Categorie
2022 News-IT

LE APP DI MESSAGGISTICA SONO SICURE?

news

LE APP DI MESSAGGISTICA SONO SICURE?

Le applicazioni di messaggistica istantanea (o instant messaging) sono sempre più diffuse.

E non solo per i messaggi personali: in un periodo in cui lo smart working è divenuto un’alternativa lavorativa comune, la tendenza è di utilizzare le app di messaggistica anche per scambiare informazioni attinenti alla sfera professionale, in alternativa ad email e telefonate.

Ma queste app sono davvero sicure?

Ormai tutte le principali applicazioni di messaggistica sfruttano il meccanismo della crittografia end-to-end (E2E).
Con questo sistema i messaggi vengono cifrati con una coppia di chiavi, una pubblica ed una privata, che vengono scambiate solo tra mittente e destinatario.

Il vantaggio è che in questo modo i messaggi non possono essere letti se intercettati da una terza parte (un tipo di attacco che viene chiamato “Man in the middle” o MITM).

Ma, mentre la chiave pubblica viene allegata al primo messaggio inviato, la chiave privata è invece legata al dispositivo dove l’app è installata, rendendolo di fatto il punto debole del sistema. Se il dispositivo viene rubato o violato in qualche modo, sarà possibile accedere ai messaggi.

La cifratura dei dati, dunque, sebbene molto importante, ha delle limitazioni. E non è l’unico parametro da valutare per mettersi al riparo dai rischi di privacy.

Un altro aspetto da prendere in considerazione è costituito dalla gestione dei Metadati.

Con questo termine si intendono tutti i dati che possono essere raccolti sul conto dell’utente e delle sue attività e che costituiscono di fatto la sua fingerprint elettronica.

Nel caso delle app di messaggistica, i metadati raccolti possono includere i numeri telefonici di mittente e destinatario, l’elenco dei contatti, la durata e l’ora della conversazione, i dati sul dispositivo utilizzato, l’indirizzo IP, ecc…

Tramite i metadati, pur non potendo leggere il contenuto dei messaggi, è in ogni caso possibile dedurne informazioni utili e profilare l’utente ed i suoi interlocutori. Ogni app può però avere una diversa politica per la gestione dei metadati, e questo è sicuramente un buon punto di partenza per ricavare suggerimenti utili su come individuare le app più sicure.

Tra le varie applicazioni di messaggistica istantanea, WhatsApp è senza dubbio la più popolare al mondo.

Ma è davvero sicura?

L’app utilizza dal 2016 un protocollo di cifratura E2E estremamente sicuro (lo stesso di Signal, vedi più avanti).

Inoltre, questo sistema è attivo di default, senza dare all’utente la possibilità di disattivarlo: un vantaggio dal punto di vista della gestione dei rischi di privacy.

Tuttavia, Whatsapp conserva i metadati degli utenti sui propri server. Essendo di proprietà di Facebook, le possibilità che gli utenti vengano profilati da entrambe le applicazioni aumentano a dismisura.

In definitiva, Whatsapp non si rivela certamente l’app di messagistica più rispettosa della privacy in assoluto.

Quali sono quindi le alternative?

Eccone 3:

  1. Telegram

    Telegram è la più nota alternativa a Whatsapp e spesso viene considerata un’applicazione più sicura.

    Si tratta certamente di un’app ricca di funzionalità, adatta ad usi disparati e che supera anche alcune limitazioni di Whatsapp, come ad esempio il numero di partecipanti ad una chat di gruppo. Ma, dal punto dei rischi privacy, le cose sono più complesse.

    Telegram è infatti un’app di messaggistica interamente basata sul cloud: le chat e la cronologia dei messaggi vengono salvate sui loro server. Questa funzionalità, che da un lato consente di gestire le conversazioni da diversi dispositivi, espone però a numerosi rischi in quanto rende più facile l’accesso ai dati anche per i criminali.

    Per quanto riguarda la crittografia, l’app offre di default solo una cifratura client-server, ovvero dal mittente al server e dal server al destinatario. La crittografia E2E è messa a disposizione solo nelle chat segrete, ma questa opzione non è predefinita e deve essere attivata preventivamente.

    Chi pensa quindi che Telegram sia un’applicazione di messagistica più sicura di Whatsapp deve ricredersi e tenere in considerazione tutti gli aspetti.


  2. Signal

    Signal è un’app di instant messaging open-source ancora poco nota, ma che presenta caratteristiche interessanti.

    Raccomandata da diversi esperti di Cyber Security e perfino dalla Commissione Europea, Signal utilizza un protocollo di crittografia E2E chiamato “Signal Encryption Protocol“, considerato tra i migliori ed adottato successivamente anche da Whatsapp ed altre app di messaggistica.

    Pur avendo bisogno di un numero di telefono per funzionare, Signal ha adottato fin dall’inizio un approccio abbastanza rispettoso della privacy dei propri utenti.

    Oltre alle comuni caratteristiche delle app di messaggistica, quest’app consente infatti di inviare messaggi che si possono autodistruggere e perfino di gestire messaggi audio cifrati.

    Inoltre, archivia solo i metadati necessari per il suo funzionamento, come il numero di telefono e le informazioni del profilo, non conservando altri metadati sui propri server.

    Forse non si tratta dell’app più conosciuta al mondo, ma il suo approccio intransigente rende Signal di certo una delle applicazioni più sicure.


  3. Threema

    Threema è un’altra app open-source, sviluppata e mantenuta in Svizzera, e pertanto soggetta alle leggi locali in materia di protezione dei dati.

    A differenza delle precedenti applicazioni, Threema non è gratuita ed è ancora quasi sconosciuta.

    Ha però il vantaggio di assegnare una chiave univoca all’utente (Threema ID), in modo che la si possa utilizzare in modo totalmente anonimo, senza nessun obbligo di inserire un numero di telefono, un’email o ulteriori informazioni sull’utente.

    L’aspetto più interessante è che ogni cosa viene cifrata con crittografia E2E, dai messaggi, alle chiamate, ai file scambiati.

    Inoltre, i dati, come ad esempio la lista contatti o le chat di gruppo vengono archiviati in modo decentralizzato sui dispositivi degli utenti, anziché su un server Threema. Ed i messaggi vengono eliminati dal server dopo la trasmissione. In questo modo viene garantita la massima privacy per gli utenti.

    Pur essendo decisamente l’applicazione meno nota tra le precedenti, oltre che a pagamento, Threema è di gran lunga quella che garantisce il maggior grado di riservatezza.

  4. Concludendo, è importante distinguere l’utilizzo che dobbiamo fare delle app di instant messaging per poter valutare l’applicazione più corretta per i nostri scopi.

    Se WhatsApp costituisce infatti un buon mezzo per comunicazioni di tipo personale, con il vantaggio di essere anche un’app molto utilizzata, è importante scoraggiarne l’uso in ambito professionale e in tutti i casi in cui vengono trattati dati sensibili o confidenziali.

    Molti cyber attacchi purtroppo hanno dimostrato quanto possa essere pericoloso gestire informazioni delicate tramite questi mezzi ed è fondamentale essere consapevoli di queste minacce per non esporsi a rischi inutili.

    Buon lavoro!

Latest news

SCUOLA E CYBER SECURITY

Settembre è il mese in cui ricominciano le scuole, ma la Cyber Security è sempre in agguato ed è importante conoscere i rischi e le...

Read More
Categorie
2022 News-IT

ECCO PERCHÉ LA CYBER SECURITY È UNO DEI MIGLIORI INVESTIMENTI SUL TUO FUTURO

news

ECCO PERCHÉ LA CYBER SECURITY È UNO DEI MIGLIORI INVESTIMENTI SUL TUO FUTURO

Di recente ho avuto la fortuna di intervenire alla terza edizione di “99eLode”, un percorso di formazione ed orientamento organizzato da Fastweb Digital Academy, Cariplo Factory ed iO Donna, il settimanale femminile del Corriere della Sera.

Ideato per 99 neolaureate in attesa di capire cosa fare del loro futuro, lo scopo del corso è stato fornire informazioni sulle competenze digitali più richieste dal mercato.

Tra queste, quelle della Cyber Security, che ho illustrato con le colleghe di Women For Security, prendendo in considerazione non solo gli aspetti tecnici, ma anche legali, del marketing e della comunicazione.

Perché dunque la Cyber Security è uno dei migliori investimenti per il proprio futuro?

Ecco tre buone motivazioni.

  1. Combattere il cybercrime sarà sempre una priorità

    Nel 2021 il Cybercrime ha causato $6 trilioni di danni, il doppio rispetto a soli sei anni prima.

    E si prevede che nei prossimi tre anni supererà i $10 trilioni di danni, con un andamento quindi esponenziale.

    Da qualche anno, i profitti del cybercrimine hanno superato quelli del mercato della droga, tanto che diverse organizzazioni criminali stanno decidendo di investire in questo settore.

    L’effetto complessivo sarà che le cyber difese si troveranno a fronteggiare nemici sempre più numerosi ed agguerriti.

    La Cyber Security diventerà e resterà una priorità per proteggere individui, organizzazioni ma anche nazioni.


  2. C’è una grande carenza di posizioni in ambito Cyber Security

    Dal 2013 al 2021 abbiamo assistito ad una crescita del 350% nelle posizioni di Cyber Security, un andamento mai visto in precedenza.

    Attualmente ci sono 3,5 milioni di posti di lavoro vacanti nel settore della Sicurezza Informatica a livello globale, 400.000 solo in Europa.

    Nel 2014 le posizioni vacanti a livello globale erano “solo” 1 milione.

    Non c’è disoccupazione per chi decide di lavorare nel settore della Cyber Security!(Ed è così dal 2011!)


  3. Non servono solo i “tecnici” della Cyber Security

    Certamente i ruoli tecnici della Cyber Security sono importanti.

    Penetration Testers, Malware Analyst, Vulnerability Resercher e molti altri sono ruoli chiave di questo settore.

    Ma non sono le uniche funzioni necessarie.

    Sono altrettanto importanti ruoli in grado di gestire le tematiche legali della materia, la privacy, la compliance normativa, il governo della cyber security.

    Così come il project management, il marketing, la comunicazione, gli aspetti pre e post-vendita, il training, ecc.

    La Cyber Security non riguarda solo chi ha competenze tecniche ma, soprattutto, chi è in grado di impegnarsi con le proprie capacità ed abilità specifiche per supportare aziende, organizzazioni ed istituzioni a proteggersi dalle minacce e dai rischi del mondo cyber in costante aumento.

Buon lavoro!

Latest news

SCUOLA E CYBER SECURITY

Settembre è il mese in cui ricominciano le scuole, ma la Cyber Security è sempre in agguato ed è importante conoscere i rischi e le...

Read More
Categorie
2022 News-IT

CINQUE REGOLE PER ESSERE PIÙ SICURI SU INTERNET

news

CINQUE REGOLE PER ESSERE PIÙ SICURI SU INTERNET

L’8 febbraio si celebra il Safer Internet Day (SID), un’iniziativa ideata dalla Commissione Europea per promuovere un uso più sicuro e responsabile della tecnologia.

Celebrato in 200 paesi in tutto il mondo dal 2004, il Safer Internet Day invita a fornire un ambiente digitale più sicuro, soprattutto per i giovani.

Il mondo di Internet offre enormi opportunità, possibilità di apprendimento e di acquisizione di nuove conoscenze, ma racchiude anche diversi rischi.

Grazie ad iniziative come SID è possibile aumentare la consapevolezza su rischi e minacce, ma intraprendere allo stesso tempo azioni concrete per proteggere gli utenti.

Vediamo quindi 5 regole per essere più sicuri su Internet.

1)    Sistemi ed applicazioni:
Aggiorna e mantieni costantemente aggiornati i sistemi e le applicazioni che utilizzi.
Vale sia per PC che per dispositivi mobili (smartphone, tablet, ecc).
Scarica ed installa applicazioni solo dai siti ufficiali e diffida dagli store non ufficiali: si corre il rischio di finire per installare malware.

2)    Account ed identità:
Proteggi i tuoi account con una password robusta e sufficientemente complessa (oltre 8 caratteri, con maiuscole, minuscole, numeri e caratteri speciali).
Non usare sempre la stessa password per ogni account, in particolare per email ed accessi ad applicazioni importanti.
Utilizza un password manager per ricordare le password e proteggi l’accesso con una master password (l’unica che dovrai ricordare a memoria!)

3)    E-mail ed SMS:
Diffida di e-mail ed SMS sospetti, da mittenti che non conosci o che si riferiscono a transazioni ed attività che non ti riguardano.
Non cadere nel tranello del Phishing ed evita di cliccare su link sospetti o di aprire allegati che potrebbero rivelarsi  dannosi.

4)    Antivirus ed antimalware:
Installa antivirus ed antimalware sui dispositivi che utilizzi.
Anche in questo caso, vale per i PC ma anche per i dispositivi mobili (smartphone, tablet, ecc).
Installa l’antivirus su tutti i dispositivi con cui navighi su Internet e mantienilo aggiornato.

5)    Prudenza e sicurezza
Attenzione ai siti dove si possono scaricare software e contenuti gratuiti: il rischio di incappare in un malware è altissimo.
Non condividere credenziali, password o informazioni di accesso con nessuno.
Non lasciare PC e smartphone incustoditi.

Buona navigazione sicura!

Latest news

SCUOLA E CYBER SECURITY

Settembre è il mese in cui ricominciano le scuole, ma la Cyber Security è sempre in agguato ed è importante conoscere i rischi e le...

Read More
				
					-----BEGIN PGP PUBLIC KEY BLOCK----- xsFNBFyONI0BEAC3wJRo5qhtr1KsqVdMz7b5JqHmt7H0ZZr14oJ9TV/hD9LMfrKpnQ94dFGnpfGa BKC1wSoJN4Yfs5lg5YmN4hmHmm6PkjgQdenVgL4YDfLDodwn5DgXKuywRBqIFbbnTDvFAb03DX2A FPnc+4g2QHsfiFycz+ISg/Z+8i21gY3j5oZlrdMKVWrNczrNc/lDJqJ36RSYDn1QzAW1ZGY/pUXk imPRvLew5Idr3462sZVVhuUFMD3Uf/W1SaS3bSEQM89pSYKZfo8AFpAs659Mn7gqKru6ndxilRdF wJGQuepqR8kz+vVPLyxJj68ii2ZBIY50RQvSBgJRnNF/Htp30cuk3v8jfSGZit9XYTTGQThVbfGR ZcKWze/iF+es110+mNXA/8s7jKs95PI+z1Foc9o74Ujs8dvjEGHTaESIEzX3JtEZUCZUiPt/P8pU Jw0ewbj1XCacYxYVsR7ODlf6GEsjt868WcjiqsuuZo2rzO4og9hFU5DlBzuePklfhw8dO5CiMN2H vtSkAn4DkgHqC+JiciHc9h5Cvvfjp52oQPj1eYmU3LkOvGFmPXVIts3VfxsQT3gk+DmrQ4J//fAl tNRSbMBnGu5F/qnLLkJmKRKPKNNcpjptFznKxLZbxW5QbAeDok3ho8YQACfADKcrmaIRkoPr8/mn PxZgMSMB87W7sQARAQABzSRTb2ZpYSBTY296emFyaSA8c29maWFAaGFja21hbmFjLmNvbT7CwZQE EwEIAD4WIQTNwEbcXbH0vegGlHCd6fr0nsTifwUCXI40jQIbIwUJEswDAAULCQgHAgYVCgkICwIE FgIDAQIeAQIXgAAKCRCd6fr0nsTifwKuD/4+3MaN+9eFiltI06fFBjr1Csh0OLFw89jFnpuYl9Sm ImVqmBwrnm+APxxLK4M+FMuNm4fW08X249t09Nsf0ba6UJ0HR/7/fRTipjzRLqHSr0+ZjVUGHhon fuuFZgNzPA5RmQZZCyiwyqZJs7pLn1QI/CtlDP6MsQhadywbkO/5LlDoBoYh/2DYNA/mtEfJbvc/ cOvfk47thj5OzcXJEWFxz7h2P5C2ELwxdhNPC+uqcOQkTScnuIBJooheJPhdmqOtOwrbUUIfaryM IESrol3Jg3/MUOe7FLXhwCSQGY1iefzl4py2jTeK936GMBHifLSUCA88lpE7ALkbf3+qJ9ABra9G e9e0dirIlPvFgBkEBBXsoIReQLrhHKFBtvKdrrE9Rb7kAwon+sW+3Uf6Ie3M8nTisGy2AmlI/tQ5 V0MHU2UJUNcc59hk7ADIlXN64eeqELgsMtlR4wEHd6nwcEpoPCTWfrVSwzsPtXUGNAGbgGxISv/F ltcFJ6Qw6Zy4f+YBEyCx/7GA3kjLllkcHv4kwHpP+WQCzbjh2JdkGEp5AY7puil1AtOFcbirbHbR 83KVeqx4Vvlyh2jhIDQYB/9qpTDC1xDKpndn40gnNd5hvjK0I0Xvbhb0PLhCpJQ5tsvPiQHjhOMF Wye3ZigaX1gTZxE29MLtwBbOYdGCYG0MrM7BTQRcjjSNARAAupAKTZXLRktriUVqhkZpU8zUVwrW ik6siStg7BppSJuKVW+Ic8QIagW0I48d2jZIIXrQRvqVBixn8eeBTE8Cujum1mZyhTw2sri3gE9i 81gisF17T/uewzRyYwx8obMfSEBnwJa44td7VjtbfLMRtfneK9R40+kELhhvXZa3DBbcG86zHVPU f1YkLX4RNSyjz4vOCX3WlcIAOr6MJA8DT+F5mUCVEhnkeUbflXtxRSeTUTfOw/3MYLs+mc6hWwLq gqTMcIQhDrYEY5wUgb5Mj86NR/uvsThL6MtWCJWVbfxHxM575woyTdD9E6HGO6loHYdky/7I+XFZ twgxsGn6HJYT+Gwn9BI5/DiwT1Qb/AyADktN1jGmZGTlniS+hly7rm0EHb2CTTM5zT1fh/sCOtQb nYIUf2in2cIfcFvzeFrUbDk2HfJMp5FmY6tBEV5xyNCww/mBkW2nuZy9CvAheJEOGoO8lyonPU2u ARq345LdbS6l+VdivPmZoLNpIMRw9MSTYmzm08h7C+/6hxzpjw1/nWZ+W2k9VpLutEs7KMtsbZR4 WhVFVS1uhqxrnjoeBHznh360Ou8SR+PFO0HIrYz4W7ayfcBhqcsGrM9u1E892gjUVTbPv8UoXQ8S Zm9ra2jqbfZGbyOpMIlyMzHTak7r0IZvCedEUDCimitbw98AEQEAAcLBfAQYAQgAJhYhBM3ARtxd sfS96AaUcJ3p+vSexOJ/BQJcjjSNAhsMBQkSzAMAAAoJEJ3p+vSexOJ/C+wP/iGvKG1NldCT2gR7 oWhmvgBnsD7qjC57RX0Go7WD1lmrWP4xWpvM6Tj0V4ZsXnyB8zUR38p49PPymjwy51FAss5PYh8S bVC1/sKC5Sae3kiAoMGH29MBAwL1IkJ8PNw6uOJHhUIJgKT5RWk2f7q3+Tha19slXwD/FC1IcBJK baxyVkG3cG5AnNvvKZyFAUNZ9FiBycaNHO4o6bCcCzSsaRLL2azudJLrF8UYPfTNBQ6Cr4QLqaRb t+ZqL2nqmcadO1AtxLtq5lQjxbhJ3jSYIcQJRq0ztbIBcPrdR2B/dfVED9cU5leSmNXxrh09gJ7N tmUpVo5fBcbf6fP7h2HIFBpH+G/8UUlcbm9pQ5Jcb8FEom0JrfaIAuv1gEIJAk1mkqLNzWUs8KuL nCBBVT2+2hfEZjtjUYbCLVB4LRCsLs9CY1wS3yKca90S8m0tfKcSj3K3k8qlKodkE2raX2GW2dm9 b200ENbb41B1uZlPts4Yh/AMfLqoNv8wyw0GlUQ2DqgDqviLANYbg4/GHwTLwO2b9UMHuTVU3woS 1LRKt0iPPsd+ir+9YRAVt5LB5XTS5C5cdIW9JSXQ+0cnbr3LPZCBulOew/M72liBINKWKGoUyueF 73ckNO9S7pzTOCpjn3+gAuzN/itwgwrMLoqUqqBuxzd7cKNJHTFdTIfTm53f =KIMs -----END PGP PUBLIC KEY BLOCK-----