stephanie carruthers  hacker

“PRIMA DI CONDIVIDERE QUALCOSA ONLINE, BISOGNA PORSI DELLE DOMANDE” - I CONSIGLI DI STEPHANIE CARRUTHERS, HACKER "BUONA": “BISOGNA CHIEDERSI SEMPRE: CHE TIPO DI INFORMAZIONE STO METTENDO ONLINE? COSA C'È SULLO SFONDO DELLA MIA IMMAGINE? SE VOLESSI VENDICARMI, IN CHE MODO USEREI QUESTA INFORMAZIONE CONTRO DI ME?" - "SI DEVONO ADOTTARE ABITUDINI SANE CON LE PASSWORD. NON RICICLARLE, CAMBIARLE SPESSO E MENTIRE QUANDO SI RISPONDE ALLE DOMANDE DI SICUREZZA” - “IL SOCIAL CHE RIVELA PIÙ INFORMAZIONI IN ASSOLUTO È FACEBOOK, PERCHÉ…”

Ann Brenoff per www.huffingtonpost.it

Stephanie Carruthers

 

Stephanie Carruthers è una hacker buona, una white hat conosciuta come Snow, che annovera tra i suoi clienti aziende e startup di successo. Nel 2014, ha vinto la gara Social Engineering Capture the Flag, in occasione del DEF CON, uno dei congressi sull'hacking più famosi e importanti al mondo. Conduce spesso convention sul mondo dell'hackeraggio e condivide la sua esperienza con le aziende che desiderano potenziare la loro sicurezza online.

 

Tramite Twitter abbiamo fatto a Snow alcune domande sul lavoro che svolge e sulle dritte da seguire per essere più sicuri in rete.

 

Chi è un hacker "white hat" di preciso?

hacker

Un hacker white hat è un hacker etico. Nello specifico, sono un ingegnere sociale, ovvero una sorta di hacker delle persone. Una delle spiegazioni più semplici per chiarire ciò che faccio è "Mento e mi introduco nei sistemi." Conduco diversi tipi di valutazioni, come quelle sulle campagne di phishing e le stime sulla sicurezza fisica. Svolgo il mio lavoro con l'obiettivo di mostrare ai miei clienti dove si trovano le loro vulnerabilità così che possano porvi rimedio prima che un aggressore vero e proprio le trovi.

 

Come sei arrivata a farlo?

hacker facebook

L'ingegneria sociale è diventata una passione mentre partecipavo alla competizione Social Engineering Capture the Flag al DEF CON, e sono stata così fortunata da continuare a crescere in questa carriera.

 

Quanto ti senti sicura personalmente online?

Non mi definirei mai "non-hackerabile". Le violazioni dei dati sono ormai all'ordine del giorno, sembra quasi la norma, e per questo motivo non credo che mi sentirò mai del tutto sicura online. Di conseguenza, prendo precauzioni per proteggere me stessa il più possibile.

 

hacker 5

Potresti svelarci le cose più stupide che hai visto postare dalla gente online?

Cerco di non etichettarle come stupide, ma come poco informate. Voglio sperare che se una persona comprendesse a pieno il rischio del contenuto che sta postando online, ci penserebbe due volte.

 

Detto questo, ecco alcune delle cose viste online che tradiscono una mancata consapevolezza del rischio:

 

Neo-patentati: ragazzi entusiasti (o anche genitori) che scattano foto ravvicinate alla patente appena conquistata con tutte le informazioni personali, compreso l'indirizzo di casa.

 

Stephanie Carruthers

Nuovi proprietari di casa che scattano foto celebrative alle chiavi della nuova dimora e geotaggano la casa senza rendersi conto che è facile duplicare una chiave da una foto.

 

Impiegati: impiegati e dipendenti d'azienda spesso si scattano selfie senza curarsi di ciò che compare sullo sfondo o in primo piano, incluse password/informazioni sensibili sulle lavagnette, monitor di computer accesi, password della segreteria attaccate ai telefoni, eccetera. Inoltre, per ragioni incomprensibili, c'è chi posta addirittura le foto della busta paga. Per alcuni saranno anche post innocui, ma gli aggressori sanno come approfittarsi di immagini del genere.

 

C'è qualcosa che non dovremmo mai fare su social?

hacker 4

 

Postare senza pensare. Punto. Prima di condividere qualcosa, bisogna porsi delle domande: che tipo di informazione sto mettendo online? Cosa c'è sullo sfondo della mia immagine? Se volessi vendicarmi, in che modo userei questa informazione contro di me?

 

Dal tuo punto di vista qual è il social che mette più a nudo la nostra vulnerabilità?

 

Credo che Facebook riveli più informazioni in assoluto – soprattutto perché mette in correlazione una quantità enorme di dati, come i tuoi amici, i colleghi, la famiglia, il lavoro, gli hobby, i figli e via dicendo. Molte risposte alle domande di sicurezza [usate per transazioni bancarie e modifiche di password possono essere dedotte semplicemente osservando il profilo Facebook di un utente. Come se non bastasse, Facebook per sua scelta non dedica grandi sforzi alla protezione della privacy – i social non funzionano bene se sono tutti reticenti e riservati. Per molti utenti non è intuitivo aggiungere impostazioni alla privacy che, invece, dovrebbero avere – sempre che prendano in considerazione la cosa.

 

Il riconoscimento facciale potrebbe impedire ai truffatori di creare profili falsi?

 

Stephanie Carruthers.

Il riconoscimento facciale potrebbe contribuire alla diminuzione dei profili truffaldini, ma non alla loro scomparsa. Gli hacker sono molto astuti e si divertono a scovare modi nuovi per aggirare ostacoli di questo tipo. È come il gatto col topo. D'altra parte, per conferire maggiori responsabilità a Facebook, dovremmo fornire anche più informazioni personali. Conosco persone che considerano la loro privacy talmente importante da usare nomi falsi e foto "non umane" suo social. Per evitare un profilo falso, dovrebbero fornire a Facebook nome e volto reali. È simile all'idea di Facebook di combattere la cosiddetta pornografia vendicativa chiedendoti foto di nudo. Entrandone in possesso, per loro è più facile "cercare e distruggere", sotto il profilo dell'automazione. Tuttavia, qui ritorniamo al problema della fiducia e a quale sia il male minore.

 

Password e domande di sicurezza: perché tutte queste violazioni?

hacker 2

Le violazioni dei dati si verificano per diversi motivi, come attacchi di ingegneria sociale, vulnerabilità delle applicazioni, server senza patch, mancanza di controlli sulla sicurezza fisica, credenziali deboli o rubate, eccetera. Se queste vulnerabilità non cesseranno di esistere, allora continueranno anche le violazioni di dati.

 

Una misura di cui possono beneficiare tutti è adottare abitudini sane con le password. Le password sono un mix tra responsabilità individuale e aziendale. Ecco cosa si può fare per proteggersi:

 

Non riciclare le password, cambiarle spesso, e usare un password manager. Si dovrebbe disporre di una password forte e unica per ciascun login.

hacker facebook 2

 

Mentire quando si risponde alle domande di sicurezza generale. Non c'è bisogno d'inserire correttamente il cognome di vostra madre da nubile. Utilizzate qualcosa che sia difficile da indovinare, come "nutella" o "Disneyland".

 

Usate l'autenticazione a due fattori. Quasi tutti i siti prevedono impostazioni di sicurezza extra tra le opzioni.

 

Chi sono tutti questi truffatori/hacker che vogliono le nostre informazioni?

facebook hacker 8

I truffatori sono mossi dall'opportunità. Come in tutte le attività illegali, gravitano intorno alle situazioni in cui la ricompensa supera il rischio, e questo perché le leggi locali non comportano grandi rischi contro l'attività. Alla fine della fiera, non conta chi sono gli aggressori e dove si trovano, ma il fatto che ci sono informazioni di cui vogliono impossessarsi, con mezzi e capacità per riuscirci – a condizione che ne valga la pena. In molti casi hanno fortuna perché, in tanti negozi online, è solo un terno al lotto. Dispongono di un call center pieno di truffatori, molto simile alle campagne di telemarketing. Ricorrono a operazioni di lead-generation, adottano testi di dialogo, escalation interna, formazione e persino quote di vendita.

 

Qual è la cosa più importante che gli utenti di internet devono tenere a mente?

android

Ricordarsi semplicemente che i problemi di sicurezza non saranno risolti tanto presto. Inoltre, è impossibile diventare i più inattaccabili al mondo. Tuttavia, possiamo renderci più sicuri degli altri – e, se tutto va bene, gli aggressori desisteranno e passeranno a qualcun altro. Come ha detto qualcuno: "Non devi correre più veloce dell'orso per salvarti la pelle. Ti basta correre più veloce del tizio accanto a te."

Ultimi Dagoreport

fertitta meloni

"BENVENUTA A BORDO, GIORGIA!", COSÌ E STATA ACCOLTA LA PREMIER DELLA SGARBATELLA DALL’AMBASCIATORE USA A ROMA, TILMAN FERTITTA, CHE NELL’ULTIMO WEEKEND L'HA OSPITATA SUL SUO MEGA-YACHT "BOARDALK" DI 117 METRI, CHE HA GETTATO L'ANCORA ALL’ARGENTARIO DAVANTI ALL’''HOTEL PELLICANO", IMPEGNATO A COSTEGGIARE IL BELPAESE ("COASTAL DIPLOMACY", LA CHIAMA) - DOPO IL RENDEZ-VOUS, UNA VOLTA SBARCATA A PORTO ERCOLE, LA EX "GIORGIA DEI DUE MONDI" NON HA DOVUTO "IMPLORARE" PER UN SELFIE, COME AD EVIAN CON IL TRUMPONE, METTENDOSI IN SORRIDENTE POSA CON I VILLEGGIANTI - DOPO ESSERE STATA SPUTTANATA E INSULTATA VIA SOCIAL DAL SUO EX AMICO COL CIUFFO, LA CAMALEONTICA "GIGIORGIA" FORSE SPERA ANCORA DI RIALLACCIARE UN RAPPORTO COL DEMENTE DELLA CASA BIANCA AL CONVEGNO NATO DI ANKARA DEL PROSSIMO 7 LUGLIO - NEL DUBBIO DI QUALE SARA' LA REAZIONE DI TRUMP VERSO DI LEI (BUFFETTO O SCHIAFFETTO?), LA DUCETTA AZZOPPATA È STATA BEN ATTENTA A NON FAR SAPERE ALLE GAZZETTE DEL SUO INCONTRO CON FERTITTA - LA SMENTITA DI PALAZZO CHIGI: "MELONI NON È STATA SULLO YACHT DI FERTITTA. NOTIZIA INVENTATA"

mark rutte giorgia meloni donald trump giuseppe conte

DAGOREPORT - L’ITALIA È ENTRATA (A SUA INSAPUTA) NEL CONFLITTO USA-IRAN? - AL SEGRETARIO GENERALE DELLA NATO, MARK RUTTE, CHE HA SPIFFERATO A TRUMP CHE “CINQUECENTO AEREI AMERICANI SONO DECOLLATI DALLA BASE DI SIGONELLA” (DI CUI L'ITALIA HA LA PIENA SOVRANITÀ TERRITORIALE), MELONI HA RISPOSTO NEGANDO SECCAMENTE LA PARTECIPAZIONE DEL BELPAESE AL CONFLITTO - OVVIAMENTE, UNO DEI DUE MENTE: RUTTE O MELONI? - IN SOCCORSO DI "GIGIORGIA", ARRIVA IL RETROSCENISTA DEL ‘’CORRIERE’’, FRANCESCO VERDERAMI: “LA PROVA CHE RUTTE HA DICHIARATO IL FALSO È IL ROTTAME DI UN DRONE DELL’AERONAUTICA CHE GIACE IN KUWAIT” - FORSE IGNARO CHE UNO STATO PARTECIPA A UNA GUERRA ANCHE SENZA FAR ALZARE IN VOLO DRONI MA SUPPORTANDO ATTIVITÀ MILITARI, DOPO IL "FALSARIO" RUTTE, VERDERAMI PASSA A GIUSEPPE CONTE, REO DI ACCUSARE MELONI DI AVER VIOLATO L'ART. 78 DELLA COSTITUZIONE: “ERA IL 2020, LE BASI ITALIANE NON FURONO UTILIZZATE SOLO PER LA LOGISTICA, MA ANCHE PER MISSIONI NON AUTORIZZATE NÉ DALL’ONU NÉ DALLA NATO: IN SIRIA E IN LIBIA”. E CHIUDE: “ALLORA A WASHINGTON C’ERA SEMPRE TRUMP E A GERUSALEMME C’ERA SEMPRE NETANYAHU. A ROMA INVECE C’ERA CONTE” - IL SERVIZIEVOLE RUTTE HA SPUTTANATO COSÌ PESANTEMENTE MELONI PER SALVARSI LA SUA POLTRONA NATO DAL TRUMP IRACONDO…

giorgia meloni marina berlusconi matteo salvini antonio tajani roberto vannacci sergio mattarella

DAGOREPORT- SONDAGGIO DOPO SONDAGGIO, SONO MOLTI GLI ANALISTI CHE LO DANNO PER CERTO: L’IRRUZIONE SULLA SCENA POLITICA DI ROBERTO VANNACCI E DELLA SUA ‘’SPORCA DOZZINA”, ALTRIMENTI DETTA FUTURO NAZIONALE, NON È UN FUOCO DI PAGLIA, NON È UNA CARICATURA, NON È UN MERO FENOMENO DI PASSAGGIO DESTINATO A BALLARE UNA SOLA ESTATE - SE VA AVANTI COSÌ, GUADAGNANDO 1 PUNTO OGNI 15 GIORNI, A SETTEMBRE VANNACCI SOTTERRERÀ NON SOLO LA LEGA, SPROFONDATA AL 5/6%, MA ANCHE FORZA ITALIA, GALLEGGIANTE AL 7/8% - A QUEL PUNTO, CON I DUE ALLEATI IN STATO COMATOSO, RIUSCIRÀ GIORGIA MELONI, COL SUO 28%, AD OTTENERE IL 42% DEI CONSENSI, COME VUOLE LA NUOVA LEGGE ELETTORALE TARGATA CENTRODESTRA, SENZA IMBARCARE ANCHE L’ULTRA-DESTRA DI FUTURO NAZIONALE? - MA IN TAL CASO, L'USCITA DI FORZA ITALIA BY MARINA DALLA COALIZIONE, PER TOTALE INCOMPATIBILITÀ COL “MONDO AL CONTRARIO”, OMOFOBO E RAZZISTA, DI VANNACCI, VIENE DATA PIÙ CHE PROBABILE...

giorgia meloni roberto vannacci pedro sanchez paolo mieli donald trump

DAGOREPORT - ALLA SCAZZO COATTO, SEGUIRA' VENDETTA, TREMENDA VENDETTA DEL TRUMPONE? QUANTO RISCHIA "GIGIORGIA" PER AVER PRESO IN GIRO, CON SORRISI E PROMESSE, IL DISTURBATO MENTALE DELLA CASA BIANCA? – PAOLINO MIELI NE E' CERTO: “A MELONI VERRÀ PRESENTATO IL CONTO. FARANNO L’IMPOSSIBILE PER FARLE PERDERE LE ELEZIONI, PER SPUTTANARLA” – “USERANNO ANCHE VANNACCI. LO POSSONO ALIMENTARE, DA UNA PARTE GLI AMERICANI, DA UNA PARTE PUTIN. LO POSSONO GONFIARE, DANDOGLI AUTOREVOLEZZA” –  PER CAPIRE QUANTO È “VENDI-CATTIVO” TRUMP, BASTA GUARDARE COSA È SUCCESSO A PEDRO SANCHEZ: PRIMA È SBUCATO UN DOSSIER PER CORRUZIONE SUL SUO “PADRINO” ZAPATERO. POI È ARRIVATO IL RINVIO A GIUDIZIO PER LA MOGLIE DEL PREMIER SPAGNOLO… - VIDEO

domenico centrone leonarda alberizia giovanni caravelli meloni nordio bartolozzi almasri mantovano

DAGOREPORT – CHE CURIOSA COINCIDENZA: IERI LE AUTORITÀ LIBICHE HANNO LIBERATO IMPROVVISAMENTE I DUE ATTIVISTI DELLA FLOTILLA, LEONARDA ALBERIZIA E DOMENICO CENTRONE, INGABBIATI DA UN MESE - E CHI ERA ATTERRATO IN LIBIA NEI GIORNI SCORSI, UFFICIALMENTE PER UN INCONTRO “ISTITUZIONALE” CON IL PREMIER DI TRIPOLI, ABDULHAMID DABAIBA? GIOVANNI CARAVELLI, DIRETTORE DELL’AISE, I SERVIZI SEGRETI ESTERI ITALIANI, UNO DEI PROTAGONISTI DEL CASO ALMASRI, IL TORTURATORE LIBICO ARRESTATO IN ITALIA CHE, MALGRADO FOSSE INSEGUITO DA UN MANDATO DI CATTURA INTERNAZIONALE, FU COMODAMENTE RIACCOMPAGNATO A TRIPOLI A BORDO DI UN JET DELL'INTELLIGENCE – QUESTA VOLTA, LA MATASSA CHE CARAVELLI AVEVA DA SBROGLIARE IN LIBIA ERA LA SCARCERAZIONE DEI DUE FLOTILLEROS? - CONOSCENDO GLI USI E GLI ABUSI DELLE TRIBU' LIBICHE ("PAGARE MONETA, VEDERE CAMMELLO"), CHISSA' QUANTO SARA' COSTATO AL GOVERNO MELONI RIPORTARE A CASA I DUE ATTIVISTI... - VIDEO