Ormai gli attacchi DDoS degli ultimi tempi hanno dimostrato come sia facile mettere in ginocchio il mondo di Internet, e delle Telecomincazioni con  tutti i suoi servizi connessi: in una parola il mondo intero. E non solo virtuale, in quanto l’impatto arriva direttamente e indirettamente anche al mondo reale.

Nel mese di ottobre 2016 sono iniziati gli ultimi attacchi a Twitter, Reddit, Spotify, Netflix, Amazon, Skype, PlayStation Network, New York Times, sia in Europa che Stati Uniti.

Probabilmente la causa potrebbe ricadere sull’attacco DDoS al provider DNS Dyn, in ogni caso il risultato è stato un blocco totale o un servizio a singhiozzo per diverse ore.

Questo dimostra come sia “semplice” mandare in blocco un sistema, anche se grande e sicuro, su cui girano servizi per milioni di utenti e su cui si muovo milioni di euro al giorno, solo per spazi pubblicitari o vendita di servizi.

Non siamo al sicuro, e pare molto evidente che le difese siano sotto dimensionate rispetto agli attacchi che, se diretti verso servizi più importanti come le centrali elettriche (solo per dirne una che già ha subito attacchi “demo” in passato) potrebbero portare a dei black-out con complicazioni ben maggiori.

Viene da pensare che gli stati europei o americani siano addirittura ricattabili in questo momento, o viene da pensare che una nuova guerra potrebbe essere combattuta proprio tramite attacchi verso bersagli virtuali, e che, anche se non creano vittime, determinano uno stato di insicurezza nei cittadini che vedono violata la propria privacy (in caso di accesso ai database) o bloccati quei servizi che che tutti credevano inattaccabili perché distribuiti da colossi con immense risorse economiche e per questo ritenuti invincibili.

Quanti blocchi causati da attacchi sono stati camuffati come aggiornamenti o manutenzioni ? Quanti dati sono stati trafugati senza che mai lo sapremo? Quante minacce sono state sventate con il pagamento di riscatti, che resteranno per sempre a noi sconosciuti?

PG

Capiterà ad alcuni – ad Agosto – di dover partire per le vacanze portando con sè, per ogni evenienza, qualche “attrezzo digitale” del mestiere. Che si tratti di un laptop/netbook o di una chiavetta USB, va evitato il seppur minimo rischio di furto o smarrimento di dati sensibili come le password dei vari account email, ftp, ssh e via discorrendo, specie se questi dati appartengono all’azienda per cui lavoriamo e/o danno accesso ad aree riservate particolarmente delicate.

Per togliersi qualche pensiero, è possibile usare l’applicazione Open Source TrueCrypt per proteggere con una sola password tutti dati di cui abbiamo bisogno, indipendentemente dal loro formato. TrueCrypt permette infatti di creare archivi criptati che vengono montati come unità disco, all’interno dei quali è possibile copiare qualsiasi file o directory. Il programma può essere agevolmente installato in modalità “portable” direttamente sulla chiavetta USB.

Creazione ed utilizzo di archivi criptati con TrueCrypt su Windows XP
L'interfaccia GUI di TrueCrypt

Dalla pagina dei downloads di TrueCrypt è possibile scaricare gli installer per Windows, Linux e Mac OS X, mentre la documentazione completa (in inglese) è consultabile a questo indirizzo; se volete iniziare subito a criptare i vostri dati, potete seguire il Beginner’s Tutorial ufficiale, una guida passo-passo completa di screenshots.

Per gli utenti più esigenti, inoltre, TrueCrypt può essere utilizzato anche per cifrare o nascondere intere partizioni o file systems.

Per gli utenti esperti o per gli amanti della riga di comando, invece, è possibile utilizzare GnuPG (qui una versione precompilata per Windows, dal sito GnuPG.org) che, con l’opzione “–symmetric” (abbreviata “-c”) permette di cifrare un file o un archivio utilizzando una password, ad esempio:

gpg.exe -c archivio_segreto.zip -o archivio_segreto.zip.gpg

chiederà di inserire e confermare una password e genererà l’archivio cifrato “archivio_segreto.zip.gpg”, che potrà in seguito essere estratto con:

gpg.exe -e archivio_segreto.zip.gpg

Ci raccomandiamo naturalmente di leggere le istruzioni e le avvetenze dei software che utilizzate, specie prima di effettuare operazioni delicate come la cifratura di un filesystem, e di prendere tutte le precauzioni necessarie per evitare perdite di dati o malfunzionamenti.

Ricordiamo inoltre che il miglior software crittografico nulla può se utilizzato in modo non adeguato (ad esempio su un sistema non affidabile, o se vengono scelte password corte, facili o facilmente intuibili etc).