Un po' di regole sulle buone prassi da seguire per difendersi in rete e un'idea di cosa viene usato per attacarvi

1. BUONE PRATICHE PER LA
SICUREZZA IN RETE

2. DISCLAIMER
• TUTTO QUELLO DI CUI VI PARLERÒ VA APPLICATO ALL’IMPORTANZA CHE DATE AI VOSTRI DATI,
QUALI E CHE LIVELLO DI SICUREZZA (PARANOIA?) VOLETE MANTENERE
• LA TANA DEL BIANCONIGLIO È TALMENTE PROFONDA CHE TOCCHERÒ DI STRISCIO GLI ARGOMENTI.
• SE INTERESSA QUALCOSA IN PARTICOLARE APPROFONDIAMO NEL Q&A CON UN BUON PIRLO

3. SCOPO DEL TALK
• BASI SULLA SICUREZZA IN RETE
• COSA SI PUÒ FARE PER PROTEGGERE I PROPRI DATI
• UN’IDEA DI COSA C’È LA FUORI

4. DI COSA DI PARLARE?
• BUONE PRATICHE
• TWO FACTOR AUTHENTICATION (OTP)
• CRIPTAZIONE
• CLOUD
• SOCIAL ENGINEERING
• SICUREZZA NEI LUOGHI PUBBLICI
• NAVIGAZIONE ANONIMA

5. SFATIAMO IL PRIMO MITO
NON ESISTE NULLA DI
SICURO

6. “
”
I THINK INFORMATION SECURITY IS A LOT LIKE
MEDICINE — IT’S BOTH AN ART AND SCIENCE.
MAYBE THIS IS BECAUSE HUMANS HAVE EXPLICITLY
BUILT TECHNOLOGY AND THE INTERNET
PARISA “SECURITY PRINCESS” TABRIZ – HEAD ENGINEER OF GOOGLE’S CHROME SECURITY
TEAM

7. LA BASI…
• PASSWORD A TUTTI I VOSTRI DISPOSITIVI
• NON LASCIATE MAI IL VOSTRO DISPOSITIVO INCUSTODITO SENZA
BLOCCARE LO SCHERMO
• UN BUON ANTIVIRUS NON FA MAI MALE

8. UNA BUONA PASSWORD PREVIENE MOLTI ATTACCHI
HTTP://XKCD.COM/936/

9. LE 10 PEGGIORI PASSWORD DEL 2015
1. 123456
2. PASSWORD
3. 12345678
4. QWERTY
5. 12345
6. 123456789
7. FOOTBALL
8. 1234
9. 1234567
10. BASEBALL
Fonte: https://www.teamsid.com/worst-passwords-2015/

10. POTETE USARE UN PASSWORD MANAGER…
• LASTPASS
• DASHLANE
• KEEPASS
• 1PASSWORD
• ROBOFORM

11. …MA RICORDATE CHE….
• SERVE UNA MASTER PASSWORD
• SE LA PERDETE…PERDETE TUTTO
• ANCHE QUESTI SONO SOFTWARE E PERTANTO SOGGETTI A FALLE DI SICUREZZA
• PER CITARNE UNA RECENTE: HTTP://HACKADAY.COM/2016/08/01/LASTPASS-HAPPILY-FORFEITS-
PASSWORDS-TO-SIMPLE-JAVASCRIPT/

12. TUTTI I SOFTWARE HANNO VULNERABILITÀ
TENETE AGGIORNATI I SISTEMI E PROGRAMMI
MAGARI ASPETTATE UN PAIO DI GIORNI ;)
http://www.cvedetails.com/top-50-products.php?year=2015

13. ASSICURATEVI DI ESSERE IN HTTPS
• LA S STA PER «SECURE»
• PROTEGGE LA PRIVACY DEGLI UTENTI
• EVITA LO SNIFFING (MAN IN THE MIDDLE)
• CONTROLLATE L’ICONA IN ALTO A SINISTRA

14. TWO FACTOR AUTHENTICATION
• È UN OTP (ONE TIME PASSWORD)
• ATTIVATELO OVUNQUE POTETE
• MAGARI NON METTETE LA SPUNTA A «NON CHIEDERMELO PIÙ» 
• GOOGLE AUTHENTICATOR
HTTPS://PLAY.GOOGLE.COM/STORE/APPS/DETAILS?ID=COM.GOOGLE.ANDROID.APPS.AUTHENTICATOR2
• AZURE AUTHENTICATOR (IOS, ANDROID E WINDOWS PHONE) A BREVE

15. SE VI RUBANO IL PORTATILE O UN HD/USB
ESTERNO?
• BIT LOCKER (WINDOWS)
• TRUECRYPT / VERACRYTP (MULTIPIATTAFORMA E CREA ANCHE CONTAINER)
• FILEVAULT (OSX)
• ANDROID HA L’OPZIONE DA ATTIVARE, MA PARE SIA FACILE RAGGIRARLO
• IOS CRIPTA TUTTI I DATI PERSONALI IN AUTOMATICO

16. COME ACCEDO?
SI INSTALLA UN BOOT LOADER E DA QUI LE SCELTE:
• MODULO TPM
HTTPS://IT.WIKIPEDIA.ORG/WIKI/TRUSTED_PLATFORM_MODULE
• PASSWORD
• CHIAVE USB O SMARTCARD
• PARTIZIONI NASCOSTE (PLAUSIBLE DENIABILITY )

17. SONO SICURI?
• NON DEL TUTTO
• SOGGETTI AD ATTACCHI «EVIL MAID» (LINUX E OSX)
HTTPS://WWW.SCHNEIER.COM/BLOG/ARCHIVES/2009/10/EVIL_MAID_ATTAC.HTML
• BITLOCKER NO, MA SI VOCIFERA ABBIA DELLE BACKDOOR PERCHÉ COLLABORA CON LA NSA (E
CODICE NON OPEN, PERTANTO NIENTE AUDIT COME A TC)

18. E IL CLOUD?
• SI FA LO SBAGLIO DI PENSARLI COME HARD DISK ESTERNI
• HANNO TANTI DATI E ATTIRANO L’ATTENZIONE
• SICUREZZA DI CASA VOSTRA VS SICUREZZA GESTITA DA ALTRI
• CASO REMOTO, MA È SUCCESSO CHE ABBIANO CANCELLATO I
DATI
• THE FAPPENING…ANYONE?
• TRESORIT È UN’ALTERNATIVA CRIPTATA
• BOXCRIPTOR CRIPTA PRIMA DI SINCRONIZZARE

19. SOCIAL ENGINEERING
• MANIPOLAZIONE PSICOLOGICA DELLE PERSONE
• OTTENGO INFORMAZIONI CONFIDENZIALI (PRETEXTING, PHISHING, SPEARPHISHING)
• GLI FACCIO FARE QUALCOSA (BAITING)

20. “
”
IT IS MUCH EASIER TO TRICK SOMEONE INTO
GIVING A PASSWORD FOR A SYSTEM THAN TO
SPEND THE EFFORT TO CRACK INTO THE SYSTEM.
KEVIN MITNICK

21. ESEMPIO PIÙ BANALE DI QUANTO IMMAGINATE?
• NEL 2003, IN UN SONDAGGIO SULLA SICUREZZA, IL 90% DEGLI IMPIEGATI AVEVA FORNITO AI
RICERCATORI QUELLA CHE DICHIARARONO ESSERE LA LORO PASSWORD IN RISPOSTA AD UNA
DELLE DOMANDE DEL QUESTIONARIO…IN CAMBIO DI UNA PENNA IN REGALO.

22. SICUREZZA NEI LUOGHI PUBBLICI
• BLOCCATE LE CONDIVISIONI
• ATTIVATE IL FIREWALL
• HTTPS #CHEVELODICOAFARE
• VPN
• ELIMINATE I WI-FI A CUI NON VI ATTACCATE PIÙ
• NIENTE TRANSAZIONI ECONOMICHE

23. TOR
• PERMETTE LA NAVIGAZIONE ANONIMA (MEGLIO DI IE, FF, CHROME O SAFARI)
• ABBIAMO ACCESSO ALLA DARK NET (CHE NON È IL DEEP WEB)
• ANDIAMO SU THEHIDDENWIKI (HTTP://ZQKTLWI4FECVO6RI.ONION)

24. QUINDI È SICURO NAVIGARE CON TOR?
• 3% DEI NODI SONO «ROGUE»
HTTPS://NAKEDSECURITY.SOPHOS.COM/2016/07/26/HONEY-ONIONS-PROBE-THE-TOR-DARK-WEBT-AT-LEAST-3-OF-DARK-WEB-NODES-ARE-ROGUES/

25. COSA È RIMASTO FUORI?
• IOT
• TYPO SQUATTING
• E-WHORING
• …

26. E GIUSTO PER NON FARCI MANCARE NULLA
• SE AVETE TUTTO NEL TELEFONO, BASTA HACKARVI QUELLO ;)
HTTP://WWW.PCMAG.COM/NEWS/345207/HACKERS-NO-LONGER-NEED-YOUR-PASSWORD

27. SFATIAMO IL PRIMO MITO
NON ESISTE NULLA DI
SICURO

28. QUINDI?
• DIPENDE DALLA VOSTRA INTELLIGENZA E CONOSCENZA
• «BECAUSE THERE IS NO PATCH TO HUMAN STUPIDITY»

29. DOMANDE?
MAGARI DAVANTI AD UNA BIRRA?

30. GRAZIE