbio che qualcuno possa aver intercettato le nostre credenziali di accesso, per esempio quelle per entrare in iCloud, che consente di localizzare il telefono ma anche di leggere le conversazioni di iMessage, e abbiamo attive queste funzionalità, meglio disattivarle: basta un clic dalla schermata di configurazione “Impostazioni > privacy”. Stesso discorso per per Android: “Privacy ed emergenza”.
E se per caso abbiamo usato un pc estraneo, o abbiamo ragionevoli motivi di ritenere che il nostro partner sia ancora interessato ai “fatti nostri”, adottiamo il semplice trucchetto di cambiare la password o, quanto meno, cerchiamo di evitare di lasciare le nostre credenziali su computer sconosciuti.
Anche WhatsApp è molto vulnerabile. Pochi secondi di distrazione possono essere sufficienti. Se ci colleghiamo a web.whatsapp.com, dal telefono o dal computer o (usando Google Chrome in modalità desktop o la relativa applicazione di recente diffusione), prendiamo il telefono della vittima designata e clicchiamo la voce WhatsApp Web sincronizzeremo il nostro browser. Che accade? Tutti i messaggi Whatsapp inviati o ricevuti, ma anche le foto, i video e gli audio destinati a quel cellulare verranno “replicati” in diretta sulla versione web “agganciata”. Così si ha davvero la possibilità di spiare il cellulare della vittima ottenendo tutte le sue chat. «Chiaramente questo», spiegano i due esperti, «non è un suggerimento per replicare il comportamento, che a tutti gli effetti è un reato perseguito penalmente, ma consente di capire che in un modo “molto facile”, senza dispositivi da film di James Bond, è possibile accedere alle chat di terzi, semplicemente avendo avuto a disposizione il loro telefono per qualche secondo».
Come evitarlo? Innanzitutto non lasciate incustodito lo smartphone e controllate sempre nelle impostazioni WhatsApp Web che non ci sia nessuna connessione: se invece nell'elenco compare un dispositivo che non avete sincronizzato voi stessi allora disconnetterlo subito.
Spesso la tecnica più semplice per accedere al profilo social o alla casella di e-mail è quello di indovinare la password, per questo valgono i cari vecchi consigli di utilizzare parole chiave difficili e lunghe. Ma se poi ci si collega da computer altrui o da computer in hotel, in ufficio o a casa di amici, possono bastare dei programmi gratuiti, come quelli di Nirsoft, per ottenere in un clic tutte le password e gli account digitati memorizzati sui vari browser. Come scongiurare questo scenario? «Basta attivare sempre l’autenticazione a due fattori», dicono Bassetti e Reale, «e gli allarmi d’accesso: molte caselle e-mail ce l’hanno nelle loro impostazioni e anche i social network». E cosa accade? «Questa tecnica si basa sul fatto che ogni volta che si inseriscono le credenziali per l’accesso viene richiesto un codice inviato via e-mail o sms oppure generato da un software o app del vostro cellulare, inoltre vi avvisa se qualcuno sta provando ad accedere da un computer diverso dal solito».
Infine è meglio non utilizzare la stessa password per più servizi online, «perché se viene “bucato” uno di questi, i ladri avranno le chiavi per entrare in tutte le vostre altre utenze online. Quando si accede da altri computer è sempre meglio farlo con la modalità “in incognito” o “navigazione anonima”, che evita la memorizzazione locale di qualsiasi cosa».
Il web è pieno di applicazioni che consentono di spiare i telefonini, ma queste vanno installate, quindi mai lasciare il telefono incustodito e sbloccato e mai installare programmi che arrivano via e-mail o mms. Tramite motori di ricerca come Shodan si possono spiare case, uffici e tanto altro perché molte videocamere di sorveglianza, e addirittura anche baby monitor (quelli per neonati), sono lasciati aperti, senza password, in tal modo sono raggiungibili e chiunque può vedere quello che vedete anche voi.
Phishing per installare spyware o acquisire credenziali, sniffing dei pacchetti su rete Lan, cracking della password wi-fi, keylogger e altre diavolerie richiedono più “competenze” e una certa “collaborazione” da parte dell’utente, che deve lasciare incustodito il proprio dispositivo oppure cascare in tranelli informatici che lo inducono a installare malware o inserire le proprie credenziali in siti finti o, ancora, a non configurare correttamente i protocolli di sicurezza sul proprio router wi-fi.
Come salvarsi? «Password complicate e non lasciare mai il computer o telefono senza richiesta di password», aggiungono i due esperti, «utilizzare screen saver che richiedono la password, non installare qualsiasi cosa che provenga da fonti sconosciute o non ufficiali, controllare sempre la provenienza delle e-mail, non utilizzare la stessa password, aggiornare sempre l’antivirus e servirsi dei firewall. Ma sopratutto usare il cervello ed essere diffidenti. Insomma, la miglior difesa è la profilassi».
di Fabrizio Colarieti per lettera43.it [link originale]