Numero 10 del 2017
Titolo: Mettere in sicurezza la Posta Elettronica Certificata.
Autore: Nunziante Esposito.
Articolo:
Mettere in sicurezza la Posta Elettronica Certificata.
Di Nunziante Esposito.
Proprio perché si tratta di posta certificata, non è raro che molti utenti che la usano pensano di avere a che fare con uno strumento protetto dal punto di vista sicurezza informatica.
Siccome non è scontato che l'utente abbia preso tutte le precauzioni atte a proteggere la sua casella di Posta Certificata che, se usata da altri, vi può far danni seri, ecco come essere coscienti di questo strumento e come proteggersi.
La prima cosa da sapere: la PEC, Posta elettronica certificata, è uguale a qualsiasi altra casella di posta elettronica per la sua sicurezza, quindi, può essere anch'essa soggetta a essere attaccata dai criminali informatici.
Infatti, se è possibile attaccare tramite un ransomware gli utenti che ricevono e spediscono messaggi cifrati, quelli che trasmettono dati su canale cifrato e quelli che gestiscono le loro password in modalità sicura, allo stesso modo si può attaccare anche una casella PEC.
Non dipende nemmeno dalla tecnologia utilizzata che non è sicura. Purtroppo dipende dalle tecnologie disponibili agli attaccanti che si sono evolute e consentono di fare tutto ed il contrario di tutto.
Queste tecnologie sono a disposizione in rete in modalità molto semplice e a basso costo, sia in termini di soldi, sia di tempo per applicarle.
Ormai anche chi non ha doti avanzate di tecnico informatico, riesce a reperire in rete software in grado di infettare le postazioni fisse e mobili delle proprie vittime con grande facilità e senza essere rilevato.
Una volta preso possesso della macchina attaccata, non è difficile che venga installato sul computer un software capace di memorizzare tutti i tasti digitati e quindi, registrare qualsiasi informazione digitata, comprese le password. Ovviamente, oltre a poter prelevare dati sensibili dal dispositivo.
Non solo può trafugare dati importanti, o rubare l'identità e le credenziali memorizzate, ma anche la Posta Certificata è in pericolo.
Tramite sempre software che si installano sul dispositivo senza che l'utente se ne accorga, si può acquisire i messaggi, le comunicazioni e le password che il nostro browser utilizza e che transitano dal dispositivo al Web prima che vengano gestite dai programmi che utilizziamo e dalla loro cifratura.
Nel caso della Posta Certificata, molto spesso, tutta la sicurezza progettata per il suo utilizzo è resa vana dal principale punto debole del sistema: accoppiata dispositivo /utilizzatore.
Basta che l'attaccante recupera la password della casella PEC e la usa al vostro posto, spedendo email autenticate e sicure, allo stesso modo di quando si invia una raccomandata, ma in questo caso a spedire la posta siete solo e solamente voi, anche se a spedire sarà un altro al vostro posto.
Si comprende da soli il pericolo che si corre se la password va a finire nelle mani sbagliate.
Dieci cose da fare per mantenere sicura la PEC.
Premesse:
- In generale, la sicurezza di tutto quello che facciamo sul web attraverso il nostro computer, dipende innanzitutto da noi e dalla sensibilità con la quale affrontiamo l'argomento sicurezza. Infatti, ovunque andiamo a leggere su queste cose, troviamo sempre una raccomandazione: sensibilizzare gli addetti ai lavori sulla necessità di potenziare la sicurezza dei dispositivi.
- In generale, tener presente che nessun ente e nessun servizio richiede informazioni personali, anche se il mittente sembra essere una istituzione importante, come ad esempio Polizia di Stato.
- In generale, verificare se il servizio di Posta Certificata che si usa ha la possibilità di usare la verifica a due fattori ed attivarla. Significa che oltre a nome utente e password, per accedere alla casella di Posta Certificata si deve anche inserire un pin che viene inviato tramite SMS al cellulare registrato al servizio.
- E' ovvio che queste raccomandazioni riguardano in generale tutti i dispositivi, ma in particolare il computer e ancora di più per la PEC che è uno strumento giuridicamente valido.
1. Installare per la sicurezza del proprio computer un anti-malware di ultima generazione, capace di rilevare anche le minacce recenti. Si consiglia ADWCleaner che è free, portable e che si usa quando si notano comportamenti strani del computer.
2. Quando si gestiscono dati importanti come quelli di un ufficio, ma vale anche se siamo abituati a gestire tutto con il computer, affidarsi ad uno specialista per la tecnologia di protezione da usare.
3. Se si utilizzano dispositivi mobili sincronizzati con il computer, utilizzare la protezione anche per questi dispositivi.
4. E' ovvio che bisogna curare gli aggiornamenti per i software per la protezione usata.
5.Non memorizzare le proprie credenziali direttamente sul dispositivo e nei browser usati per la navigazione.
6. Ricordarsi di verificare sempre di essere su pagine https quando si naviga e si devono inserire dati sensibili. Per verificare, con Internet Explorer basta premere alt più I.
7. Non aprire mai allegati di posta, ma vale anche per i messaggi social, se non si è certi da chi ci vengono inviati. Nel dubbio, usare magari il telefono e chiedere direttamente alla persona se vi ha inviato il messaggio.
8. Non usare mai i dischi virtuali, come quelli che vengono messi a disposizione da Google, Dropbox, one Drive, eccetera, per i dati personali riservati.
9. diffidate di chiunque vi offre guadagni facili, intimazioni per fatture non pagate, informazioni su pacchi non ritirati, eccetera. Nessuno vi offre questo servizio o vi fa guadagnare soldi facilmente.
10.Non credete mai ai messaggi che appaiono sul desktop che vi informano in merito a infezioni da virus pericolosi sul proprio dispositivo, ma soprattutto non date mai invio sul comando per l'installazione dell'antivirus miracoloso che toglie l'infezione: è il comando per installare il virus. In questo caso, se volete essere certi di non essere infettati, non premete invio su nessun comando, spegnete il computer se lo potete fare attraverso ai normali comandi da tastiera, oppure, spegnete il router e poi, non ha importanza in che modo, ma spegnete il computer.
Infine, ma questo voglio sperare sia una regola che rispettate sempre: non fornire mai le password usate a terzi, anche quando si tratta di amici e, se qualche volta lo fate, cambiate immediatamente la password.
Con questo articolo, non voglio farvi preoccupare, ma solamente farvi rendere conto che basta poi molto poco per essere più sicuri quando usiamo tutti i dispositivi che, come si dice in gergo, sono tutti in rete.
Nunziante Esposito
